CG-CTF（3）

　　CG-CTF

　　https://cgctf.nuptsast.com/challenges#Web

　　续上~

　　

　　第十四题：GBK Injection

　　是一道注入题；

　　分析：题目提示了GBK，GBK是一种多字节的编码，两个字节代表一个汉字，而在PHP+MySQL的环境中，存在宽字节注入漏洞，即PHP将“'”转义为“\’”，编码之后为%5c%27，而如果我们输入%d5（或%df等），%d5%5c将组合出一个汉字，保留了%27的单引号闭合功能，造成转义失效，从而实现注入；

　　思路：首先验证一下单引号是否被转义，以及是否存在宽字节注入；

　　的确存在宽字节注入；

　　对表的列数进行判断；

　　可以判断当前查询表有两列；

　　用length(database())Δnumber判断数据库名长度；

　　数据库名的长度为14位；

　　用ascii(substr(database(),1,1)) Δnumber来猜解数据库名；

　　得到数据库名为“sae-chinalover”；

　　用(select count(table_name) from information_schema.table where table_schema=database())Δnumber来猜解表的数量；

　　得到表的数量为6；

　　用 (select table_name from information_schema.tables where table_schema=database() limit 0,1)来猜解表名；

　　得到6个表名，猜测flag应该在“gbksqli”这个表里；

　　用(select*from gbksqli)来获取表中的数据；

　　取得flag（干杯~）；

　　P.S.：在猜解表名的时候，才反应过来有回显，因此在猜解数据库名的时候其实不用一个个猜解，直接用union select null,database()#就能看到数据库名字。。。

　　第十五题：/x00

　　分析代码：

　　用了两个函数ereg()和strpos()；

　　ereg()：

　　　　语法：int ereg(string pattern, string originalstring, [array regs])

　　　　用途：ereg()函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回true,否则,则返回false。搜索字母的字符是大小写敏感的。

　　　　参数定义：

　　　　　　可选的输入参数规则包含一个数组的所有匹配表达式,他们被正则表达式的括号分组。

　　strops()：

　　　　语法：strpos ( string $haystack , mixed $needle [, int $offset = 0 ] ) : int

　　　　用途：查找字符串首次出现的位置

　　　　参数定义：

　　　　　　haystack：

　　　　　　　　在该字符串中进行查找。

　　　　　　needle：

　　　　　　　　如果 needle 不是一个字符串，那么它将被转换为整型并被视为字符的顺序值。

　　　　　　offset：

　　　　　　　　如果提供了此参数，搜索会从字符串该字符数的起始位置开始统计。 如果是负数，搜索会从字符串结尾指定字符数开始。

　　　　返回值：

　　　　　　返回needle存在于haystack字符串起始的位置（独立于offset）。同时注意字符串位置是从0开始，而不是从1开始的。如果没找到 needle，将返回 FALSE。

　　正则表达式分析：^[1-9]+$

　　　　^：表达式开始；

　　　　$：表达式结束；

　　　　[1-9]：数字1-9的范围；

　　　　+：重复一次或多次；

　　整段代码的含义：输入nctf的值，若不为1-9的数字，返回“必须输入数字才行”，若为1-9的数字，且找到了“#biubiubiu”，则返回flag，若没找到“#biubiubiu”，则返回“骚年，继续努力吧啊~”；

　　思路1：题目提示为/00，可以想到%00截断，确实，在函数ereg()中，遇到%00则默认字符串结束，那么尝试构造nctf=1%00%23biubiubiu；

　　取得flag（干杯~）；

　　思路2：函数ereg()，在输入为数组时，其返回值并不为false；

　　可以看到$bbb的返回值为true，而$aaa的返回值并不为false而是报错；

　　故可以用构造数组来绕过函数ereg()；

　　同理，可以绕过函数strpos()；

　　尝试构造nctf[]=1；

　　取得flag（干杯~）；

　　未完待续~