BUUCTF-练习场-WEB-第一部分（8道）

[极客大挑战 2019]EasySQL 1

payload：1' or 1=1#

'是闭合前面的查询语句，or 1=1恒成立，可以使用or句子绕过判断，#用于注释，注释后面的内容不再执行，所以该sql命令会返回表内所有内容，其实就是实现一个闭合查询，绕过判断，返回内容

[HCTF 2018]WarmUp

F12查看源代码，发现注释中有一个source.php文件名称

访问这个文件，看到了源码,同时源码中还提及了一个hint.php的文件

访问hint.php，得到了flag所在的文件名

源码中有这样一段内容

如果有file值的传入，且file为字符串，而且通过了checkFile的验证，则将file文件包含，我们可以通过这个文件包含，回显ffffllllaaaagggg的内容。

注：include，包含并执行文件。被包含文件先按参数给出的路径寻找，如果没有给出目录(只有文件名)时则按照 include_path 指定的目录寻找。如果在 include_path 下没找到该文件则 include 最后才在调用脚本文件所在的目录和当前工作目录下寻找。如果最后仍未找到文件则include 结构会发出一条警告；这一点和 require 不同，require会发出一个致命错误。

那么，可以构造payload读取到文件，得到flag：

?file=source.php?../../../../../../../../../../../../ffffllllaaaagggg

[极客大挑战 2019]Havefun

查看源代码，注释中包含一段源码，get传参，变量cat，当cat==dog时，回显Sys{cat_cat_cat}

那么，payload为：

?cat=dog //成功回显payload

[ACTF2020 新生赛]Include

点击tips，发现url中file=flag.php,但是并没有回显flag

这里我们可以使用这样的payload格式去构造：

php://filter/read=convert.base64-encode/resource=xxx.php

php://filter 是php中独有的一个协议，可以作为一个中间流来处理其他流，可以进行任意文件的读取。
resource=<要过滤的数据流> 指定了你要筛选过滤的数据流。
read=<读链的筛选列表>可以设定一个或多个过滤器名称，以管道符（|）分隔。
write=<写链的筛选列表> 可以设定一个或多个过滤器名称，以管道符（|）分隔。
<；两个链的筛选列表> 任何没有以 read= 或write=作前缀 的筛选器列表会视情况应用于读或写链。
php://filter与包含函数结合时，php://filter流会被当作php文件执行。所以我们一般对其进行编码，阻止其不执行，从而读取文件内容。
read=convert.base64-encode，用base64编码输出，不然会直接当做php代码执行，看不到源代码内容。

payload：

/?file=php://filter/read=convert.base64-encode/resource=flag.php

读取到了一段base64编码的字符串，将该字符串进行转码后，得到flag

[ACTF2020 新生赛]Exec

打开后是一个ping的功能，我们尝试用|进行命令拼接，发现ls命令可以直接执行，并且读取到根目录下的文件信息，在根目录下有一个flag文件

命令：|ls ../../../../../../../../../../../../../

使用命令，直接读取flag文件内容，获得flag：
|cat ../../../../../../../../../../../../../flag

[强网杯 2019]随便注

sql注入了，先来判断一下字段数

1' order by 1 # 和 1' order by 2 # 可以正常回显
1' order by 3 # 的时候报错，说明字段数为2

尝试union联合注入

1' union select 1,2#

发现提示select等命令被过滤掉了。。。。

使用一种新知识，堆叠注入：

使用; 号注入多条SQL语句并执行，先爆库试一下：
0'; show databases; #

可以使用，尝试回显出，当前数据库中的表

0'; show tables; #

查到两个表，分别是"1919810931114514"和"words"

查看表中字段名称：

1'; show columns from words; #
1'; show columns from `1919810931114514`; #
注意：当表名为数字时，要使用反引号将表名括起。

words中没什么有用的字段名，在1919810931114514中，发现flag字段

补充知识：
show databases//列出服务器可访问的数据库
show tables//显示该数据库内相关表的名称
show columns from tablename；//显示表tablename的字段、字段类型、键值信息、是否可以用null、默认值及其他信息。

