SharifCTF-Web400-Writeup

作者: 分类: CTF 时间: 2016-02-07 浏览: 1882 评论: 暂无评论

打开页面 就一个登陆框

web400.png

泪流满面 终于是sql注入了

首先 admin:admin 看看正常的返回

web41.png

看看源码

web42.png

发现有token 那就不能用burp的repeater了 (所以不是图文 233 将就着看吧)

测试 ':' 两个单引号 没有任何回显 按老外的话说 Strange behavior!(说人话就是 有注入!)

fuzz一下发现 ;%00 # 和 连减号加空格有回显 也就是成功注释了

但是 admin'#的时候 又没有回显了 Strange behavior again

这里的问题在于按照正常的后台语句要么选出用户名和密码类似

select * from admin where name=$name and pass=$pass

要么选出用户名

select id,name,pass from admin where name=$_POST[name]

然后比对md5(pass)

这俩种 在admin'#的时候 都应该正常回显 想了下

测试a'# 成功回显 心想 总不会过滤admin吧 = =

继续测试出字段数为4 输入

a’ union select 1,2,3,4#

又没有回显 .. (脑补一脸懵逼的表情) 换成null也不行 看来是过滤了union select

于是准备写脚本盲注 但是想想有token啊=.= 然后就看到了这个

web43.png

沃日 敢不敢字体再小一点(眼癌晚期)

接下来就简单了 查库 查表 查字段 最后

a' union select 1,2,(select concat(username,0x3a,password) from user ),4#

admin:catchme8

还以为是道400分的水题 然而..

web44.png

用word生成的pdf怎么都是上传格式不对 最后发现application不对..

点help.pdf 文件未找到 尝试读取index.php也不行

web45.png

ping 页面试了 & $ | %0a ; 还有反引号 都不行

web46.png

看看题目的页面 应该是让读取源码 然后命令注入 或者上传 然而怎么都读不到页面

后来基友发现../index.php可以读取 = = 脑洞给跪

最后在index.php里 的一个error文件里 读取到了flag(给出题人跪了)

web48.png

SharifCTF{0dd185ab0a7077439b31c7c1e79c25dd}

订阅本站(RSS)

添加新评论