一天一道ctf 第50天(二次注入)

最新推荐文章于 2024-08-05 19:37:30 发布
最新推荐文章于 2024-08-05 19:37:30 发布
阅读量372 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scrawman/article/details/119534448
版权

[CISCN2019 华北赛区 Day1 Web5]CyberPunk
在这里插入图片描述
在这里插入图片描述

查看源代码,可能有文件包含漏洞,直接读取是不行的,要用filter伪协议:?file=php://filter/convert.base64-encode/resource=index.php同样还可以拿到change.php,delete.php,confirm.php的源码。
代码审计,可以发现对SQL注入的参数进行了很严的过滤,但既然是题目肯定会给你造漏洞,就找那些过滤方法不一样的参数就行了。user_name和phone都用黑名单过滤了,就address只经过了addslashes的转义,所以问题肯定出在address上,可以算是人为造出来的漏洞了。
以下是change.php和config.php的代码,也是我们利用的地方。

<?php
#change.php
require_once "config.php";

if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $address = addslashes($_POST["address"]);
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        $sql = "update `user` set `address`='".$address."', `old_address`='".$row['address']."' where `user_id`=".$row['user_id'];
        $result = $db->query($sql);
        if(!$result) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单修改成功";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}
?>

<?php

require_once "config.php";
//var_dump($_POST);

if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $address = $_POST["address"];
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if($fetch->num_rows>0) {
        $msg = $user_name."已提交订单";
    }else{
        $sql = "insert into `user` ( `user_name`, `address`, `phone`) values( ?, ?, ?)";
        $re = $db->prepare($sql);
        $re->bind_param("sss", $user_name, $address, $phone);
        $re = $re->execute();
        if(!$re) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单提交成功";
    }
} else {
    $msg = "信息不全";
}
?>

在change.php中,我们更新过地址以后,会把旧的地址一并放入数据库中,造成了二次注入。在一开始注册的时候就输入一个sql注入语句作为地址,confirm.php里没有addslashes函数过滤所以不会被转义。更新以后原来的地址作为旧地址写入数据库触发SQL注入。这里使用报错注入,因为change.php会打印错误信息。

1' where user_id=updatexml(1,concat(0x7e,(select substr(load_file('/flag.txt'),1,30)),0x7e),1)#

一开始注册的时候就把SQL注入语句写进去,然后随便更新一个地址,得到flag。因为updatexml只能显示30个字符,所以分两次得到flag。在这里插入图片描述

