ctfshow之_萌新web1至web7

已于 2023-04-29 22:07:08 修改
阅读量1.4k 收藏 5
点赞数 5
分类专栏: 安全 文章标签: sql php
于 2023-04-29 21:41:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XiaoXiao_RenHe/article/details/130395575
版权

一、访问在线靶场ctfshow

ctf.showhttps://ctf.show/challenges如下图所示,进入_萌新赛的web1问题:

如上图所示,页面代码提示id=1000时,可以查询到flag,进行如下尝试:

如下图所示,传入参数id=1时,显示出了标题(title)和内容(content)。

 如上图所示,可以看到查询sql语句,尝试使用id=1 or id =1000,截图如下:

 如上图所示,只显示了id=1时的内容,再看sql语句,order by id limit 1,对id进行了排序且只输出第1条的title和content。尝试传入参数id=2时,title和content都没显示出来,截图如下:

尝试传入参数id=2 or id=1000,title和content显示出来了id=1000时的title和content,截图如下:

 这这这,为何显示了flag❓

order by id limit 1为何显示出来了id=1000的title和content呢?!

本来想着让order by id limit 1失效,没想到flag显示出来了😓。

尝试传入参数id=2 or id=1000 --+,如截图所示也显示出来flag,--+在数据库中是注释掉后面一行内容,即使order by id limit 1失效,这里的+,在浏览器访问地址中表示空格,传入sql语句中是空格。

 尝试传入参数id=2 || id=1000同上,如截图所示也显示出来flag。

尝试传入参数id=2 union select * from article where id=1000,如截图所示也显示出来flag。

 尝试传入参数id='1000',如截图所示也显示出来flag。

尝试传入参数id="1000",如截图所示也显示出来flag。

 尝试传入参数id=~~1000~在sql语句中表示取反,~~1000是取反后再取反,即还是原数1000,如截图所示也显示出来flag。

 尝试传入参数id=0b1111101000即二进制数1000,如截图所示也显示出来flag。

 尝试传入参数id=01750即八进制数1000,为何未显示出来flag?!

  尝试传入参数id=0x3e8即十六进制数1000,如截图所示也显示出来flag。

 尝试传入参数id=20*50即20乘以50运算,等于1000,如截图所示也显示出来flag。

尝试传入参数id=500/0.5即500除以0.5运算,等于1000,如截图所示也显示出来flag。

尝试传入参数id=0000^1000即0000异或1000运算,等于1000,如截图所示也显示出来flag。

 尝试传入参数id=0000|1000即0000或1000运算,等于1000,如截图所示也显示出来flag。

  尝试传入参数id=125<<3即125的二进制左移3位后,后面补0,等于1000,如截图所示也显示出来flag。

尝试传入参数id=power(10,3)即10的3次方运算,等于1000,如截图所示也显示出来flag。

尝试传入参数id='1e3'即科学计数法10的3次方运算,等于1000,如截图所示也显示出来flag。

  尝试传入参数id=/**/1000/**/在sql语句中,星号之间是注释说明,如截图所示也显示出来flag。

  尝试传入参数id=/*!1000*//*!1000*/在sql语句中是内联注释,如截图所示也显示出来flag。

 二、$_GET['id']获取到的参数是String类型的

如下图所示,尝试传如参数id='1000'或id=8时,$_GET['id']获取到的id数值类型是String类型的。

所以想要输出id=1000时的结果,需要查看intval()的运行结果,且需要查询sql能正常执行。

比如,传入参数id=id=2 or id=1000 --+,intval("id=2 or id=1000 --+")的运行结果是2,且sql执行结果是查询出了id=2 or id=1000的结果。

比如,传入参数id='1000',intval("'1000'")的运行结果是0,查询sql时id='1000',直接查询出id=1000的结果。

比如,传入参数id=01750,intval("01750")的运行结果是1750,所以未能执行sql,查不出来flag!

另外,就是id传入的参数是字符串,intval()转为整数时,是一位一位转换为整数时,遇到非数字值时则停止,若没有数值,则直接返回0,所以intval("id=2 or id=1000 --+")转换为整数时是2。

三、intval()函数尝试

再返回来看看该题,传入参数id=1000时报错;审计代码,使用intval($id)函数进行条件判断,菜鸟教程查询该函数,解释如下:

 被这个intval()函数搞得晕头转向了😓

 在csdn的InsCode编辑其中,中进行了如上尝试,感觉貌似知道了intval函数啥意思,又被菜鸟教程的实例搞晕了,继续尝试,怎么都没法理解,想出来的奇葩理由🤭:

对于这个函数神奇的表现,猜测如下😂:

intval()函数返回的是十进制的整数。

第一个参数可以是数字、可以是字符串。

第二个参数是指定第一个参数的数字类型(二进制、八进制、十六进制......),可以指定,也可以不指定,不指定时默认为十进制,若是0,将会对第一个参数做合法性校验。

第一个参数若为字符串,转换为十进制时是一位一位来计算的,若和第二位参数指定的类型不符时,遇到不合法位前,也会一位一位计算出第二位参数指定进制的十进制结果;若没有指定第二个参数,那么默认按十进制转换;第一个参数若为数值时,第二个参数指明的类型是否正确,你就别给我胡强了的感觉😄。

另外还有个特殊情况,就是第二个参数可以是0,是0时,会判断第一个参数是不是满足数据类型要求,比如二进制0b10(二进制以0b开头,数值部分只能包含1或0),八进制072(八进制以0开头,数值部分只能包含0至7这8个数字),十六进制0xa8(十六进制以0x开头,数值部分只能包含0至9,a至f),若不满足数据类型要求,则直接报语法错误!

