BUUCTF:[安洵杯 2019]不是文件上传 -- sql注入,PHP反序列化,sql16进制 单引号问题,

最新推荐文章于 2025-11-23 14:32:06 发布
原创 最新推荐文章于 2025-11-23 14:32:06 发布 · 627 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #php

本文通过分析一个CTF比赛中的案例,探讨了SQL注入和PHP反序列化漏洞。作者指出在数据库交互中,16进制数据可能不需要用单引号括起,同时强调了代码分析和SQL注入点寻找的重要性。在实际操作中,遇到单引号问题,通过16进制编码可以绕过限制,成功实现注入并触发反序列化。

目录:

参考:初末

代码贴最后了,本地在D:\phpStudy\PHPTutorial\CTF的PHP反序列化源码学习!!!里面,没事分析分析代码也不错,

二、不足&&学到的:

  1. mysql内置的16进制自动转换

  2. sql注入点的寻找,

  3. 可能mysql数据库传入16进制数据时,不用单引号括起来???这个长个记性

  4. 代码分析能力,我是真的差劲,,

三、学习:自己看着源码+WP复现

这的16进制,,应该不是代码的问题,而是burp的问题,
在这里插入图片描述
双引号就碰撞了,所以采用16进制来绕过双引号的。

2.复现数据库部分

这周写了个上传下载文件的网站后,再做这种 文件上传相关的题目时就轻松多了,,至少代码是干什么的能看明白了,

其实数据库的键值是什么也看了有一会儿才看出来,然后才在本地复现的。

create database pic_base

create table images(
title varchar(100),
filename varchar(100),
ext varchar(100),
path varchar(200),
attr varchar(400),
id int primary key auto_increment
);