在这里插入图片描述

scrawman
关注
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
[网络安全自学篇] 八十.WHUCTF之WEB类解题思路WP(代码审计、文件包含、过滤绕过、SQL注入
热门推荐
杨秀璋的专栏
05-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这篇文章将介绍WHUCTF部分题目,第一次参加CTF,还是能学到很多东西。下面分享四个我完成的WEB类型题目的解题过程,希望对您有所帮助。本来感觉能做出6道题目,但有两道题卡在某个点,后面几忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬
bugkuctf 多次,sql2注入2
舞动的獾
07-27 479
这道题有两个关卡,主要是学到了点儿报错注入判断过滤,这里就记录一下 以为这个注入会与id的选取有所关系,爆破了一下,发现当id=5时,出现了如下的界面 但是,后面的尝试,发现注入的话,与id=5没啥大的关系 本题给我以后的注入提供了思路,我会首先判断’号的报错以及注释符的选取后,尝试找到哪些数据被过滤掉了。 当我们输入’ 尝试闭合:’#,失败了,’%23,%27%23,’–+ 尝试输入有多...
CTF--二次注入
qq_53142368的博客
06-07 448
二次注入的博客没写完,今补充一下发出去 <!-- Debug Info: Duration: 0.59636402130127 s Current Ip: 10.244.80.46 --> 一看到current IP和last IP,就要知道,应该是把我们的IP写刀数据库里了 这样的话 就是修改X-FORWARD-FOR的值进行注入 先输入1,此时我们的current ip就是它,然后我们再次输入currnt ip是2,但是last IP就是1,因为第一次和第二次的IP不一
小白的CTF之路之二次注入
glass_york的博客
01-08 289
sqlilabs第24关,二次注入
一天一道ctf 第52二次注入
scrawman的博客
08-16 355
[RCTF2015]EasySQL 猜是一道二次注入的题目,但是找不到源码,就注册个admin‘/’'测试一下。登录以后可以看到我们输入的用户名原封不动地回显给我们,点击修改密码会报错。可以看到是双引号闭合,确定是二次注入。 用报错注入看数据库名,要注意or和空格都被过滤用||和()绕过。 admin"||(updatexml(1,concat(0x7e,(select(database())),0x7e),1))# admin"||(updatexml(1,concat(0x7e,(select
一道二次注入Getshell的CTF
Lethe's Blog
03-03 4236
这道题是CUMT第二次双月赛的一道web题,在上一篇wp:CUMT第二次双月赛——Web详解中已经详细分析过了,由于我刚入门,觉得在这道题中收获了很多知识,所以想单独放在一篇文章中,方便之后分类查阅。 关于什么是二次注入,可参考:SQL二次注入 下面进入题目: 文件管理系统 1、先扫目录,发现可以下载源码,进行代码审计。 2、查看upload.php代码,发现是如下白名单验证,无法上传绕过。 ...
sql注入基础(ctfhub sql注入
kofi的博客,已停更
08-15 798
(持续更新中)sql注入基础0x00 前言 0x00 前言 这两CTFHub上练题,刚好练到了SQL注入这个之前我一直也不是很懂,这回一做发现其中大有玄妙,所以就一起写个小总结。 CTFhHub:https://www.ctfhub.com/#/index 上面这张图是CTFHub的SQL注入技能树 ...
第一次参加CTF线下比赛的三剑客,都经历了....
weixin_43815032的博客
10-08 1201
前言赛事名称:第三届广东省强网杯参赛人员:破壳学员-罗(我)、破壳学员-香、破壳学员-白单纯给大家分享第一次参加ctf线下比赛的过程以及总结的经验 启程:深圳-广州 21日的下午2点,因为日常拖延症,不到最后一刻绝不妥协的我匆忙装好我的小电脑和一套换洗衣服就往火车站冲,地铁上给破壳随同的兄弟发微信问他啥时候到火车站集合,结果这位大兄弟说俺受伤了去不得,当时我立马就不...
CTF Web学习(二)----代码审计、burp suite应用
网络猿的博客
01-10 1283
CTF Web学习(二) 代码审计、burp suite应用 CTF Web学习目录链接 CTF Web学习(一):基础篇及头文件修改、隐藏 CTF Web学习(二):代码审计、burp suite应用 文章目录CTF Web学习(二)前言一、BugKu Web题(一)BugKu Web5 矛盾(二)BugKu Web8 文件包含(三)BugKu Web9 flag In the variable !(四)BugKu Web11 网站被黑了 黑客会不会留下后门(五)BugKu Web12 本地管理员(六
ctf小经验sql注入
04-11
