第十周buuctf

最新推荐文章于 2024-05-07 16:28:22 发布
最新推荐文章于 2024-05-07 16:28:22 发布
阅读量304 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ing_end/article/details/127810250
版权

[ACTF2020 新生赛]BackupFile

题目类型:备份文件

知识点

==是不判断二者是否是同一数据类型,而===是更为严格的比较,它不仅要求二者值相等,而且还要求它们的数据类型也相同。
常见的备份文件后缀:.rar .zip .7z .tar .gz .bak .swp .txt .html
is_numeric函数用于检测变量是否为数字或数字字符串
intval() 函数用于获取变量的整数值
数字 加 字母等非数字转换

var s = ‘234string’;
parseInt(s); //234
parseFloat(s); //234.0

在这里插入图片描述
用dirsearch扫一下目录:python dirsearch.py -u 3943f78f-4c3d-4d7c-8728-9f59f4527095.node4.buuoj.cn:81 -e php

访问index.php.bak
在这里插入图片描述
出现PHP代码

<?php
include_once "flag.php";

if(isset($_GET['key'])) {
    $key = $_GET['key'];
    //is_numeric函数用于检测变量是否为数字或数字字符串
    if(!is_numeric($key)) {
        exit("Just num!");
    }
    //intval() 函数用于获取变量的整数值
    $key = intval($key);
    $str = "123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3";
    if($key == $str) {
        echo $flag;
    }
}
else {
    echo "Try to find out source file!";
}

代码审计:通过key变量get传参,要求此变量必须是数字,且取整数之后值为123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3
取key的值为123

在这里插入图片描述

[RoarCTF 2019]Easy Calc

加粗样式
查看源码
在这里插入图片描述
抓包
在这里插入图片描述
发现calc.php,访问一下
在这里插入图片描述
有个黑名单

上面是我所有收集到的信息,然后源码有部分也看不懂,不知道该怎么下手,甚至还不知道这是个什么类型的题目,下面开始学习大佬

知识点:

chr() 函数:从指定的 ASCII 值返回字符。 ASCII 值可被指定为十进制值、八进制值或十六进制值。八进制值被定义为带前置0,而十六进制值被定义为带前置 0x。
file_get_contents() 函数:把整个文件读入一个字符串中。该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持,还会使用内存映射技术来增强性能。
PHP的字符串解析特性:PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:1.删除空白符 2.将某些字符转换为下划线(包括空格)【当waf不让你过的时候,php却可以让你过】。假如waf不允许num变量传递字母,可以在num前加个空格,这样waf就找不到num这个变量了,因为现在的变量叫“ num”,而不是“num”。但php在解析的时候,会先把空格给去掉,这样我们的代码还能正常运行,还上传了非法字符。
scandir() 函数:返回指定目录中的文件和目录的数组。

查看源码

在这里插入图片描述
$(“#content”).val()相当于 document.getElementById(“content”).value;
方法一:PHP的字符串解析特性
尝试一下/calc.php?num=phpinfo()
在这里插入图片描述
PHP的字符串解析特性:PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:1.删除空白符 2.将某些字符转换为下划线(包括空格)【当waf不让你过的时候,php却可以让你过】。假如waf不允许num变量传递字母,可以在num前加个空格,这样waf就找不到num这个变量了,因为现在的变量叫“ num”,而不是“num”。但php在解析的时候,会先把空格给去掉,这样我们的代码还能正常运行,还上传了非法字符。

num前加个空格:/calc.php? num=phpinfo()

在这里插入图片描述
由于“/”被过滤了,所以我们可以使用chr(47)来进行表示,进行目录读取:

calc.php? num=1;var_dump(scandir(chr(47)))

在这里插入图片描述
构造

:/flagg——chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)
payload:calc.php? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

在这里插入图片描述

[极客大挑战 2019]BuyFlag

在这里插入图片描述
在这里插入图片描述
查看源码

在这里插入图片描述
代码审计:以post方式传参,money=100000000,password满足等于404,但是不能为数字,所以password等于404+任意字符
使用burpsuite抓包

