ctfshow-给她

最新推荐文章于 2023-11-06 20:51:06 发布
最新推荐文章于 2023-11-06 20:51:06 发布
阅读量672 收藏 2
点赞数 1
分类专栏: CTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyh_233/article/details/129587030
版权
文章描述了一次网络安全竞赛中的解题过程,选手通过发现SQL语句中的sprintf函数逻辑漏洞,利用占位符被替换为空的特点构造payload,成功执行SQL查询并找到flag。同时,通过GitHack获取hint.php文件,最终通过cookie中的信息读取到flag.txt的内容。
摘要由CSDN通过智能技术生成
萌新赛-给她
信息收集

进去是一个SQL语句展示,emmm,那就写几句SQL注入看看,抓包,用字典FUZZ,一个没出,发现单引号都被转义了,猜测后台是有一个addslashes函数,那么我们可以联想到sprintf函数与addslashes函数连用造成的逻辑漏洞,但是不确定,目录扫描可不能少,扫一下,发现有git,直接访问报403,那用GitHack拉取一下,发现hint.php

在这里插入图片描述

发现确实如我们所想,存在sprintf函数

sprintf函数的底层逻辑漏洞

由于该函数的底层逻辑上只对15中占位符有分支,而其他的则直接没处理,而造成的被替换为空字符,如:

<?php
$sql="select * from user where username='%\' and 1=1 #';";
$user='admin';
echo sprintf($sql,$user);
?>
//打印出来:select * from user where username='' and 1=1 #';

可被替换为空的占位符:%\,%1$\

解题

那么我可以构造如下payload:name=admin&pass=1%1$'or 1=1%23

在后台应该是:select * from user where name ='admin' and pass='1'or 1=1#'

返回了一个报错页面,发现不是原生的报错,check一下源码:

在这里插入图片描述

发现存在hint,那么文件位置我们已经知晓,下面就是如何读取文件,首先想到的是用load_file函数,但是没搞出来,然后无意间抓了一个包,好家伙,cookie里竟然藏了一个file,抓出来转16进制,得到flag.txt,那么我们放入/flag的16进制进去2f666c6167,放包,得到flag:ctfshow{9cd199ec-f7ef-41e0-9a1f-234d9ab5628d}

