SDUT_CTF_WEB题目writeup

最新推荐文章于 2024-08-01 09:39:05 发布

西杭

最新推荐文章于 2024-08-01 09:39:05 发布

阅读量4.7k

点赞数

分类专栏：网络安全

本文链接：https://blog.csdn.net/acsuccess/article/details/78174188

版权

网络安全专栏收录该内容

44 篇文章 4 订阅

订阅专栏

平台链接http://sctf.sdutislab.cn/challenges

这里写图片描述
闲的没事做了做实验室自己搭的平台，把web题目writeup放出来

签到题

右键查看源代码这里写图片描述

芝麻开门

这里写图片描述
输入口令：zhimakaimen 那就输呗结果发现 zhimakaimen是11位，但是输入框最大允许输入10位
f12改一下前端验证把最后一个n输进去，flag就出来了

层层递进

看源代码之后，iframe奇怪！
那些属性都是0，于是当然要点链接进去看看了，每次都点第一个iframe里的链接，最后进了一个404.html的链接
这里写图片描述
就到了这里，完全被这个故事吸引了，而key还是没找到。。
不得不说眼瞎了，这堆我看起来没用的js。。我已经不想说话了

根据提示与右键源码，可以知道用\来使单引号闭合
关键是username=\&password=or 1=1%23 （%23表示#，直接#不行。。。不知道为什么要url编码后才可以)
这样子 sql语句就变成了
SELECT * FROM users WHERE name=’\’ AND pass=’ or 1= 1#’;(表示被闭合掉了）
这样就可以得到flag了：
nctf{sql_injection_is_interesting}

变态的JS

运行题目的代码，得到1bc29b36f623ba82aaf6724fd3b16718.php
回去构造链接（http://teamxlc.sinaapp.com/web3/b0b0ad119f425408fc3d45253137d33d/1bc29b36f623ba82aaf6724fd3b16718.php）
提示tip在脑袋（head）里，那看头咯，返回包里有tip，提示history of bash
不知道什么玩意，百度咯，可以看看（http://blog.csdn.net/pan_tian/article/details/7715436）
用法就是http://teamxlc.sinaapp.com/web3/b0b0ad119f425408fc3d45253137d33d/.bash_history
打开提示一个zip文件，下载就好了
http://teamxlc.sinaapp.com/web3/flagbak.zip
flag is:nctf{bash_history_means_what}

黑进去

存在md5加密
username: 1’ and 1=2 union select ‘c4ca4238a0b923820dcc509a6f75849b’ – -
password: 1
拿到flag

交作业吧

西普文件上传原题

The Ducks

变量覆盖
post传参时传入thepassword_123=123&pass=123
得到flag

写题解写到这发现都是南邮ctf的题，下面的题解只是本实验室内部出题题解

来自谷歌的你

改http头：referer:google
得到flag

慢点再慢点

发现什么都没有，抓包看看，发现还是什么都没有
这是看一下题目地址
http://118.89.168.43:8001/web/web1001
但我们打开时成为http://118.89.168.43:8001/web/web1001/no_key.php
有可能是个301跳转
用burp修改跳转到源地址
这里写图片描述
发现txt文件，打开拿到flag

永真式注入

这里写图片描述

SQL联合查询

用户名：1’ and 1=2 union select 1– -
密码：1

畸形化SQL语句

这里写图片描述
发现上来屁话一大堆，意思就是说有过滤
如果php代码不熟的话，可以在本地搭建环境，测试到底如何过滤

发现所有关键字全部被过滤掉了
这时想就可以用套接字的一种方式
$input=”1’ anandd 1=2 ununionion seselectlect ‘123”;
这里写图片描述
语句就正常了

不要忘记把前端限制去掉，不然输入框为只读，而且最大输入长度为1

我的初恋

这里写图片描述
这个出题者总是以极强的故事性把我们带入其中（屁话还是一大堆）
php strcmp函数漏洞，传递数组绕过验证，抓包

strcmp漏洞细节自行百度

特制浏览器

一看题面就知道是改http头，不过这里有个坑点
这里写图片描述
改UA头时改为SDUT-CTF-Browser，最后.exe不要加

去掉引号的注入

这个题还以为是什么php函数漏洞，结果就是一个宽字节注入
这里写图片描述
gbk编码的宽字节注入，payload构造如下
http://118.89.168.43:8001/web/sql1004/login.php?usr=1%df%27%20union%20select%201–%20-&pwd=1
宽字节注入自行百度

无空格SQL注入

根据题目意思和题面所给出的代码，可以判定就是一个用其他字符代替空格完成注入的一个题
可以参照我的这篇文章完成题目
payload构造如下
这里写图片描述
flag就出现了

UNION_Plus

老套路了
payload：
id: 1 union select ‘c4ca4238a0b923820dcc509a6f75849b’, 2
password: 1
其中c4ca4238a0b923820dcc509a6f75849b是密输入密码1的md5值

代码审计1

发现又是php函数的漏洞，百度查下资料，数组可以绕过
这里写图片描述

到底是不是注入？

进去发现需要id参数，那就传进去
这里写图片描述
题目给的很清晰，flag位置全都告诉了
做了几次尝试，除了有具体的sql语句之外什么都没有
我猜是基于时间的盲注
http://www.mingzhegao.com.cn/ctf_test/login.php?id=1%27%20and%20sleep(5)–%20-
果然存在延时，也就是说存在时间盲注漏洞
算了，不想手注了，直接sqlmap开跑吧
这里写图片描述
存在注入点
这个题最后又加了个判断UA头，如果是sqlmap就结束，所以sqlmap如果不加–random-agent随机头的参数压根跑不出来

注入

一开始进去，啥啊，什么都注不出来，看来后台判断写的很死
还有个注册按钮，那就注册试试吧
注册进去之后
这里写图片描述
发现一个点这个系统在找和你有相同手机号人的username
在用233的手机号重新注册一个看看

果然，那这就算有个注入点了
重新注册在手机号里构造payload
发现有验证，只能为数字，以前做过一个题，绕过数字，转为16进制
这里写图片描述

用户数据库版本都出来了
再搞出表名和列名

表名有两个，flag和user
很明显flag在表flag中

点击一百万次

发现是一段js代码做的伪动态网页，尝试着点几次，再结合题目，明白了出题人的目的，点击100万次后，flag就会出来。右键审一下源码看看有什么别的东西
这里写图片描述
这段js脚本包含的信息量已经足够做这个题目了，它将你点击的次数存储在clicks这个变量里，只要这个变量的值超过一百万，这个题目就game over。
两种做法：
一：找个暴力点击模拟器，启动，让它一直运行，点击超过一百万次就会出flag
二：控制台直接给clicks变量赋值，使他比一百万大。
这里写图片描述