在这里插入图片描述
在这里插入图片描述
复现成功,
在这里插入图片描述

insert into images
(title,filename,ext,path,attr)
values 
("1","a","v","d","wqer")</
最低0.47元/天 解锁文章
Fortinet FortiWeb sql注入导致RCE漏洞复现(CVE-2025-25257)
iSee857的博客
07-20 644
源于Fortinet FortiWeb Fabric Connector 组件在认证处理中没有严格校验输入参数,攻击者可在 Authorization: Bearer 头中注入恶意SQL语句,实现远程代码执行获取服务器权限。(CVE-2025-25257)
buu-WEB-不是文件上传
m0_52061428的博客
01-24 589
他将传入的数据中的" * "替换成了"\0\0\0",符合这一要求的只有我们构建的序列化语句,所以我们也要进行操作。大致就是这么运行的,helper.php中没有被运行的有view_files()和__destruct()先快速审计一下,发现其余两个文件都在包含helper.php,所以着重看helper.php。这题主要考验代码审计能力和对sql的熟悉程度,不过有一说一,题量确实大。这里让我联想到了反序列化。_destruct被触发时,view_file才会被调用,并且view。这是他的三个php文件。
[安洵 2019]不是文件上传
feng的博客
04-13 506
知识点 SQL注入 WP 进入环境,有一个upload.php可以传文件,有一个show.php可以查看上传的列表,发现有点像是存入了数据库,再考虑到以前似乎听说过文件上传中文件名的SQL注入,就猜测这题应该其实是一个SQL注入。在filename那里尝试了一下,一开始是1.png可以,1.png'提示我必须上传图片,再考虑到show.php那里的回显,文件名是被密的,因此猜测后端可能是把.png前面的东西单独的处理,存入了数据库,于是这样:1'.php,果然报wrong了,再试试1'or'1.php
[安洵 2019]不是文件上传(文件名不能用“,数据库可识别hex编码)
qq_62046696的博客
01-04 607
然后看到了file_get_contents可以读flag,所以$path=/flag,为什么是这个呢,是因为基本上的题目flag都在根目录如果不对可以再继续尝试,然后前提是ifview为true.数组变成了:O:6:"helper":2:{s:9:"\0\0\0ifview";打开题目尝试上传文件发现只能上传图片,然后看见了图片的路径,但是图片码连不上蚁键,结合题目,然后看到了题目给出的github源码。本来我是没相通为什么,后面序列化的需要hex编码,后来突然懂了,是因为双引号被禁用。
[安洵 2019]不是文件上传 文件上传注入
m0_67401270的博客
05-15 388
进入题目传了一个jpg图片上去 发现文件名被重命名了,但是给了我们一个path路径(难道就是一个绕过题?这么轻松就会告诉你路径,跟题目有点不符) 啪啪打脸,各个地方抓一下包show.php,upload.php以及show.phpdelete_all=true,按照经验我们应该在某个地方是可以获取到这些源码的,但是我这里找了很久根本找不到……,只能再一次求助别人的wp…… 没想到的是!!! 根据这条信息去github找这个出题人 获得源码,好好代码审计了(不愧是锻炼搜索能力,获得源码的方式长见识了)
全网最细安洵2019 不是文件上传刷题笔记
m0_74925562的博客
12-24 1515
可以看出filename变量最终是由时间随机生成的文件名上白名单后缀,而title值没有进行过滤,直接拼接传入文件名的名字去掉后缀,那我们就应该这样想,是不是可以构造恶意文件名,达到特殊的目的,我们继续往下看。没有经过过滤传入了数组,然后数组被传入数据库中,然后当反序列化时利用sql语句提前闭合,来使反序列化的对象为。的触发条件是当对象被销毁时,这里肯定是需要反序列化的,用seay的全局查找功能找一下反序列化函数。将图像属性的长和高进行序列化,然后再统一存进数据库中,我们来分析一下存入数据库的函数。
45、SQL注入检测:基于文档相似度的有效方案
最新发布
joy55的博客
11-23 34
本文提出了一种基于文档相似度的SQL注入检测方案SQLiDDS,通过将SQL查询转换为类句子形式并利用短语级余弦相似度进行匹配,有效识别已知和未知的注入攻击。系统采用离线建模与运行时检测相结合的架构,聚焦WHERE子句后半部分,提升检测效率与准确性。实验表明该方法精度超过99%,误报率低于2%,具备良好的可扩展性和学习能力,结合阈值优化、多模态融合与实时预警等趋势,为Web应用安全提供强有力保障。
buuCTF [安洵 2019]不是文件上传 1
weixin_45642610的博客
08-06 759
buuCTF [安洵 2019]不是文件上传 1 这题给了源码,buuctf上直接给了。GitHub上搜索wowouploadimage也搜得到 三个文件 upload.php <!DOCTYPE html> <html> <head> <title>Image Upload</title> <link rel="stylesheet" href="./style.css"> <meta http-equiv="cont
[安洵 2019]不是文件上传 sql注入 发序列化 信息泄漏
a3320315的博客
01-30 2382
题目描述 找了半天也没找到题目的关键点·~~ 看了writeup才知道有个信息泄露 然后在github上下载源码就可以了~~ 解题过程 首先我们拿到一套源码,先找到哪段代码能够读取flag~~ 在helper.php中有一段代码,可以读取文件~~,很明显的反序列化~~ 然后我们在文中找一下序列化和反序列化的点~~ 大概说明一下代码的意思,我们上传图片时,会序列化图片的宽高,然后在show.php中...
[代码审计]-安洵 2019 不是文件上传
Re_ly0n的博客
10-07 1726
说在前面 代码审计题目,buu平台给了源码链接,可自行下载 代码分析 代码下载完成后开始分析,看到了序列化和反序列化函数,尝试利用。 给三个php文件都看了一遍之后发现可以通过构造序列化去读取flag文件。 构造payload <?php class helper { protected $ifview = True; protected $config = "/flag"; } $a = new helper(); $b = serialize($a); echo
BUUCTF:[安洵 2019]不是文件上传
末初 · mochu7
03-28 2746
这题和攻防世界XCTF:upload有点像,看似上传却都不是上传是上传图片的文件名注入 参考:安洵2019 官方Writeup 获取源码 在网站首页存在一些信息 在gihtub找得到源码 BUU也给出了这题的源码 漏洞分析 在图片上传处,check函数并未对文件名(title)进行检测, 直接传递到最后的SQL语句当中。导致了SQL注入,并且属于Insert注入。 审计代码后可知,图片...
[安洵 2019]easy_web 1
qq_53460654的博客
05-24 3385
打开环境 源码中只有一个md is funny 然后URL有一个img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd= 先试试模板注入发现不行,然后伪协议也不行,再爆破目录也不行 所以再试着去把前面的照片先解码了 TXpVek5UTTFNbVUzTURabE5q base64两次解码得到 3535352e706e67 再16进制转字符串得到 555.png 发现这里应该是突破口 所以我们试着来一下 直接用这个点读flag.php16进制编码 再两次base64编码 Tm
[数据库]特殊符号对应的ascii和键盘字符的十六进制表示
henku449141932的博客
06-18 4311
最近在做mysql、DB2数据库迁移到postsql数据库数据迁移,过程是把源数据库数据导出为txt文件,然后再导入到postgres, 迁移过程中遇到列分隔符的选择问题和特殊字符的处理问题,最后我们选择了不可见字符esc作为列分隔符,特殊字符用ASCII处理, 下面把一些常用的特殊字符整理下。 --特殊符号对应的ASCII码---- chr(9) tab空格chr(10) 换行chr(13) 回车Chr(13)&chr(10) 回车换行 chr(32) 空格符...
中文标点符号 unicode 码 10进制以及16进制
Zhang_314的博客
12-20 7981
名称  Unicode(0x) 符号   10进制 句号    3002  。   12290 问号    FF1F  ?   65311 叹号       FF01  !   65281 逗号    FF0C  ,          65292 顿号    3001  、   12289 分号    FF1B  ;   65307 冒号
【C语言学习记录14】单引号和双引号
haibing_x的博客
07-03 753
C语言中的单引号用来表示字符字面量; C语言中的双引号用来表示字符串字面量; 下面的片段合法么? 代码实验: 运行结果为:编译有警告,运行时段错误。 提示: 1)字符字面量被编译为对应的ASCII码; 2)字符串字面量被编译为对应的内存地址; 3)printf的第一个参数被当成字符串内存地址; 4)内存的低地址空间不能再程序中任意访问。 字符1的ASC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值