sql注入一、找到注入点; 二、判断当前表的字段; 三、用联合语句查看哪几位是有效位; 四、查看当前数据库中有哪些表; 五、查看表中有哪些属性;
二次注入
03-25 359
0x0 原理 针对场景:存在另一处操作直接调用输入数据而不做其他处理 关键:【寻找另一处引用这个数据的操作】如果另一处操作直接将1’作为变量带进自身的sql语句中,且未做如转义等处理,那1’的单引号便会发生作用,起到sql注入的效果 0x11 演示 以sqlilabs 24关为例 先点击forget your pass?出来如下页面,看来是提示我们...
CTF二次注入原理及实战
hhhhhhhhh85的博客
11-15 1万+
二次注入 文章目录二次注入1、概述2、原理3、注入方法4、CTF实战 1、概述 二次注入是指已存储(数据库、文件)的用户输入被读取后再次进入到 SQL 查询语句中导致的注入二次注入是sql注入的一种,但是比普通sql注入利用更加困难,利用门槛更高。普通注入数据直接进入到 SQL 查询中,而二次注入则是输入数据经处理后存储,取出后,再次进入到 SQL 查询。 2、原理 二次注入的原理,在第一次进行数据库插入数据的时候,使用了 addslashes 、get_magic_quotes_gpc、mysql_e
CTF学习笔记15:iwebsec-SQL注入漏洞-13-二次注入
lvx++的博客
01-23 1792
一、注册用户时单引号被addslashs,不能执行 (一)注册前查看一下用户表 假设目标是获取admin用户的密码 (二)注册admin’#用户 二、找回密码时注入被执行 (一)页面观察准备 为了更好地了解二次注入原理,修改一下reset.php源码,在页面上输出SQL语句 (二)admin用户密码被找回 三、其他二次注入数据 观察初始数据有其他已经注入的数据,我们看下有什么作用 可以看出,这是打二次注入和报错注入结合使用了。 SQL注入小结 自此,用周末1半的闲暇时间完成了iwebsec
二次注入CTF实战
最新发布
qq_63034068的博客
08-05 415
addslanshes这个会过滤掉会进行一个转译,但是进入mysql库里的时候转义字符会移除,所以出库的时候就没有了转义字符,所以我们这里可以进行二次注入在comment里。进入靶机有一个发帖的功能,我们点击提交发现需要我们登录。可以拿到数据了,后面就是修改payload。他会从数据库里把category拿出来。他首先需要一个登录这里我们已经登录了。发完贴他会直接跳回index.php。这里可以用bp抓包进行暴力破解。进来发现我们干不了什么。点击详情会看到这个文件。用dirmap扫一下。
2015年rctf web150 (Update set 二次注入)
一个码农的笔记
11-17 4247
坦诚说,这次的题目脑洞有的大 http://180.76.178.54:8001/17752375bfee20369364468686989278/memberpage.php 此题略去登陆与注册还有前面上传的坑不说,光说说update set 的二次注入: 文件名有注入漏洞: 首先先了解几个函数的意义: mid(),hex(),conv() mid()
记录CTF-二次注入
zb0567的专栏
04-20 1847
1、注册 zz\ zz\ 用转义符来断开 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"zz\" and pwd='e11a45fc54767935c57d...
二次注入审计问题
p656456564545的专栏
11-06 862
http://www.jianshu.com/p/e7cf997d6ccb 危险的is_numeric——PHPYun 2015-06-26 二次注入漏洞分析 字数1455 阅读53 评论0 喜欢0 今分析是PHPYun的一个二次注入漏洞(漏洞详情)。 0x00 知识前提 PHP提供了is_numeric函数,用来变量判断是否为数字。但是函数的范围比较广泛,
buuctf XCTF October 2019 Twice SQL Injection 二次注入原理+题解
AAAAAAAAAAAA66的博客
12-21 2581
这里要吐槽一点XCTF,之前翻题目时发现有道10分的,还是二次注入,还是0人做出,看了write up觉得还挺简单,就想混着写一下,结果0人做出的原因居然是环境打不开。然后在buuctf 平台找到了这道题,所以就试着写下write up。 目录 二次注入 二次注入的成因 二次注入常出现的地方 题解 思路 步骤 二次注入 二次注入的成因 由于开发者为了防御sql注入,使网站对我们输入的恶意语句中的一些重要的关键字进行了转义,使恶意的sql注入无法执行(比如说将单引号转义...
mysql与SQL注入CTF Web安全探索关键信息库
本文档主要探讨了MySQL与SQL注入在Web安全和CTF(Capture The Flag,网络安全竞赛)中的重要性,结合了对系统库的深入解析以及常用指令的操作。首先,我们来了解一下MySQL的核心组成部分和它们的功能: 1. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值