攻防世界-upload

最新推荐文章于 2024-04-22 17:07:01 发布
最新推荐文章于 2024-04-22 17:07:01 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: #ctf 文章标签: html css
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44065556/article/details/120449847
版权

进入场景映入眼帘

 需要注册账号

注册好之后,登录跳转页面

 突破点应该就在这里了

我们先上传一个php文件

显示不正确的文件扩展名,被拦了

用burp抓包改信息

成功上传 但是没有上传路径 只能上传不能利用

思考(题目给的是upload,给的引导思路 就是上传文件拿flag)

我试着上传jpg,png格式的图片文件

 有文件名回显,这说明文件已经被传到了数据库中,游览器又从数据库中读取了上传的文件,那么这个过程久有可能触发sql注入,那么将文件名中加入sql语句,尝试burp抓包修改

 可以看出select被过滤了,之后的尝试 from也被过滤了,那么尝试双写绕过

双写绕过成功

由此可以得出结论肯能存在sql注入.

尝试去验证sql注入的存在

 

 sql语句是执行了,但无法输出执行结果.(可能数据被过滤掉了)

那么尝试将查询结果改为16进制输出

 输出7765626(7765625 + 1) 用16进制解码字符串为web.

这里有个坑,  插入数据库文件名中如果包括SQL语句,在返回信息时,服务器将对字母进行截断(某些特殊字符也会截断或过滤) 尝试用10进制表示 conv函数(src,from_base,to_base) src是要转换的数据, from_base是原进制, to_base是目标进制.

使用CONV是因为题目过滤了回显有字母的情况,如果出现了字母则后面的内容就不显示,所以需要将16进制的内容转成10进制

构造payload '+(selselectect conv(hex(database()),16,10))+'.jpg

用了科学计数法(估计是数字太长了,这里就需要截断获取数据了

 构造payload:'+(selselectect conv(substr(hex(database()),1,12),16,10))+ '.jpg (经过测试发现长度最大为12,超过12 就会返回科学计数法表示)

