BUUCTF-sql注入联合查询的创建虚拟表-词频-steghide的使用

第七周第三次

目录

WEB

[GXYCTF2019]BabySQli

[GXYCTF2019]BabyUpload

Crypto

世上无难事

old-fashion

​Misc

面具下的flag

九连环

---

WEB

[GXYCTF2019]BabySQli

这是一道很新的题目

我们打开环境 发现登入注册界面 先看看源码有没有提示

发现有一个

php文件 进入看看

发现加密 先base32 再64

select * from user where username = '$name'

 发现就是很简单的字符型注入

开始尝试万能密码

1' or 1=1#
select * from user where username = '1'or 1=1#'

 发现有过滤

bp fuzz看看

发现过滤了万能密码 （） or for 这些

这里需要明白联合查询的特性

如果你输入了 union select 1，2，3#
会在数据库临时 打印一张虚拟的表

BUUCTF | [GXYCTF2019]BabySQli_山川绿水的博客-CSDN博客

该文章的图片

 所以我们需要把我们的登入账号密码 作为临时密码来登入

我们先猜字节

admin' order by 4#

 

过滤了 我们随便试试看 是  order 还是 by

admin' Order by 4#

 3个字节

我们开始 创建虚拟的表

账号 0' union select 1,'admin','123'#
密码 123

 发现出错 这里就没有提示 我们应该判断是MD5加密密码 因为MD5加密不可逆

这里是没有提示的 只能猜

要加密小写的（试出来的）

账号 0' union select 1,'admin','202cb962ac59075b964b07152d234b70'#
密码 123

 

 

[GXYCTF2019]BabyUpload

这道题还比较简单 用我们以前积累的东西就可以上传成功

编写payload

1.jpg

GIF89a

这里加了文件头  和 js辅助 来防止文件头检查 和php文件检查

现在有两个 一个是上传.user.ini 另一个是.htaccess

一个一个试过去吧

.htaccess

SetHandler application/x-httpd-php

这里没加文件头其实也无所谓 没有进行检查

.user.ini

GIF89a                  
auto_prepend_file=1.jpg 
auto_append_file=1.jpg  

我们开始上传

先上传1.jpg

再上传 .user.ini

我们抓包

 更改类型为

image/jpeg

上传成功 看看能不能链接

 很显然不可以

所以我们看看上传另一个

一样的步骤

 我们看看能不能直接链接

 

Crypto

世上无难事

 

 

quipqiup - cryptoquip and cryptogram solver 

单词太多了 进去网站分析

把他变为 小写

flag{640e11012805f211b0ab24ff02a1ed09}

old-fashion

和上面一样的

Misc

面具下的flag

下载文件 放入010查看

发现有 pk

 然后我们开始 改后缀

 发现加密 看看是不是伪加密 放入010

50 4B 03 04

发现是 08 没有加密 

50 4B 01 02

 发现后面是09 说明就是伪加密

我们改为偶数

使用kali的7z

7z x flag.vmdk 

 发现加密

ook

只有一半 看看其他的

Brainfuck

 

 

flag{N7F5_AD5_i5_funny!}

Brainfuck/Ook! Obfuscation/Encoding [splitbrain.org]

九连环

下载完 得到文件

图片 放入010看看有没有藏文件

改后缀

 发现加密 看看有没有伪加密

 

 图片解压出来了 我们看看有没有隐藏东西放入010 没有 看看有没有隐写

放入kali

steghide info filename

 

 发现隐写了

分离

steghide extract -sf filename

 

得到密码 解压