到了读取flag内容的时候，犯了大难，查询其他师傅的wp，有三种方法适用，这里我只写两种（第三种看不明白）

方法一：

1，通过 rename 先把 words 表改名为word1。

2，把 1919810931114514 表的名字改为 words 。

3 ，给新 words 表添加新的列名 id 。

4，将 flag 改名为 data 。

1'; rename table words to word1; rename table `1919810931114514` to words;alter table words add id int unsigned not Null auto_increment primary key; alter table words change flag data varchar(100);

提交查询，提交之后，再提交1查询时，回显flag字段中的内容。

方法二：

由于select被过滤了，所以将select * from ` 1919810931114514` 进行十六进制编码，再构造payload。

select * from ` 1919810931114514`转换得到0x73656c656374202a2066726f6d20603139313938313039333131313435313460

payload：

;SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;#

知识点：

prepare…from…是预处理语句，会进行编码转换。
execute用来执行由SQLPrepare创建的SQL语句。
SELECT可以在一条语句里对多个变量同时赋值,而SET只能一次对一个变量赋值。

[SUCTF 2019]EasySQL

sql注入，和上一题好像，堆叠注入爆一下库名

1;show databases;

同样方法爆一下表名

1;show tables;

有个Flag表，看看Flag表中字段，回显nonono？，判断可能过滤了flag

接下来回顾一下最开始我们输入的非0数字和0与字母所回显的内容：非0数字回显1,0和字母不会回显任何内容

这道题目需要我们去对后端语句进行猜解
1、输入非零数字得到的回显1和输入其余字符得不到回显=>来判断出内部的查询语句可能存在有||
2、也就是select 输入的数据||内置的一个列名 from 表名=>即为
后台语句为：select $post['query']||flag from Flag

当我们输入非零数字时才会会显出1，而0和其他全都无回显，猜测后端语句中有||操作符，只有我们输入非零数字才会满足||的逻辑为True从而进行回显的条件。也就是满足:select 输入的内容 || 一个列名 from 表名。（select 输入数据 || flag from Flag）

这里需要借用到：设置 sql_mode=PIPES_AS_CONCAT来转换操作符的作用。（sql_mode设置）

利用PIPES_AS_CONCAT令||起到连接符的作用。

构建payload：

1;set sql_mode=PIPES_AS_CONCAT;select 1

注：这里的逻辑是先把||转换为连接操作符，注意分号隔断了前面的命令，所以要再次添加select来进行查询，这里把1换成其他非零数字也一样会回显flag

还有一个非预期解 *,1 可以直接得到flag

后端语句是select 输入内容 || flag from Flag，输入*，1就相当于构造了
select *，1 || flag from Flag
这条语句执行起来相当于
select *, 1 from Flag
因为1||flag是个短路算法，直接输出1了
select *和select 所有列的意义相同，那么我们构造的
select *，1 || flag from Flag 就等同于 select *,1 from Flag

[GXYCTF2019]Ping Ping Ping

看起来因该是命令执行了，给出一个/?ip=的提示，应该时get传参，变量名是ip了，尝试传个数字进去看看效果

看来是执行了ping命令，使用|组合命令进去执行看看

/?ip=1|ls

成功读取到当前路径下有flag.php的文件,读取一下文件内容试试

/?ip=1|cat%20flag.php

嗯。。。过滤了空格，使用 $IFS$数字 来绕过空格过滤试试

/?ip=cat$IFS$9flag.php

嗯。。。是成功绕过了空格过滤，发现还过滤了flag，这里有两种思路：

方法一：

使用base64编码绕过

把 cat$IFS$9flag.php 转换为base64编码

payload：
/?ip=1;echo$IFS$9Y2F0JElGUyQ5ZmxhZy5waHA=|base64$IFS$9-d|sh

在返回的响应包或源代码注释中，可以看到flag

方法二：

变量拼接，我们想要执行cat$IFS$9flag.php 但是flag被过滤了，我们可以将flag进行拆分

payload：

/?ip=1;a=fl;b=ag;cat$IFS$9$a$b.php

过滤依旧，更换一下拼接方式，成功回显flag

payload：

/?ip=1;a=ag;cat$IFS$9fl$a.php