2. 程式人生 > >實驗吧因缺思汀的繞過註入解析

實驗吧因缺思汀的繞過註入解析

阿新 發佈:2018-06-14
.com mysql with inpu 預編譯 get 判斷 數組 直接

題目地址:http://ctf5.shiyanbar.com/web/pcat/index.php

我沒記錯應該是某道CTF比賽的題目

直接上代碼:

 1 <?php
 2 error_reporting(0);
 3 
 4 if (!isset($_POST[uname]) || !isset($_POST[pwd])) {
 5     echo <form action="" method="post">."<br/>";
 6     echo <input name="uname" type="text"/>."<br/>"
 
;
 7     echo <input name="pwd" type="text"/>."<br/>";
 8     echo <input type="submit" />."<br/>";
 9     echo </form>."<br/>";
10     echo <!--source: source.txt-->."<br/>";
11     die;
12 }
13 
14 function AttackFilter($StrKey,$StrValue,$ArrReq){  

 
15     if (is_array($StrValue)){
16         $StrValue=implode($StrValue);
17     }
18     if (preg_match("/".$ArrReq."/is",$StrValue)==1){   
19         print "水可載舟,亦可賽艇!";
20         exit();
21     }
22 }
23 
24 $filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
25 foreach($_POST as $key=>$value){ 

 
26     AttackFilter($key,$value,$filter);
27 }
28 
29 $con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");
30 if (!$con){
31     die(Could not connect:  . mysql_error());
32 }
33 $db="XXXXXX";
34 mysql_select_db($db, $con);
35 $sql="SELECT * FROM interest WHERE uname = ‘{$_POST[‘uname‘]}‘";
36 $query = mysql_query($sql); 
37 if (mysql_num_rows($query) == 1) { 
38     $key = mysql_fetch_array($query);
39     if($key[pwd] == $_POST[pwd]) {
40         print "CTF{XXXXXX}";
41     }else{
42         print "亦可賽艇!";
43     }
44 }else{
45     print "一顆賽艇!";
46 }
47 mysql_close($con);
48 ?>

14行定義了一個攻擊過濾函數.首先判斷了傳入的是不是數組,倘若是數組那麽就進行分割處理,implode是分割.分割以後的類型仍為數組(因為沒有寫以什麽分割,所以是整體分割,也就是你傳aaa結果還是aaa這裏的 PS:作用搞不懂他)

然後再是使用了正則過濾,而且是使用了預編譯的{$_POST[‘pwd‘]} 可參考 :https://www.t00ls.net/viewthread.php?tid=46325

所以註入是不可能的了.(個人覺得這個預編譯可能部分人沒註意看會認為是拼接的仍然有註入.所以在這個情況之下會一直話費時間在繞過註入)

技術分享圖片

加了雙引號可以看打是被轉義的這就是{$_POST[‘uname‘]}的作用

所以綜上所述通過or之類的繞過沒戲的.

這時就要用到註入的一個小技巧,我們使用group by pwd with rollup 來在查詢結果後加一行,並且這一行pwd字段的值為NULL

在mysql官方文檔中是這樣描述rollup函數的:
技術分享圖片
技術分享圖片
大概的意思就是在GROUP BY子句中使用WITH ROLLUP會在數據庫中加入一行用來計算總數,ROLLUP子句的更加詳細的用法,可以參考mysql的官方文檔,此處就不多做贅述了。
再結合limit和offset就可以寫出一個payload
即:輸入的用戶名為:‘ or 1=1 group by pwd with rollup limit 1 offset 2 #密碼為空
這裏解釋一下此時執行的SQL:
SELECT * FROM interest where uname=‘ ‘ or 1=1
group by pwd with rollup (在數據庫中添加一行使得pwd=NULL)
limit 1 (只查詢一行)
offset 2 (從第二行開始查詢)
#註釋
此時密碼只要為空即可查詢成功

實驗吧因缺思汀的繞過註入解析

相關推薦

實驗繞過解析

.com mysql with inpu 預編譯 get 判斷 數組 直接 題目地址:http://ctf5.shiyanbar.com/web/pcat/index.php 我沒記錯應該是某道CTF比賽的題目 直接上代碼: 1 <?php 2 error_

實驗-繞過

題目連結:http://www.shiyanbar.com/ctf/1940 檢視原始碼,可以看到註釋裡提示了原始碼的位置,訪問source.txt得到原始碼,然後開始審計吧!先把原始碼貼出來 <?php error_reporting(0); if (!isset($_

實驗】CTF_Web_繞過

alt 分享 源碼分析 ont 一次 mysql lose sse limit 打開頁面,查看源代碼,發現存在source.txt(http://ctf5.shiyanbar.com/web/pcat/source.txt),如下: <?php error_repo

暑期練習web6:繞過實驗) 程式碼審計 with rollup

題目的hint:主要涉及程式碼審計和mysql方面 解題連結: http://ctf5.shiyanbar.com/web/pcat/index.php 拿到題目,好吧,這題我完全沒轍。。。, 檢視一下原始碼: 這裡結合了一下@GETF對原始碼的註釋,

