千毒网盘(第六届上海市大学生网络安全大赛)

最新推荐文章于 2022-03-03 12:08:12 发布
最新推荐文章于 2022-03-03 12:08:12 发布
阅读量465 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46485934/article/details/109816557
版权

千毒网盘

在这里插入图片描述

源码泄露

web1.zip

代码审计

在这里插入图片描述分析index.php和code.php的重要代码

  • index.php:
<?php
			include 'code.php';
            #GET: ?_POST[code]=114514'payload     POST: code=114514'payload
			$pan = new Pan();

			foreach(array('_GET', '_POST', '_COOKIE') as $key)
			#
			{   
				if($$key) {
					foreach($$key as $key_2 => $value_2) { 

						/*$$key = $_GET (数组) = {_POST => {code=>114514'}} 
						$key_2 = _POST $value_2 = {code=>114514'}
						$$key2 = $_POST  $_POST = {code => 114514'}=value_2*/
						if(isset($$key_2) and $$key_2 == $value_2) 				
							unset($$key_2); 
					}
				}
			}
			if(isset($_POST['code'])) $_POST['code'] = $pan->filter($_POST['code']);
			/*
			extract函数 该函数使用数组键名作为变量名,使用数组键值作为变量值
			EXTR_SKIP - 如果有冲突,不覆盖已有的变量
			*/
			if($_GET) extract($_GET, EXTR_SKIP); # $_GET={_POST => {code=>114514'}}  $_POST = {code=>114514'}
			if($_POST) extract($_POST, EXTR_SKIP);
			if(isset($_POST['code']))
			{
				$message = $pan->getfile();
				echo <<<EOF
				<div class="alert alert-dismissable alert-info">
				 <button type="button" class="close" data-dismiss="alert" aria-hidden="true">×</button>
				<h4>
					注意!
				</h4> <strong>注意!</strong> {$message}
				</div>
EOF;
			}
			?>
  • code.php:
<?php

class Pan
{
    public $hostname = '127.0.0.1';
    public $username = 'root';
    public $password = 'root';
    public $database = 'ctf';
    private $mysqli = null;

    public function __construct()
    {
        
        $this->mysqli = mysqli_connect(
            $this->hostname,
            $this->username,
            $this->password
        );
        mysqli_select_db($this->mysqli,$this->database);

        
    }

    public function filter($string) 
    {
        $safe = preg_match('/union|select|flag|in|or|on|where|like|\'/is', $string);
        #/is i:将匹配设置为不区分大小写,搜索时不区分大小写
        #s: . 时匹配除换行符\n之外的任何字符,加上s修饰符子后,. 中包含换行符\n 
        if($safe === 0){
            return $string;
        }else{
            return False;
        }
		    
    }
#获取文件
    public function getfile()
    {
        
        $code = $_POST['code'];

        if($code === False) return '非法提取码!';
        $file_code = array(114514,233333,666666);
        
        if(in_array($code,$file_code))
        {
            $sql = "select * from file where code='$code'";
            $result = mysqli_query($this->mysqli,$sql);
            $result = mysqli_fetch_object($result);#从结果集中取得当前行,并作为对象返回
            return '下载直链为:'.$result->url;
        }else{
            return '提取码不存在!';
        }
        
    }

}

可疑点

  • sql注入:
    在这里插入图片描述查询变量可控,可能存在sql注入。
    在这里插入图片描述
    filter函数,正则匹配过滤,看到过滤了 ‘ ,无法进行sql注入

尝试绕过filter(重点)

在这里插入图片描述重点就在上图的代码中,变量销毁和变量重置

if(isset($_POST['code'])) $_POST['code'] = $pan->filter($_POST['code']);

filter中传入的是$_POST['code'],要想绕过filter对我们传入的值的过滤,就得销毁变量$_POST['code']
绕过后,接着变量重置

  • 分析过程
    先抓个包
    在这里插入图片描述
    抓包,get和post同时传参。
    GET:?_POST[code]=114514’payload
    POST: code=114514’payload
    要想变量销毁,就要满足if(isset($$key_2) and $$key_2 == $value_2)
    才能执行unset()
    变量销毁(过程见注释):
    在这里插入图片描述