总结一下需要满足四个条件:前面提示必须是cuit的学生;以post方式传参;money=100000000;password=404a。

所以修改cookie里的user=0user=1

在这里插入图片描述

password=404a&money=1e9

在这里插入图片描述

[护网杯 2018]easy_tornado

首先出来三个链接
在这里插入图片描述

flag.txt

在这里插入图片描述

提示flag在/fllllllllllllag中
知道了第一个条件,filename=/fllllllllllllag
查看welcome.txt
在这里插入图片描述

查看hints.txt
在这里插入图片描述

分析一下
在这里插入图片描述

这里有两个参数,第一个参数filename,文件的名称,我们通过查看flag.txt文件知道,藏flag的文件名为fllllllllllllag;第二个参数filehash,翻译一下:文件哈希,也就是加密了

加密方法在第三个文件中md5(cookie_secret+md5(filename)),将cookie_secret+filename的值md5加密后的值,整体再md5加密;然后把最后的值赋给filehash

现在最重要的一步就是获取cookie_secret的值,这个我不会。看一下大佬们怎么做

在试的过程中,尝试只输入filename的值而忽略filehash,结果出来以下内容,URL变成/error?msg=Error

render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页 ,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。
Tornado是一种 Web 服务器软件的开源版本。Tornado 和现在的主流 Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。

大佬解法:
由于是python的一个模板,首先想到的就是模板注入{{}},最终找到的位置是报错网页(随便访问一个文件是更改它的签名就可以进入),里面的参数msg。
render是模板注入,经过测试发现过滤了。构造payload:/error?msg={{1*2}}

在这里插入图片描述

在tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量

构造payload/error?msg={{handler.settings}}

在这里插入图片描述
找到cookie_secret为6e6e371d-7445-46db-8066-46e0e25c8b7a

filename的值md5加密后为3bf9f6cf685a6dd8defadabfb41a03a1
cookie_secret+filename加密后的值为9ff081746c35f525a315a313ac1a00d8
构造payload:/file?filename=/fllllllllllllag&filehash=9ff081746c35f525a315a313ac1a00d8

在这里插入图片描述

[BJDCTF2020]Easy MD5

在这里插入图片描述
查看源代码没有什么发现,抓包看一看

在这里插入图片描述
线索暗示:Hint: select * from 'admin' where password=md5($pass,true)

md5(string,raw)

string 必需。规定要计算的字符串。
raw 可选。规定十六进制或二进制输出格式: TRUE - 原始 16 字符二进制格式;FALSE - 默认。32 字符十六进制数

现在需要构造or来绕过password,md5(ffifdyop,true)='or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c
原sql查询语句则变为select * from user where username ='admin' and password =''or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c'即可绕过
类似的字符串还有:md5(129581926211651571912466741651878684928,true)=\x06\xdaT0D\x9f\x8fo#\xdf\xc1'or'8
在输入ffifdyop后,出现

在这里插入图片描述
查看源码:
在这里插入图片描述
这里就需要知道一个知识点:md5加密后的值开头为0E是他们的值相等

/levels91.php?a=s878926199a&b=s155964671a

出现以下提示

在这里插入图片描述
我们访问levell14.php
在这里插入图片描述
这里用php数组绕过,由于哈希函数无法处理php数组,在遇到数组时返回false,我们就可以利用false==false成立使条件成立。