在这里插入图片描述

fgdskfjadsklfjl
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
给她 CTFshow
chbeloved的博客
08-10 1815
给她 CTFshow 打开界面是个这东西,那就是找源码,git和给她差不多,找到源码 找到参数了,sql注入吧。 普通的注入没任何反应,研究一下sprintf函数 这里借用一下大佬的资料 告诉了flag位置 这样是读不出来的 试试filter为协议 试了几次 不太行 Burp里面看见file 加过密 16进制解开 发现16进制后 将为协议转成16进制再上传,但是不存在base64码 这里看的大佬的php://filter/read=string.toupper|string.rot13/resour
CTF show萌新题系列
12-22
题目地址:https://ctf.show 0X01 萌新_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出):") if s=='': break k='' try: for i in range(0,len(s),2): j = s[i]+s[i+1]
CTFshow WEB 给她
Y1da的博客
04-19 2092
CTFshow WEB 萌新赛 给她 题目名称类似git,猜测有信息泄露,使用scrabble,得到hint.php <?php $pass=sprintf("and pass='%s'",addslashes($_GET['pass'])); $sql=sprintf("select * from user where name='%s' $pass",addslashes($_GET['name'])); ?> 可以看出本题使用addslashes函数进行过滤,这里需要利用spr
ctfshow 给他
m0_68074153的博客
08-18 1380
单引号转义绕过,addslashes漏洞
ctfshow 萌新赛 给她
qq_39980334的博客
11-15 1724
.git泄露 sprintf绕过 伪协议
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【压缩包子文件的文件名称列表】"CTFshow-变量循环取值-我的眼里只有$" 提供了一个可能包含源代码、日志、测试数据或其他相关资源的文件。参赛者可能需要分析这个文件,寻找与题目相关的线索,比如错误的变量赋值、...
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
ctfshow-web41~60-WP
最新发布
02-21
### CTFShow Web挑战41~60:深入解析与实战技巧 #### 挑战概述 CTFShow是一个提供多样化的网络安全挑战题目的平台,其中包含了大量的Web安全题目供参与者学习与实践。本篇文章主要关注的是CTFShow中的Web挑战第41...
CTFShow-周末大挑战parse-url篇Writeup
05-19
防范这些攻击的关键在于对用户输入进行严格的验证和过滤,避免将不受信任的数据直接传递给解释器执行。开发者应遵循最小权限原则,限制代码执行环境,使用参数化查询或预编译语句来防止注入攻击,并及时更新系统和...
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
ctfshow—萌新赛—给她
HAI_WD的博客
09-02 457
文中工具皆可关注 皓月当空w 公众号 发送关键字获取。
CTFSHOW 萌新赛
qq_45655564的博客
08-10 983
给她 听名字是git泄露,但是不知道是不是我的字典有问题,没有扫出来有用的信息。 结果只能翻别人的wp了,得知了hint.php <?php $pass=sprintf("and pass='%s'",addslashes($_GET['pass'])); $sql=sprintf("select * from user where name='%s' $pass",addslashes($_GET['name'])); ?> sprintf是有一个漏洞的,就是占位符漏洞。 ...
ctfshow 萌xin赛
weixin_63231007的博客
04-25 1536
萌新赛 给她 git源码泄露.得到源码为 <?php $pass=sprintf("and pass='%s'",addslashes($_GET['pass'])); $sql=sprintf("select * from user where name='%s' $pass",addslashes($_GET['name'])); ?> 查看别人题解,里写了有关sprintf函数的作用漏洞。从WordPress SQLi谈PHP格式化字符串问题(2017.11.01更新)
ctfshow萌新赛web
qq_44657899的博客
08-17 3590
文章目录萌新赛web_给她 萌新赛web_给她 首先由题目给她可以联想出git源码泄露。 得到的源码如下: <?php $pass=sprintf("and pass='%s'",addslashes($_GET['pass'])); $sql=sprintf("select * from user where name='%s' $pass",addslashes($_GET['name'])); ?> 这里有个sprintf()函数没有看到过,搜了搜它的作用和漏洞,看到一个和本题很像的例子
ctfshow-WEB-萌新赛-wp
F1rstb100d
09-03 603
ctfshow-WEB-萌新赛-wp
CTF训练日记1--ctfshow萌赛
unexpectedthing的博客
11-03 923
文章目录签到题给她web_假赛生萌新记忆 签到题 <?php if(isset($_GET['url'])){ system("curl https://".$_GET['url'].".ctf.show"); }else{ show_source(__FILE__); } ?> 这个题,比较简单,直接使用分号,执行多个命令来绕过 payload: 1;ls;1 可以再次回顾一下,||,&&,&,|,;的作用 Linux的特殊符号
CTFshow——原谅杯WP—原谅1
hahaha233330的博客
11-12 456
今天光棍节,还要发这种东西迫害single dog。。。 原谅1 题目打开是一个压缩包和一张图片,坑人,就是谐音“1317bi77p9u”,得到压缩包解压密码。 文本内容如下: 大概一个月前,闲鱼上有个人找到我,希望我能帮忙做一个求婚视频。在和他沟通的过程中,知道他为这次的求婚准备了很久,甚至于半夜我给他看成品的时候,他还在布置场地,那个时候,离他的求婚还有28天。 在和他的沟通过程中,能感受到他对女生的珍视。他能细致地讲出每一张照片背后发生的故事,当时的心情和她的情绪。我一边帮他剪视频,一边感受着他
CTFSHOW 萌新赛 萌新记忆
chizhaji的博客
02-08 1079
CTFSHOW 萌新赛 萌新记忆 吐槽一下我感觉萌新这个词在侮辱我,我还搞了半天 进去之后查看源代码,把能点的地方都点一下发现没有什么可以搞的,就打开了御剑来扫描了一波,发现了admin目录进去要让我登陆,首先用了一句话,进去看到一个"我要报警了"(因为我比较懒不想一个个试,把抓的包保存下来用sqlmap跑了一下发现注入不成功看来就只能自己一个一个的试试了) 再经过半个多小时的努力之下发现一共有三种报错结果 ①用户名/密码错误:当输入的用户名不为admin且不超过限制的长度时 ②用户名错误:用户名长度超过限
ctfshow-web萌新赛(详解)
m0_63641882的博客
11-06 333
1.addslashes函数+sping的漏洞2.cookie的盗用3.代码审计+正则过滤。
CTFShow-Web6
09-06
根据提供的引用内容,CTFShow-Web6可能是一个数据库名。其中,通过注入语句查询数据库web2中的表信息,得到两张表flag和user。具体的注入语句如下所示: ``` username=1'/**/union/**/select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/**/table_schema=database()#&password=1 ``` ``` username='/**/or/**/1=2/**/union/**/select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/**/table_schema='web2'#&password=123 ``` 通过这些注入语句可以得到数据库web2中的两张表信息,分别为flag和user。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [CTFshow之web6](https://blog.csdn.net/zzwwhhpp/article/details/116498386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [ctfshow-web6](https://blog.csdn.net/weixin_52497013/article/details/122095160)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值