变量重置:
在这里插入图片描述最后成功进入sql语句里面执行

进行注入

就是简单的注入,没有限制

软大彭少
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
第六届上海市大学生网络安全大赛 | Wp
Lemon's blog
12-03 1197
文章目录MISC0x00:签到0x01:pcapWeb0x01:千毒网盘 MISC 0x00:签到 linux运行一下即可得到flag 0x01:pcap 提示:请分析附件中的dnp3协议 Web 0x01:千毒网盘 这个题有源码泄露 http://eci-2ze636qtsw50d6niueft.cloudeci1.ichunqiu.com/www.zip 在code.php文件中发现sql语句,做题的时候没有观察到index.php文件中的变量覆盖,一直以为是要绕过单引号,然后进行SQL注入得
千毒网盘
Marsper的博客
11-17 514
先查看code.php中这一段的源码(注释是我自己写的),可以测试提交$file_code中数组的值。 测试结果如下图 猜测flag可能会通过提交正确的提取码显示在这个位置。 然后看index.php页面查看源码,发现许多函数不认识,查了相关资料说是变量覆盖。可查看文章https://www.cnblogs.com/test404/p/9779235.html 还是没能完全理解,写一个类似的代码测试。 由于array中的内容是_GET和_POST,所以先尝试用GET提交。 <?php forea
2020全国大学生网安邀请赛暨第六届上海市大学生网安大赛-千毒网盘
末初的CSDN博客
11-18 1618
文章目录千毒网盘HelloTryToLogin 千毒网盘 根目录/www.zip有源码 index.php <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <link rel="stylesheet" href="/css/bootstra
I love 114514,Java数据结构与算法pdf百度云
m0_60549868的博客
08-07 557
Output For each test case, output a single line contain the answer for the test case. Sample Input、 2 114514 1919810 Sample Output AAAAAA Abuchulaile 题解 就是看那个字符串能不能找到  114514 作为子串 #include<iostream> using namespace std; int main() { int
2020 上海市网络安全大赛 web
qq_45691294的博客
11-19 1658
文章目录千毒网盘in_array绕过变量覆盖联合注入布尔盲注hello注入点绕过与利用 千毒网盘 题目是后期复现的,无js,页面较丑 打开题目,直接看到一个表单,发现存在备份文件www.zip 发现index.php和code.php in_array绕过 先看code.php的getfile函数,此函数处理的是传入的参数进入数据库查询下载直链的过程,这里发现传入并没有经过任何的过滤,明显的存在SQL注入 public function getfile() {
第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛)其他赛题
08-05
【标题】:“第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛)其他赛题”揭示了这是一场聚焦网络安全的竞赛,旨在提升大学生网络安全领域的技能和实战能力。蓝帽杯作为一项知名的赛事,每年都会吸引众多学子...
【电子取证】计算机取证(第六届”蓝帽杯“全国大学生网络安全技能大赛
07-13
第六届"蓝帽杯"全国大学生网络安全技能大赛正是这样一个平台,旨在培养和挖掘大学生网络安全,尤其是电子取证方面的能力与潜力。 电子取证,或称数字取证,是指在法律框架下,对电子设备中的数据进行收集、分析、...
2023年台州市第三届网络安全技能大赛(MISC1)
10-07
2023年台州市第三届网络安全技能大赛(MISC1)是一场聚焦于网络安全领域的专业竞赛,旨在提升参赛者在信息安全领域的实战技能和理论知识。MISC,全称为Miscellaneous,通常在网络安全竞赛中表示涵盖广泛安全问题的类别...
2021年“绿城杯”网络安全大赛
09-30
6. **取证分析**:模拟真实世界的情景,参赛者需要收集和分析数据,以确定安全事件的发生过程,这可能涉及到硬盘取证、内存取证和网络流量分析等。 7. **物联网安全**:随着物联网设备的普及,比赛可能涉及IoT设备...