通过解码得到web_up

 取下一段'+(selselectect conv(substr(hex(database()),13,12),16,10))+ '.jpg

 解码得load拼起来得web_load

有看库名,就开始爆表名,再之后是字段名

不再一一赘述 方法类似

最后得到flag

!!_@m_Th.e_F!lag

皮皮逗逗逗
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界Training-Stegano-1
10-31
攻防世界Training-Stegano-1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127614642
攻防世界upload
qq_51744055的博客
05-03 640
Hex()是MySQL的Sring函数。 此方法返回给定数字或字符串的十六进制字符串 a' +(selselectect conv(substr(hex(database()),1,12),16,10))+ '.jpg 数据库名变成16进制 选取从第一个字母开始,往后数12个字母 hex 16进制再16进制 CONV(n,from_radix,to_radix):用于将n从from_radix进制转到to_radix进制 substr(str,start,length):将str从st
攻防世界upload1
金 帛的博客
04-24 2335
攻防世界之文件上传
CTF-WEB篇 攻防世界题目实战解析upload1
最新发布
2301_76565920的博客
04-22 666
题目:upload 知识点:一句话木马,webshell,burpsuite拦截并修改数据包
攻防世界upload1(web)
yuanxu8877的博客
11-22 993
攻防世界web-upload1
file upload 攻防世界_攻防世界 upload
weixin_36443680的博客
02-23 231
攻防世界上的一道web题为什么我觉得完全不像萌新入坑的题呢 退坑还差不多吧一看名字以及页面想当然的就是文件上传了呗 结果各种尝试,也没什么办法,但是每次我们上传后会有文件名的回显 但是正常的文件上传也都有这种名字的回显,可能不太寻常的就是这个没有路径吧最后看的writeup 说是sql注入????不明白怎么能看出来是注入的图片文件名存在注入,并且过滤了select from 用双写就能绕过p...
攻防世界的里的upload1
一大口木的博客
05-23 566
点击后的页面看一下我的一句话木马。
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
攻防世界nice-bgm杂项
11-20
攻防世界nice_bgm杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953246
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界web进阶upload1
0pt1mus
03-13 868
转自个人博客0pt1mus 打开网站,可以发现只存在一个选择文件框和一个上传按钮。 我们可以考虑直接上传一个一句话木马尝试。 <?php @eval($_POST['shell']);?> 快速弹出警告框,让上传图片文件。猜测是前端js判断。 F12打开控制台,成功发现js代码,右击直接删掉。 重新选择一句话木马,此时发现上传按钮无法点击,在F12的console中将按钮的di...
攻防世界--upload
qq_46263951的博客
01-09 702
这道题真是涨芝士了,原来文件名也能SQL注入... 这里应该是将文件名存到数据库中并返回到页面上显示出来 测试这里通过select时,字母无回显,十六进制无法使用,所以要使用十进制,并且要防止溢出 select、from被过滤,双写绕过 CONV(n,from_radix,to_radix):用于将n从from_radix进制转到to_radix进制substr(str,start,length):将str从start长度为length分割 hex(str):将str转成十六进制 payl
攻防世界upload1
bjml_的博客
11-06 552
攻防世界upload1
攻防世界-web-upload1
wuh2333的博客
05-21 286
攻防世界upload1
攻防世界-upload1-(详细操作)做题笔记
qq_43715020的博客
06-14 6759
攻防世界-upload1-(详细操作)做题笔记
攻防世界web进阶区upload
gongjingege的博客
08-15 438
这道题头都被打烂了。。。 题目为upload,第一反应文件上传,一句话菜刀就行了,结果,结果是注入。。。 (思维还是不灵活,脑洞还是不够大) 打开题目,先注册,这里没有注入 登录然后进入上传界面 写个一句话木马,上传 试了好几个,php,txt,都是文件扩展不对,只有jpg可以,应该是白名单过滤 同时界面将文件名回显 推测,将文件存入了数据库,显示文件名,当你输入查询数据库的语句时,是不是可以读取数据库 那么,结合大佬的wp,将文件名构造成sql查询语句(这个思路骚气。。。) 试着构造的时候,发现sel
攻防世界XCTF:upload
末初的CSDN博客
03-08 810
这里有个注册登入,迷惑行为,漏洞不在这里 这题比较意外,不是上传题是sql注入而且还是文件名的SQL注入, 因为回显的只是文件名,然后它存入数据库的也可能是文件名,既然连接了数据库就可能存在注入漏洞。然后就能想到可能是文件名sql注入。 任何与数据库发生连接交互的地方都可能存在SQL注入! 然后就开始构造文件名的payload,首先介绍几个函数。 conv(N,from_base,to_ba...
【愚公系列】2023年06月 攻防世界-Web(upload
时光隧道
06-20 6857
SQL注入的16进制绕过是指攻击者使用16进制编码绕过输入过滤和防御措施,从而执行恶意的SQL语句。例如,当输入过滤器检测到单引号时,它可能会将其替换为两个单引号,以避免SQL注入攻击。然而,攻击者可以使用16进制编码来绕过这一过滤器。这里的0x27是单引号的16进制编码,而0x2720656e7472616e63652070617373776f7264是" 'entrance password "的16进制编码,用来代替密码字段。攻击者可以使用类似的技术来绕过其他类型的输入过滤器和防御措施。
攻防世界-get_post
08-24
攻防世界中,"get_post" 是一个题目,要求学习如何使用GET和POST请求来传递参数。在这个题目中,首先让我们使用GET方式传递一个名为a,值为1的变量。我们只需要在URL窗口输入"/?a=1"并回车即可。接下来,又让我们使用POST方式传递一个名为b,值为2的变量。我们可以使用一些工具来执行这个操作,比如Max Hackbar(Hackbar的替代品)。在Max Hackbar中,我们将题目的地址粘贴到第一个窗口中,在下方窗口中输入"b=2",然后点击"Execution"按钮,即可得到flag。此外,我们也可以使用Python编程代码来发送POST请求,准备要提交的数据并发送请求,然后处理响应并打印出来。以上就是攻防世界中关于"get_post"题目的解答方法。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [C#winform工具模拟getpost请求,app防攻击加密源码](https://download.csdn.net/download/xiaogxiao/9638711)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [攻防世界:get_post](https://blog.csdn.net/qq_57061511/article/details/117886323)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [【攻防世界】get_post](https://blog.csdn.net/m0_74979597/article/details/131676045)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值