實驗WP(web部分)【登入一下好嗎,who are you, 繞過,簡單的sql注入之3】【不想更新實驗了,伺服器太差】

六. 登入一下好嗎?通過這道題提示下寄幾:不是所有有關sql語句的注入都要報庫名錶名欄位名!!!首先開啟這道題,是倆輸入框,輸入1和1有回顯,輸入union等字元會不顯示,想著應該是回顯注入此時應自動腦補sql語句:select * from user where usern

實驗web-易-上傳繞過

隨便上傳一個png檔案,出現提示  我們再上傳一個php檔案,卻出現提示 上傳遇到問題是肯定的,題目就是上傳繞過,所以我們下面要做的就是繞過檢測。 這裡使用00截斷。 首先在提交時抓包 我們將圖中upload/後面加上:123.php+ 將上面

某通用防大小寫繞過

nio light sql 註入 技術 分享 true ges 混合 防註界面如下: 可以大小寫混合繞過 union select -> Union Select 某通用防註大小寫繞過註入

sql解析

數據庫 pad ica size neu ear order col out sql註入解析sql註入解析(一)基本語法 sql註入解析(二)執行註入 sql註入解析(三)數據庫類型 sql註入解析(四)避開過濾 sql註入解析

寬字節解析

ref 冒號 php函數 ctf 過程 process 過濾特殊字符 charset n) 在一個CTF練習的網站,看到了一個寬字節註入的題目,我是一個web萌新,沒什麽經驗,一開始也沒有想到是寬字節,還是一位朋友給我提到的,讓我猛然大悟,咳咳。。。做一些總結。 練習題目網

實驗CTF who are you?基於時間盲

請求 .get head 輸入 pytho 知識 request quest lee 這是我第三次接觸時間盲註,所以就寫一個博文和大家分享一下,還能檢驗我對知識的掌握程度。?( ′???` ) 點開網址是把你的真實IP地址打印出來!然後立馬看網頁源代碼什麽發現都沒有! 現

實驗 看起來有點難(手工加sqlmap

wid ati 實驗 alt 成功 技術 pytho code login 嗯~打開題目看見一個逼格有點高的圖 查看網頁源代碼,表單以get的方式傳送三個參數(admin,pass,action)給index.php,但是限制了兩個輸入框的最大長度是10,這個是前端的限制

實驗 簡單的SQL1

inf ble lag nba 實驗 .sh 關鍵詞 報錯 union 解題鏈接: http://ctf5.shiyanbar.com/423/web/ 解題思路:一, 輸入1,不報錯;輸入1‘,報錯;輸入1‘‘,不報錯。 二 , 輸入1 and 1=1,返回1

CTF實驗-上傳繞過【0x00截斷】

                原題內容:bypass the upload格式:flag{}得到返回:<% path="upfiles/picture/" file="20121212.jpg" upfilename=path & file '最後的上傳地址 %> upfilename即

實驗CTF題庫 上傳繞過題解 0x00截斷

題目地址:http://www.shiyanbar.com/ctf/1781分析:首先隨便提交一個檔案,提示要上傳jpg png或者gif格式的檔案,然後上傳一個jpg檔案以後,出現如下提示:提示要上傳php字尾的檔案,於是我們考慮採用burpsuite抓包,然後使用0x00

暑期web10:基礎的檔案上傳upload(i春秋)、上傳繞過實驗

介於之前做了個包括檔案上傳步驟的題,突然想拿兩個之前做過的檔案上傳題來回顧一下一些基礎做法 首先是實驗吧的上傳繞過 首先我們上傳最基礎的一句話木馬:<?php @eval($_POST['pass']);?> 反饋是‘不被允許的檔案型別,僅支援上傳

union的幾道ctf題,實驗簡單的sql1,2,這個看起來有點簡單和bugku的成績單

需要 簡單 details 9.png lmap bug 輸入數據 php 接下來 這幾天在做CTF當中遇到了幾次sql註入都是union,寫篇博客記錄學習一下。 首先推薦一篇文章“https://blog.csdn.net/Litbai_zhan

Acesss數據庫手工繞過通用代碼防系統

webshell firefox 搜索結果 百度 鏈接地址 Acesss數據庫手工繞過通用代碼防註入系統By antian365 殘楓 simeon 滲透過程就是各種安全技術的再現過程,本次滲透從SQL註入點的發現到繞過sql註入通用代碼的防註入,可以說是打開了一扇門,通過sql註入

實驗web題(26/26)全writeup!超詳細:)

替換 current repl tex 括號 註入 重定向 urn 其他 #簡單的SQL註入 http://www.shiyanbar.com/ctf/1875 1)試著在?id=1,沒有錯誤 2)試著?id=1‘,出錯了,有回顯,說明有註入點: You have an

實驗 貌似有點難 偽造ip

ons tar 得到 alt ont bsp targe fcm -h 解題鏈接: http://ctf5.shiyanbar.com/phpaudit/ 解答: 點擊View the source code —>代碼顯示IP為1.1.1.1即可得到KEY—>

實驗 burpsuie攔截修改請求

頁面 orm spa asi alt image size str style Forbidden 解題鏈接: http://ctf5.shiyanbar.com/basic/header/ 把language改成zh-hk,go,flag到手 Forms 題目地址:h