因缺思汀的绕过——实验吧-低调大师

因缺思汀的绕过——实验吧

2018-07-11 666

因缺思汀的绕过分值：20

来源： pcat
难度：中
参与人数：9534人
Get Flag：3087人
答题人数：3370人
解题通过率：92%

访问解题链接去访问题目,可以进行答题。根据web题一般解题思路去解答此题。看源码，

请求，响应等。提交与题目要求一致的内容即可返回flag。然后提交正确的flag即可得分。

web题主要考察SQL注入，XSS等相关知识。涉及方向较多。此题主要涉及源码审计，MySQL相关的知识。

flag格式 CTF{}

解题链接： http://ctf5.shiyanbar.com/web/pcat/index.php

解题思路：这一题考察的知识点比较多（可能是我不会的太多了QAQ)

首先，打开链接：

查看源代码就会得到：

看来出题人是希望我们能够看到源代码的呀

加上source.txt

就会得到：

<?php
error_reporting(0);

if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
    echo '<form action="" method="post">'."<br/>";
    echo '<input name="uname" type="text"/>'."<br/>";
    echo '<input name="pwd" type="text"/>'."<br/>";
    echo '<input type="submit" />'."<br/>";
    echo '</form>'."<br/>";
    echo '<!--source: source.txt-->'."<br/>";
    die;
}

function AttackFilter($StrKey,$StrValue,$ArrReq){  
    if (is_array($StrValue)){
        $StrValue=implode($StrValue);
    }
    if (preg_match("/".$ArrReq."/is",$StrValue)==1){   
        print "水可载舟，亦可赛艇";
        exit();
    }
}

$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
foreach($_POST as $key=>$value){ 
    AttackFilter($key,$value,$filter);
}

$con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");
if (!$con){
    die('Could not connect: ' . mysql_error());
}
$db="XXXXXX";
mysql_select_db($db, $con);
$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql); 
if (mysql_num_rows($query) == 1) { 
    $key = mysql_fetch_array($query);
    if($key['pwd'] == $_POST['pwd']) {
        print "CTF{XXXXXX}";
    }else{
        print "亦可赛艇";
    }
}else{
    print "一颗赛艇";
}
mysql_close($con);
?>

从源码可以看到，$filter进行的关键字符筛选仅仅针对$_POST['pwd']，

所以第二行一定不能带被其识别的关键字，如：select

提交就会出现：

我们接着往下看就会发现限制从数据库返回的数据必须是一行，

在满足filter条件的情况下可以使用 limit 的返回来确定数据库中总共有几行数据。

注意它的查询语句是

select * from interest where uname = ‘{$_POST[‘uname’]}’

于是构造：

1' or 1 limit 1 offset 0#

1' or 1 limit 1 offset 1#

1' or 1 limit 1 offset 2#

发现2#时返回“一颗赛艇！” 其他都是“亦可赛艇！”———–说明数据库只有两条信息

接下来就是想办法绕过if判断，只要if的判断为真就可以通过，于是可以利用group by with rollup来进行绕过，

group by with rollup会在统计后的产生一条null的信息，然后在pwd里面就可以不用写值了，if就为真

payload：1' or 1 group by pwd with rollup limit 1 offset 2#

就会得到答案：

参考资料：

http://php.net/manual/zh/function.preg-match.php

#函数preg_match

http://blog.csdn.net/id19870510/article/details/6254358

#使用 GROUP BY WITH ROLLUP 改善统计性能

http://blog.csdn.net/yplee_8/article/details/52252549

#sql 中 limit 与 limit，offset连用的区别

http://www.w3school.com.cn/sql/sql_groupby.asp

#SQL GROUP BY 语句

http://blog.csdn.net/jiangnan2014/article/details/17229713

#MySQL中with rollup的用法

http://php.freehostingguru.com/function.php-is_array.php

#函数is_array

http://www.w3school.com.cn/php/func_string_implode.asp

#函数 implode

您可以考虑给博主来个小小的打赏以资鼓励，您的肯定将是我最大的动力。

作者：落花四月

出处： https://www.cnblogs.com/lxz-1263030049/

关于作者：潜心于网络安全学习。如有问题或建议，请多多赐教！

特此声明：所有评论和私信都会在第一时间回复。也欢迎园子的大大们指正错误，共同进步。或者直接私信我

声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是作者坚持原创和持续写作的最大动力！

微信关注我们

原文链接：https://yq.aliyun.com/articles/649079

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Webpack飞行手册

前言在学习 Webpack 之前，我们需要了解一个概念：模块。何为模块？如果你曾学过 Java , C# 之类的语言，一定会知道 Java 中的 import 或 C# 中的 using 吧？比如：我想在 C# 中进行数据库操作，我只需要在代码头部加上下面这两段代码即可。 using System.Data; using System.Data.SqlClient; 这两段代码可以看成两个与数据库操作相关的模块。当我们需求是数据库，或者是读取 IO 等其他操作，我们便加载其他不同的模块。很明显，这实现了编程中的一个非常重要的功能按需加载。在前端中模块又该如何定义呢？按照我个人的理解：在 HTML 中模块便是一个组件 <div class="layer"> <div><%= name %></div> <% for(var i = 0; i < People.length;++i) { %> <%= People[i] %> <% } %> </div> 在...

2018-07-11

606

找个数据科学的工作不容易，不过我有个好主意能帮你找工作，这就是打造你自己的作品集，利用作品集展示你学到的技能，让未来的老板知道你有多大本事。你可以把这5个数据科学项目放到作品集里，以此说明自己的能力：数据清洗数据科学家往往要耗费高达80%的时间来清理新项目的数据，这是数据科学团队最大的痛点。如果能告诉他们你拥有丰富的数据清理经验，你的价值马上就能体现出来了。现在，找一些需要清理的数据集，创建一个数据清洗项目，开始数据清理吧。用Python的话，Pandas绝对是首选，如果用的是R，可以使用dplyr这个包。记得要表现出以下几项技能：导入数据；合并多个数据集；检测缺失值；检测异常值；插入缺失值；数据质量验证。探索性数据分析数据科学的另一项重要工作是探索性数据分析（EDA，Exploratory Data Analysis ）

2018-07-11

637

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。