CTF之懵懂时期系列---因缺思汀的绕过

最新推荐文章于 2022-11-09 21:05:08 发布
最新推荐文章于 2022-11-09 21:05:08 发布
阅读量428 收藏
点赞数 1
分类专栏: web安全 文章标签: ctf sql关键词绕过 sql注入 渗透思路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nini_boom/article/details/89072362
版权

题目链接:http://ctf5.shiyanbar.com/web/pcat/index.php
这道题严格来说,我只解了一半,考点在于源码分析、group by with rollup、关键字绕过.

这一篇的文章和之前ctf系列的不一样,之前的都是学习,反推别人的思路,这次以自己的思路为博客的主线。

一、发现源码

在这里插入图片描述
右键查看网页源代码(ctf是否有意培养我们这样的习惯?)
在这里插入图片描述
source.txt这个字段有些诡异,测试一下看看:
http://ctf5.shiyanbar.com/web/pcat/source.txt
结果很明显,源代码在这里。

二、代码审计

我们审计下代码,发现了这些关键信息。

  • AttackFilter这个函数过滤了and|select|from|where|union|join|sleep|benchmark|,|(|)等关键词和符号。
  • 注入点如下SQL
SELECT * FROM interest WHERE uname = '{$_POST['uname']}'
  • 三种不同的error print,可以让我们基于错误信息判断注入情况
  • 针对返回结果数(1)和pwd进行校验,确认登入信息。

在这里插入图片描述

三、构造sql的探索过程

可知,注入点的语句是它:

SELECT * FROM interest WHERE uname = '{$_POST['uname']}'

条件反射想到,闭合加注释注入。
注入语句: ’ or ‘1’=‘1’ #
前面一个单引号用于闭合代码前面的单引号,#注释掉代码后面的单引号。于是构造了这样的sql

SELECT * FROM interest WHERE uname = '' or '1' = '1' #

返回错误如下,复查代码发现,此条sql语句返回的结果有多个,> 1。
在这里插入图片描述
那怎么办?使用limit限制结果呢?

注入语句:’ or ‘1’ = ‘1’ limit 1 #
SQL语句就变成了:

SELECT * FROM interest WHERE uname = '' or '1' = '1' limit 1 #

输入,结果:
在这里插入图片描述
很好,基于不同的错误,确认了注入点可不断地利用,也可用于验证我们的思路。(感谢《SQL注入与防御》一书,让我逐渐对注入和渗透有了科学验证的思路过程,思路很重要)

回头想下,我们要构造的SQL语句要达成什么样的目的呢?

根据代码,我们要构造可以返回有且只有一个结果,并且pwd和post(我们填入的密码)中pwd一致。

首先,返回一条结果我们已经做到了,接下来就是要知道pwd是什么。当然该网站inerest数据我自然是没办法知道的。所以,我填入的密码(pwd)自然也就是null,而该SQL构造的核心,就是要构造一条:只返回一条结果,并且pwd为null的SQL语句。

好了,上述就是我所能做到的推断了。

四、关键词绕过

可知,题目过滤了union select where等关键字,我们在注入的时候大部分情况下都要用到这些关键字,那怎么办呢?我们可以用其他关键字绕过关键字过滤

如果or 、and 被过滤,可以用||、&&代替,如果select被过滤,可以用group by配合完成查询的目的。

网上有很多类似的资料,属于死知识,不用硬记,不是很重要,用熟就好。但是这里有个问题,我怎么知道自己成功绕过了关键词的封锁了呢?

还是这个思路:基于错误判断,我输入select,返回:在这里插入图片描述
而输入
’ or 1 group by pwd limit 1 #(密码不对错误)

在这里插入图片描述
’ or group by pwd limit 1 #(多个结果错误)在这里插入图片描述
可以通过group by也可以同样达到union select limit 1的作用。
注意:第2和第3个返回的结果不同,目前只是猜测(有空在电脑上下载mysql实验下)。or 前后都是false的情况下,直接返回了错误的信息,而or 后面直接跟上1~9数字,是代表true的情况,而后面的语句会继续执行

五、破解,拿到flag!