XiaoXiao_RenHe
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ctfshow-VIP题目-Web-详细解题思路
01-27
cookie泄露:根据题目提示,用burp抓包,查看cookie,发现flag,flag:ctfshow{f1d3941b-a3a7-4ff0-aae1-18d917299635}。 域名txt记录泄露:可以使用以下网站:在线域名解析记录检测-在线Nslookup域名解析查询工具 ...
CTFshow---WEB入门---web7、8
qq_43752749的博客
12-11 386
web7和web8都是因为.git或者.svn版本控制错误配置所造成的源码泄露。根据提示可知存在版本控制配置不当。
CTFShow:萌新web1
weixin_64089259的博客
04-14 920
第一次做web1题目,刚开始一脸懵逼,看了大佬的一些博客,才做出来,心里非常激动!
CTFSHOW 萌新 web1 解题思路和方法
最新发布
weixin_58052886的博客
06-15 191
点击题目链接,页面出现代码,根据代码可知我们需要提交id参数名,而想要获得flag,数据库查询时的id值需要等于1000。此时我们可以想到通过两数和的方式进行提交,只要两数的和等于1000即可(需要urlencode一下)但是根据代码可以发现,当id>999的时候,if判断,会直接退出并返回错误。
ctf.show萌新_web1
人若无名,便可专心练剑
04-28 226
id=100 or id=1000//就是用一个id小于999的来进行验证,然后再给他一个1000的值进行判断。得到flag:ctfshow{10d957e0-b365-4483-bc47-ec076c86ac64}web2 :相同的原理,直接为?,所以两次操作就会变为原来的数字。,是在这个数字加一的基础上进行。
ctfshow 萌新web系列--1
qq_61632010的博客
08-25 746
打开靶机 <html> <head> <title>ctf.show萌新计划web1</title> <meta charset="utf-8"> </head> <body> <?php # 包含数据库连接文件 include("config.php"); # 判断get提交的参数id...
ctfshow web入门——web7
m0_74093152的博客
01-29 337
ctfshowweb入门——web7
ctfshow-萌新-web1( 利用intval函数的特性获取敏感数据)
热门推荐
wangyuxiang946的博客
09-08 1万+
ctf.show 萌新模块的web1关, 这一关考察的是intval()函数转换字符串时的特性以及SQL的拼接绕过 这一关直接就给了源码, 并提示我们 id = 1000 时, 就是flag 先分析一下源码, 首先是 intval()函数将参数id转换为数值型, id > 999直接die()结束程序, 也就是说我们传递的id不能大于 999, 明知道1000就是flag, 但不能直接传1000, 否则程序会直接die()结束, 传递的id 即不能大于999, 又需要查询 1...
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标题】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web题目,该题目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
CTFSHOW【萌新计划】Writeup
abtgu的博客
05-16 2734
CTFSHOW【萌新计划】web1【萌新计划】web2【萌新计划】web3【萌新计划】web4【萌新计划】web5【萌新计划】web6【萌新计划】web7【萌新计划】web8【萌新计划】web9【萌新计划】web10【萌新计划】web11 【萌新计划】web1 题目: 代码很安全,没有漏洞。 解题思路: 题目代码 <html> <head> <title>ctf.show萌新计划web1</title> <meta charset="u
{CTFshow} 萌新web1 详解
lfc18950509270的博客
08-06 310
好家伙,直接明了,就是让我审计代码,看完发现,我们要用get方式提交,flag在id=1000,但是直接提交id=1000会返回错误,所以我们需要再添加一个id用来防止被拦截。没错,本来是这样的,但是我们查看id=2的内容的时候,发现为空,所以排序的时候id=2会排在后面,id=1000就变成了第一个(先看看id=1时它的内容,我们一定要仔细看它的sql语句,并且要掌握limit的用法:查完之后从小到大排序选前1个。这个时候就有问题了,从小到大的话,那前一个不是id=2的内容吗?讲一下我的理解,以供参考。
CTFshow_萌新(密码)
果粒程
12-15 732
CTFshow_萌新(密码)
CTF show----web 解题笔记(web7~web10)
weixin_45908624的博客
01-05 606
ctfshow web7-web10
ctfshow-web萌新赛(详解)
m0_63641882的博客
11-06 327
1.addslashes函数+sping的漏洞2.cookie的盗用3.代码审计+正则过滤。
CTFshow web入门 web56~web70 命令执行
qq_56815564的博客
04-18 618
这回倒好,直接告诉你不能用highlight_file()了,根据上面一堆题目的源码,可以明确的一点就是else里的那个highlight_file()被禁用的原因才导致的报错,即不能使用highlight_file()事先说明一下,eval函数的作用是获取返回值,所以传入导eval中的数据需要是一个有返回值的函数,要不就是一段小程序也行。再次发现根目录下的,flag.txt,直接进得到。
ctfshow-web7
HAI_WD的博客
08-07 162
通过尝试,发现是数字型的注入,并且同样是过滤了空格。获取一下flag即可。
ctfshow web2萌新
09-03
ctfshow萌新中的web2关卡使用了intval()函数强制将参数转换为数值型,但通过使用特殊字符和运算符,我们可以绕过过滤,控制SQL查询的结果,从而获取flag。在这个关卡中,or被过滤,但我们可以使用加号、减号、乘号、除号、或、左移等方式来绕过过滤。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [ctfshow-萌新](https://blog.csdn.net/qq_43618536/article/details/125789821)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [ctfshow-萌新-web2( 利用intval函数特性配合SQL的特殊符号获取敏感数据 )](https://blog.csdn.net/wangyuxiang946/article/details/120199951)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值