“互联网+”大学生创新创业大赛项目计划书.pdf
03-12
“互联网+”大学生创新创业大赛项目计划书.pdf“互联网+”大学生创新创业大赛项目计划书.pdf“互联网+”大学生创新创业大赛项目计划书.pdf“互联网+”大学生创新创业大赛项目计划书.pdf
第六届上海市大学生网络安全大赛__千毒网盘
Sk1y的博客
03-03 1021
千毒网盘 复现题目,变量销毁和变量重置,sql注入(本地环境有点问题) 文章目录千毒网盘源码泄露变量销毁和变量重置sql注入参考链接 源码泄露 源码泄露,找到www.zip,下载,里面有两个文件,index.php和code.php index.php <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, in
第五届上海市大学生网络安全大赛
lonmar的博客
11-19 973
web web刷的题目还是太少了,SQL注入和SSTI的一些常见姿势,利用链都不知道,Orz 千毒网盘 扫描目录可以发现网站备份,下载得源码,进行代码审计 首先发现了SQL语句,肯定要想到注入 发现有过滤,直接绕这个过滤语句肯定绕不过去(引号都过滤了orz),所以再看看别的点 发现在过滤语句下面可以进行变量覆盖,后面参数为EXTR_SKIP,所以就不能覆盖已有的变量 但是想要注入就必须在$_POST[‘code’]上下手,而$_POST变量在程序运行时会自动创建. 这时候看到最上面有个unse
磁力链磁力链磁力链.txt
最新发布
07-22
磁力链
“人力资源+大数据+薪酬报告+涨薪调薪”
07-22
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。
安装graphviz和pygraphviz
07-22
pygraphviz 是一个Python库,它是Graphviz图形可视化软件的Python接口。Graphviz是一个开源的图形可视化软件,广泛用于创建和编辑有向图和无向图。pygraphviz使得Python开发者能够轻松地创建和操作图形,以及执行图形的布局和可视化。 一、pygraphviz的主要功能 创建和编辑图形:pygraphviz允许开发者通过Python代码来创建图形,包括添加节点、边等元素,并且可以编辑这些元素的属性,如颜色、形状、标签等。 图形布局:pygraphviz支持多种图形布局算法,如dot、neato、circo等,开发者可以根据需要选择合适的算法来优化图形的布局。 图形可视化:pygraphviz可以将创建和编辑好的图形保存为图片文件,支持多种图片格式,如PNG、JPEG等,方便开发者进行展示和分享。
BrainF**k Devlopment Toolkit
07-22
BrainF**k Devlopment Toolkit(BFDTK),可用于开发BrainF**k程序。
基于UC3875控制的大功率全桥开关电源设计(提供原理图、PCB图)
07-22
基于UC3875控制的大功率全桥开关电源设计(提供原理图、PCB图) 1、使用UC3875为控制芯片; 2、NCP1253为辅助电源设计,输出12V,给控制芯片供电; 3、UC3845做BOOST升压控制,实现市电整流升压到400V; 4、全桥拓扑设计结构; 5、后级输出同步整流设计; 6、过压硬件保护电路; 7、过流硬件保护电路; 8、提供原理图、PCB图;
毕业设计javajsp大学兼职信息网sqlserver-qp源码含文档工具包
07-22
毕业设计javajsp大学兼职信息网sqlserver-qp源码含文档工具包 页面是jsp,数据库sqlserver,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 (1)网站前台功能: A、信息搜索功能(分类检索) B、用户登录、注册 C、查看发布兼职信息 D、预定兼职 E、个人简历的编辑(也可以上传自己制作的简历) F、用户投诉 G、留言版 H、新闻公告(职场资讯) I、职场攻略(包含面试技巧以及简历指导) (2)管理员后台功能: A、用户信息管理
磁力链,Magnet2Torrent - 磁力链转种子利器
07-22
磁力链,Magnet2Torrent —— 磁力链转种子利器
2020大学生网络安全知识竞赛详解及常见问题解析
本次文档是关于2020年大学生网络安全知识竞赛的决赛题目和答案,涵盖了多个关键的网络安全知识点。以下是部分内容解析: 1. **《中华人民共和国电子签名法》** (2分) - 中国关于数据电文、电子签名及其相关法律责任...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值