护网杯 three hit 复现(is_numeric引发的二次注入)

最新推荐文章于 2024-08-05 18:56:17 发布
最新推荐文章于 2024-08-05 18:56:17 发布
阅读量124 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/zaqzzz/p/10413989.html
版权

1.题目源码

https://github.com/ZhangAiQiang/three-hit

题目并不真的是当时源码,是我根据做法自己写的,虽然代码烂,但是还好能达到复现的目的
,兄弟们star一下就是最大的鼓励啊。

2.is_numeric()漏洞

is_numeric()检查是否是数字字符串,同时也可以是十六进制。

比如

is_numeric(1) true
is_numeric('a') false
is_numeric('2a') false
is_numeric(0xabcedf) true

3.注册账号

root,root,0x3078656520756E696F6E2073656C656374207573657228292C322C33
age是一串十六进制,是
0xee union select user(),2,3  的十六进制形式
因为is_numeric()的关系,同样可以写进去,那么会是什么格式呢

4.分析注册的时候的源码

$sql="insert into user values('$username',md5('$password'),$age)";

可以看到$age是没有单引号保护的,那我们看一下数据库中的数据

edi4jzk.png

(这里先说下,age并不是int类型,因为是int类型的话,字符串根本插不上。)

我们明明是插入的十六进制数据,为什么会变成字符串呢?

执行一下sql:

  insert into user values('root2',md5('root2'),0x3078656520756E696F6E2073656C656374207573657228292C322C33)
  insert into user values('root3',md5('root3'),'0x3078656520756E696F6E2073656C656374207573657228292C322C33')

q4CXsdy.png

两者的区别在于,age是否有单引号的保护,我们看到,当少了单引号后,插入的十六进制数据变成了字符串,和题目的源码正好对应了起来。

5. 个人中心

YvFrhhn.png

可以看到,已经注入出来了user。

6.分析个人中心的源码

username是存储在session里面的,然后功能是先找出你当前用户的age,然后根据当前用户的age寻找其他的具有相同age的用户。

$sql = "SELECT * FROM user where username= '".$_SESSION['username']."'"; 这一句话查询出年龄,并没有什么危害。

$sql = "SELECT *  FROM user where age=".$age; 
这句话是二次注入的引发点,因为age我们是可控的,我们注册的root账号里面age内容是  
0xee union select user(),2,3  
拼接:select * from user where age=0xee union select user(),2,3

这样注入就分析完了。

7.总结:

age得为字符串类型

插入注册信息的时候age字段没有单引号保护

我感觉就拿这个题目来说的话,平时工作谁会写出这么蠢的代码。

转载于:https://www.cnblogs.com/zaqzzz/p/10413989.html

weixin_30566149
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF 内存取证 USB流量分析
MOLLMY的专栏
09-09 6586
护网2019预选赛第二题 内存取证弟弟题???? 题目名叫: Baby_forensic 题目附件地址 目录 Baby_forensic 知识点: 内存取证工具volatility 的使用: 取证方法建议 Keyboard scan code: 解题过程: 1. Kali中解压文件 2. pslist查看进程 3. 通过cmdscan[孙2]提取命令历史记录,结果如下 ...
SQL注入——二次注入入门题:Three Hit
Zhujiangcheng的博客
06-14 401
SQL注入——二次注入入门题:Three Hit(一)二次注入简介(二)入门题目: Three Hit 解析 (一)二次注入简介   二次注入是SQL注入的一个子类,如果对SQL注入不太了解的话可以参考之前博客的介绍:SQL注入简介——堆叠注入.   下面来讲什么是二次注入:   二次注入,是指已存储(数据库、文件)的用户的输入被读取后再次进入到 SQL 查询语句中导致的注入。   由此可见,二次注入与普通的数据注入的区别是:普通注入数据是直接进入到 SQL 查询中,而二次注入是输入数据(恶意数据)经处理后
二次注入 php,危险的is_numeric——PHPYun 2015-06-26 二次注入漏洞分析
weixin_33462540的博客
03-13 261
今天分析是PHPYun的一个二次注入漏洞(漏洞详情)。0x00 知识前提PHP提供了is_numeric函数,用来变量判断是否为数字。但是函数的范围比较广泛,不仅仅是十进制的数字。echo is_numeric(233333); # 1echo is_numeric('233333'); # 1echo is_numeric(0x233333); # 1echo is_numeri...
2017合天全国高校网安联赛专题赛--赛前指导练习题web进阶篇Writeup
4ct10n
08-14 4749
趁着放假,再刷一波题目
安天2019校园招聘宣讲会正式开启!
weixin_33696822的博客
09-17 161
安天2019校园招聘宣讲会正式开启! 网申通道: http://xym.51job.com/wechat/wechat_jobslist.aspx?ctmid=c2e×××2-06d8-44b5-a6eb-fe80ff4b9be2 http://xym.51job.com/wechat/wechat_jobslist.aspx?ctmid=c2e×××2-06d8-44b5-a6eb-fe80ff...
这些天的总结
weixin_30407613的博客
08-06 87
这些天的刷题和比赛,让我明白,没有把握不要随便敲代码,敲出错误的代码比不敲代码更加让人无解,有时候找一个一丁点的错误花的时间够重写几遍代码了。写代码的时候一定要仔细,一个“大概是这样的吧”可能会毁掉你后面的n多时间。不要相信题目说只有一组测试数据,算法改来改去发现就是A不掉。所有的变量无论清不清零有没有影响,有没有多组数据,但是那样做了肯定没错。(PS:我还是去刷刷水题吧,看能刷出多少奇...
渗透测试——二次注入攻击
zjdda的博客
05-24 939
二次注入漏洞是一种在Web应用程序中广泛存在的安全漏洞形式。相对于一次注入漏洞而言,二次注入漏洞更难以被发现,但是它却具有与一次注入攻击漏洞相同的攻击威力。 二次注入原理 二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当Web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入二次注入思路 第一步:
is_numeric 的用处例举
周梦康的代码碎片
03-07 601
$page = isset($page) && is_numeric($page) ? $page : 0; 检测变量是否为数字或数字字符串
HITCTF PWN300--dynelf
Vccxx的博客
04-08 996
第一次用Dynelf,脚本调了一下午。。hitctf pwn300题目链接:http://pan.baidu.com/s/1eSCCOE2漏洞分析:三个write之前的一个函数调用了read来读入字符,而这里存在明显的缓冲区溢出,可以覆盖main函数的栈地址,这个题没给libc,got表里没有system之类的函数,于是考虑用dynelf。攻击脚本:from pwn import * io = pr
安天工程师解读CryptKeeper通用密码事件
weixin_34416754的博客
09-25 355
本文讲的是安天工程师解读CryptKeeper通用密码事件, 1 事件起因 2017年1月31日,Softpedia网站发布了一篇名为《Cryptkeeper Linux Encryption App Fails at Job, Has One Letter Skeleton Key – "P"》的文章,其中提及,CryptKeeper应用在Debia...
北邮网安总结
Hellsegamosken
05-14 1095
线上赛 大概有两个比较有意思的题吧。 1 给定两个字符串 s,t,问能否通过以下操作把 s 变成 t。 操作为:把一个字符串分成三等份,每份递归进行这个操作,然后按照任意顺序排列着三部分,得到新的串。 ∣s∣,∣t∣≤100000|s|,|t|\leq 100000∣s∣,∣t∣≤100000 看起来无从下手。 突然灵机一动,发现操作可逆。也就是说如果 s 能变成 t,那么 s 能变成的串的集合和...
安天研究报告:白象的舞步——来自南亚次大陆的网络攻击
weixin_33935777的博客
08-01 291
近日,反病毒引擎和解决方案厂商安天发布了一篇名为《白象的舞步——来自南亚次大陆的网络攻击》的报告,披露了两组针对我国多领域的高频度APT攻击事件。尽管安天尚未最终确定这两个攻击波的内在关联,但可以确定的是其具有相似的目的和同样的国家背景,安天将其两组攻击统称为——“白象行动”。 2012年~2013年,安天陆续捕获了来自白象组织的多次载荷投放,此后依托...
HITCTF2018
weixin_30405421的博客
03-14 176
HITCTF的pwn部分 DragonBall 先按一般的流程来,首先分析一下程序功能: 通过买卖龙珠来集齐7颗龙珠,就可以许愿。 所以程序包含买、卖、显示龙珠数、许愿和退出五个功能 可以看到,buy函数有一个很明显的缺陷,就是在购买龙珠时,只判断钱数是否为零,所以只要钱数不为零,就可以无限购买,所以通过卖一颗来使钱数恒不等于零,从而买到七颗龙珠,可以许愿。 买...
豌豆-CTF
weixin_30919919的博客
10-29 1204
目录 wandoucup-ctf web web1-签到题 web2-输入密码查看flag web3-这真能传马? web4-这真能注入? web5-API web6-sweet home web附加题-at...
is_numeric漏洞分析
weixin_30785593的博客
04-20 1799
2014年,PHP中is_numeric函数十六进制绕过漏洞引发了一次安全问题接下来,我们来分析一下这个漏洞的原理函数介绍:is_numeric — 检测变量是否为数字或数字字符串。函数原型:bool is_numeric ( mixed $var )如果 var 是数字或数字字符串则返回 TRUE,否则返回 FALSE。举例说明:例程1:<?php$v = is_numeric ('586...
java笔记 mybatis 基本增删改
最新发布
qq_63095129的博客
08-05 716
在pom.xml文件中添加依赖。
【MySQL】慢sql优化全流程解析
k123456kah的博客
08-04 1080
explain 是 MySQL 提供的一种用于分析和调试 SQL 查询的工具。 通过使用 explain,可以了解 MySQL 在执行查询时采用的具体执行计划,包括访问数据表的方式、使用的索引、连接表的顺序等信息。这些信息对于优化查询性能至关重要。
Python爬虫与MongoDB的完美结合
weixin_52392194的博客
08-03 787
我们掌握了在Windows和Linux系统下安装MongoDB,设计适合爬虫存储数据的写入规范,并通过实际爬虫示例展示了如何将爬取到的数据存储到MongoDB中。此外,还进行了MongoDB性能优化,提高了数据存储和查询的效率。
[护网 2018]easy_tornado
03-16
护网 2018 中的 easy_tornado 题目是一道Web安全题目。根据题目描述,该网站使用了 Tornado 框架搭建,并且存在一个可以进行任意代码执行的漏洞。需要我们利用这个漏洞,在服务器上执行指定的命令。 解决这道题目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值