param1[]=1&param2[]=2

在这里插入图片描述

ing_end
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BUUCTF靶场练习——第七
weixin_47063945的博客
09-15 119
整理了buuctf靶场第十八道web题目的做题笔记并整理了涉及到的部分知识和扩展
BUUCTF靶场练习——第三
weixin_47063945的博客
07-30 115
整理了buuctf靶场第九第十道web题目的做题笔记并整理了涉及到的部分知识和扩展
BUUCTF靶场练习——第五
weixin_47063945的博客
08-13 114
整理了buuctf靶场第十五道web题目的做题笔记并整理了涉及到的部分知识和扩展
第十总结
ANYOUZHEN的博客
05-21 293
buuctf随便注 sqli 01 sqli 02 sqli 03 sqli 05 sqli 06 pikachu csrf(get) pikachu 数字型注入 pikachu 字符型注入 pikachu 搜索型 pikachu xx型注入 pikachu (基于报错分析) 简单检测sql注入点 pikachu xss(get) pikachu SQL注入(insert) pikachu SQL注入(delete) pikachu SQL注入(http header) p
BUUCTF靶场练习——第四
weixin_47063945的博客
08-06 116
整理了buuctf靶场第十一至第十四道web题目的做题笔记并整理了涉及到的部分知识和扩展
BUUCTF靶场练习——第八
weixin_47063945的博客
10-07 138
整理了buuctf靶场第十九、二十道web题目的做题笔记并整理了涉及道的部分知识和扩展
BUUCTF靶场练习——第六
weixin_47063945的博客
08-27 100
整理了buuctf靶场第十六、十七道题目的做题笔记并整理了涉及到的部分知识和扩展
第十所学
ANYOUZHEN的博客
01-30 582
1.ctfhub vim缓存 搜索文献后得知vim在编辑文档的过程中如果异常退出,会产生缓存文件,第一次产生的缓存文件后缀为.swp,后面会产生swo等 在网页后输入index.php.swp 试一下访问/index.php.swo 仍然无法访问 查了一下,因为.swp是隐藏文件,这类隐藏文件在调用时前面要加一个. .index.php.swp 直接使用记事本打开,是一堆乱码 使用kali的vim命令恢复文件 vim -r index.php.swp 得到flag 2..
第十总结
ANYOUZHEN的博客
04-24 119
bugku成绩查询 我们分别输入1,正常。输入1’ 错误。输入1’#正常,说明存在注入点。 我们尝试进行sql注入 输入1' order by 1#,从1到4均没有问题,等到5的时候出现错误 接着使用order by 来看有几列,我们可以从1开始测试或者使用均分法先从一个大的数据测,然后再分半。这一题测试过后只有四列,5就开始出错了 输入id=-1清空数据 接着id=-1' union select 1,2,3,4#,查询数据 发现四个表均有回显,开始尝试爆破 首先爆库名:通过id=-.
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
BUUCTF部分web题目
05-06
写题记录
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
php利用阿里云短信SDK实现短信发送功能
赛时科技
05-02 1105
在阿里云控制台的AccessKey管理中,创建或查看AccessKey ID和AccessKey Secret,这是用于API调用的身份凭证。用户在前端接收到短信验证码后,需要在你的系统中进行验证。在实际部署之前,确保在测试环境中充分测试你的短信验证码登录功能。首先,你需要有一个阿里云账号,并在阿里云控制台中开通短信服务(Dysmsapi)。你可以使用Composer来安装阿里云短信服务的PHP SDK。在PHP中,你需要编写一个函数来调用阿里云短信服务API发送短信验证码。
免费的发票查验接口平台 PHP开发示例
最新发布
weixin_49544544的博客
05-07 166
发票识别接口,自主ocr核心技术,无论是增值税发票、火车票、打车票还是财政类票据,仅需一键上传即可快速、精准识别全票面信息,且可进行发票的自动分类,避免了人工录入的误差,提升了发票管理数字化效率与准确率。传统手动录入的方式不仅耗时长,繁琐低效,且容易出现人为错漏的风险,让财务工作者头疼不已。发票识别+发票查验接口可以解决票据信息录入繁琐、易出错等一系列难题,体验发票管理的革命性飞跃。发票查验接口,实时联网查验增值税发票管理系统开具发票的真伪,核验为真还可返回全票面信息,且可进行发票的批量核验。
DHCP原理与配置
weixin_44112402的博客
05-05 256
DHCP(Dynamic HostConfiguration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中地管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、 DNS服务器Q地址等信息,并能够提升地址的使用率。DHCP作为应用层协议,它依靠并且使用着传输层中udp协议。对于DHCP中分为客户端,和服务端。客户端用的端口为68,服务端的端口为67。
框架漏洞RCE-1
x88125E的博客
05-01 1095
前置知识,thinkphp5.0.23漏洞
buuctf wireshark
09-12
根据您提供的引用内容,buuctf wireshark 是一个与buuctf比赛相关的题目。其中,Wireshark 是一个网络封包分析软件,可以用来捕获和分析网络数据包。根据[1]中提供的下载地址,可以下载 Wireshark 软件进行使用。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值