[极客大挑战 2019]BabySQL;[ACTF2020 新生赛]BackupFile;[护网杯 2018]easy_tornado;[极客大挑战 2019]BuyFlag
极客大挑战 2019]BabySQL
or
被过滤了,双写绕过
之后双写应该都能绕过相关的过滤字符
查库
查表时information
里面存在or
,故可以双写or的部分
如infoorrmation
查字段
查字典内容
[ACTF2020 新生赛]BackupFile
扫描得到index.php.bak文件,打开得到源码
<?php
include_once "flag.php";
if(isset($_GET['key'])) {
$key = $_GET['key'];
if(!is_numeric($key)) {
exit("Just num!");
}#判断是否为数字
$key = intval($key);#获取变量的整数值
$str = "123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3";
if($key == $str) {
echo $flag;
}弱类型比较
}
else {
echo "Try to find out source file!";
}
PHP弱类型比较会先将变量转换成相同的类型再进行比较,故str会转换成123,因此key=123,
得到flag
[护网杯 2018]easy_tornado
提示flag in /fllllllllllllag
,render模板注入,加密md5(cookie_secret+md5(filename))
看了wp才得知是render模板注入,引用一下wp的解释
----“tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量”
所以使用http://11dcb1e9-1436-4c16-a827-72a17e3e7374.node4.buuoj.cn:81/error?msg={{handler.settings}}
得到cookie_secret
加密
得到flag
[极客大挑战 2019]BuyFlag
检查源码,可得知存在pay.php
访问后,需要满足一下条件
user=0
说明不是cuit的学生,故将此改为1,password为php弱类型比较,先将变量类型转换成相同的类型再进行比较,故404a=404
这里提示数字太长,
故可以使用科学计数法1E9
表示10亿