这里,我是没有想到,新接触到的方法。
使用group by with rollup语句分组查询。
为什么要使用with rollup,主要原因是with rollup分组更加详尽,最后一组可能会出现null,从而满足我们前面SQL构造的目标。配合offset逐渐进行尝试。

这里有关于SQL语句的知识点不做过多描述,可自行百度,主要是注入思路。

poc:

‘ or 1 group by pwd with rollup limit 1 offset 2 #

在这里插入图片描述

flag到手!

六、思路优化

一道题目下来,发现做题时的思路有些繁琐没有系统的,可以进一步优化。

在实际渗透时,我在代码审计上是走了弯路的,其原因在于:没有充分认识到注入点的真实意图。说白了,审题不够。

我在没有丝毫思路的情况下,使用了

' or '1'='1' #

而为错误的结果而纠结,浪费了相当一部分时间。
其次,没有充分认识到不同错误,代表着不同的原因,也浪费了一部分时间。
而如果这两者我都考虑到了,就可以大大提高思维的效率,总结如下:

1、了解注入点成功的关键是什么,提炼出条件
2、基于错误,要知道不同错误代表什么含义。

就这样,在高铁上完成了这篇文章,继续努力吧。

nini_boom
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BMZCTF CRC32 BOOM!
qq_26243045的博客
12-03 549
下载附件,为一个压缩包 看到1,.txt和2.txt的文件大小很小,只有6个字节,尝试使用crc爆破: 使用CRC32.py进行爆破: 将两张图内的字符串组成密码字典: ``` s1=["1x5NQ8","9O2a5H","G1qi4N","IsCdeH","NjDZOc","OvJ7Un","P8CUk2","PT0xov","QTqIto","Rh5f6k","XBiGbJ","Z3AdV_","gsombC","mY3L6b","newctf","p7plP7","t3mm.
[CTFSHOW][WEB入门] SQL注入
fallingskies
10-07 907
web171 参数类型 字符型 SQL语句 SELECT 注入方式 回显注入 查询语句 //拼接sql语句查找指定ID用户 $sql = "select id,username,password from ctfshow_user where username !='flag' and id = '".$_GET['id']."' limit 1;"; # 确定回显列数 -1' union select NULL,NULL,NULL--+ # 查询当...
CTF第七天
qq_52680097的博客
05-31 178
[强网杯 2019]随便注 1 先打这个 1' and 1=1#和 1' and 1=2# 返回结果不同,说明有sql注入 再打1' or 1=1# 虽然不知道这些信息有啥用 再看看有几列 当输入1' order by 3#时返回了报错信息,说明只有2列 接下来试试堆叠注入 堆叠注入原理 在sql中,分号表示一条语句的结束。如果在分号的后面再加一条语句,这条语句也可以被执行,继续加一个分号和一条语句,这样就可以在一次数据库的调用中执行多个语句。 mysql> select * from user
CTF网络安全大赛 Crypto boom
艺博东的博客
05-11 1万+
CTF网络安全大赛 Crypto boom 1、Boom there have a game. 2、运行,输入cmd–>把下载好的文件,直接拖动进程序里 3、按回车 4、按任意键–>跳出md5密文 5、解析密文 md5:46e5efe6165a5afb361217446a2dbd01 md5在线解密破解,md5解密加密: https://www.cmd5.com/ 6、查询结果为en5oy 把输入en5oy–>回车–>请按任意键继续… 7、解方程 8、解得x=74,y=
hashcat破解KeePass,stegpy隐写爆破(美团CTF Boom)
qq_47168481的博客
12-26 4790
hashcat以及stegpy的知识复习
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF-misc工具2-CTF-Tools-masterV1.3.7
最新发布
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-All-In-One 20171015
10-15
CTF-All-In-One 20171015 CTF-All-In-One 20171015 一本 CTF 领域的大杂烩指南
ctf-all-in-one.pdf
05-25
CTF-All-In-One(CTF 从入门到放弃) ——“与其相信谣言,不如一直学习。”ctf基础加入门题
BUUCTF·[网鼎杯 2020 青龙组]boom·WP
sm1918451478的博客
11-09 606
BUUCTF·[网鼎杯 2020 青龙组]boom·WP
CTF——常见题型
Boom!脑洞大爆炸的博客
07-11 5837
入门CTF基础题
实验吧 因缺思汀绕过 By Assassin(with rollup统计)
Assassin
01-29 7241
这个题目还是比较新鲜的,很久没回实验吧了学到了很多的姿势~不得不说不看提示真心想不到这些,嗯。首先我们需要了解题目中php的工作原理,首先审源码得到了source.txt得到了源码,然后我们看一下源码干了什么,主要就是一个登陆认证!<?php error_reporting(0);if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
实验吧密码学WriteUp(二)
Yale的博客
03-19 6800
1.最近在论证一个问题,到底是先有鸡还是先有蛋(http://www.shiyanbar.com/ctf/37) 看着几个字符在键盘的位置,直接就是三个圈圈,圆心的三个字符就是答案 答案:KEY2.一段奇怪的代码(http://www.shiyanbar.com/ctf/34) 根据提示Asp encode解密即可 key:VbSciptEncodE 3.小case(http://www
CTF-实验吧因缺思汀绕过
才不是小弱鸡的博客
05-07 474
web题嘛,第一步肯定是看源码。f12后发现这样一些奇怪的东东接下来肯定是打开这个文件嘛打开后就看到了php源码啦(是不是很开心!)分析一下源码可以看到这里过滤了一些sql语句(嗯,这些东西接下来不能用了)这里的意思大概是选择操作的数据库为db(数据库看不到QAQ)然后将咱们输入的uname在数据库查询uname和key,再将key和咱们输入的pwd比对,相等就打印flag。然后就要用一个注入的小...
在线CRC32网站
冷饮
07-30 1万+
由于用到STM32的CRC32硬件,发现直接CRC出来的结果,跟PC端的工具不一致.因此,在21论坛看到,这两个不错的验证CRC算法的在线网站. CRC32验证 CRC32验证
实验吧CTF刷题记录(web篇)
sinat_21923549的博客
03-10 8664
1.这个看起来有点简单 解题链接: http://ctf5.shiyanbar.com/8/index.php?id=1 手工检测是否存在sql注入 使用sqlmap爆出当前数据库my_db 发现可能藏有key值的thiskey表 进一步爆出字段k0y并得到key值。 2.程序员的问题 解题链接: http://ctf5.shiyanbar.com/web/4/index
CRC32爆破小结
热门推荐
0verWatch的博客
02-24 3万+
前言 最近在bugku遇到了一道隐写题,binwalk之后发现里面有很多个压缩包。。。。。。然后就无从下手,于是查看别人大佬的wp才发现是CRC32爆破,由于本人第一次遇到这种题目,就记录一下吧。。 正文 CRC想必大家都知道,它的全称是循环冗余校验(Cyclic Redundancy Check, CRC),用来校验文件是否出错但并不能用于自动纠错。。emmmm,计组上课好像讲过,...
Mysql注入点在limit关键字后面的利用方法
m0_46315342的博客
07-23 734
遇到一个这样贱贱的题目: 小明经过学习,终于对SQL注入有了理解,她知道原来sql注入的发生根本原因还是数据和语句不能正确分离的原因,导致数据作为sql语句执行;但是是不是只要能够控制sql语句的一部分就能够来利用获取数据呢?小明经过思考知道,where条件可控的情况下,实在是太容易了,但是如果是在limit条件呢? 所以就写一篇博客记录一下 先看看 mysql 5.x 的文档中的 select 的语法: SELECT [ALL | DISTINCT | DISTINCTROW ] [HIGH_PRIORI
ctf工具之binwalk--windows下(misc).rar
07-30
对于CTF比赛来说,binwalk可以帮助我们进行文件的分析和提取,从而更好地理解题目并解决问题。 在Windows下使用binwalk,我们首先需要在官方网站(https://github.com/ReFirmLabs/binwalk)下载并安装binwalk的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值