baby杯web wp

最新推荐文章于 2023-12-09 15:37:40 发布
最新推荐文章于 2023-12-09 15:37:40 发布
阅读量205 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jie_a/article/details/117627733
版权

在这里插入图片描述
哈哈哈哈哈,这是我第一次进前三十的比赛,复现一下

web1

在这里插入图片描述
打开是个这个,
在这里插入图片描述
查看源代码
在这里插入图片描述
打开是个gitHub的弱口令密码库
在这里插入图片描述
用bp,抓包爆破即可
在这里插入图片描述

登陆即可查看flag

web2

这是一道代码审计,我就不截图了
index.php存在⼀个任意的php⽂件包含:

$want = addslashes($_GET['feng']);
$want = $want==""?"index":$want;
include('files/'.$want.".php");

然后存在一个安装文件

<?php
header('Content-Type:text/html;charset=utf-8');
if(file_exists("installLock.txt")){
    echo "你已经安装了ctfshowcms,请勿重复安装。";
    exit;
}

echo "欢迎安装ctfshowcms~"."<br>";


$user=$_POST['user'];
$password=md5($_POST['password']);
$dbhost=$_POST['dbhost'];
$dbuser=$_POST['dbuser'];
$dbpwd=$_POST['dbpwd'];
$dbname=$_POST['dbname'];
if($user==""){
    echo "CMS管理员用户名不能为空!";
    exit();
}
if($password==""){
    echo "CMS管理员密码不能为空!";
    exit();
}
if($dbhost==""){
    echo "数据库地址不能为空!";
    exit();
}
if($dbuser==""){
    echo "数据库用户名不能为空!";
    exit();
}
if($dbpwd==""){
    echo "数据库密码不能为空!";
    exit();
}
if($dbname==""){
    echo "数据库名不能为空!";
    exit();
}
// 连接数据库
$db = mysql_connect ( $dbhost, $dbuser, $dbpwd )  or die("数据库连接失败");

// 选择使用哪个数据库
$a = mysql_select_db ( $dbname, $db );
// 数据库编码方式
$b = mysql_query ( 'SET NAMES ' . 'utf-8', $db );

if(file_exists("ctfshow.sql")){
    echo "正在写入数据库!";
}else{
    die("sql文件不存在");
}

$content = "<?php
\$DB_HOST='".$dbhost."';
\$DB_USER='".$dbuser."';
\$DB_PWD='".$dbpwd."';
\$DB_NAME='".$dbname."';
?>
";


file_put_contents(ROOT_PATH."/data/settings.php",$content);
echo "数据库设置写入成功!~"."<br>";

$of = fopen(ROOT_PATH.'/install/installLock.txt','w');
if($of){
    fwrite($of,"ctfshowcms");
}
echo "安装成功!";

思路是包含这个安装文件,绕过开头的安装锁
然后使用自己的mysql,连接他,然后进行文件读取
离谱的是我忘了我mysql的账号和密码…
存在⼀个数据库任意连接得问题,可以构造⼀个恶意的mysql客户端来读取任意⽂件。参考⽂章
然后就是下载脚本 脚本地址

在这里插入图片描述
脚本结尾改成自己要读取的文件
然后端口就是3307别管,好像是用来读取的
先运行脚本,在连接数据库
然后payload如图,输入端口也是3307,反正不能是3306
在这里插入图片描述
flag就接收到了
在这里插入图片描述

web3

打开是一个cms的安装就一直安装就完事了
在这里插入图片描述
然后就参考这篇文章吧参考
数据表前缀修改x’);@eval($_POST[cmd])😭’
相当于上传webshell,再拿蚁剑连即可
在这里插入图片描述

我就截个图,怕以后想不起来

web4

error_reporting(0);

class fileUtil{

    private $name;
    private $content;


    public function __construct($name,$content=''){
        $this->name = $name;
        $this->content = $content;
        ini_set('open_basedir', '/var/www/html');
    }

    public function file_upload(){
        if($this->waf($this->name) && $this->waf($this->content)){
            return file_put_contents($this->name, $this->content);
        }else{
            return 0;
        }
    }

    private function waf($input){
        return !preg_match('/php/i', $input);
    }

    public function file_download(){
        if(file_exists($this->name)){
            header('Content-Type: application/octet-stream');
            header('Content-Disposition: attachment; filename="'.$this->name.'"');
            header('Content-Transfer-Encoding: binary');
            echo file_get_contents($this->name);
        }else{
            return False;
        }
    }

    public function __destruct(){

    }

}

$action = $_GET['a']?$_GET['a']:highlight_file(__FILE__);

if($action==='upload'){
    die('Permission denied');
}

switch ($action) {
    case 'upload':
        $name = $_POST['name'];
        $content = $_POST['content'];
        $ft = new fileUtil($name,$content);
        if($ft->file_upload()){
            echo $name.' upload success!';
        }
        break;
    case 'download':
        $name = $_POST['name'];
        $ft = new fileUtil($name,$content);
        if($ft->file_download()===False){
            echo $name.' download failed';
        }
        break;
    default:
        echo 'baby come on';
        break;
}

这是一个文件上传、
这里有个switch弱比较
让a=0就行
上传一个名为.user.ini
内容为auto_prepend_file=a.png
然后在上传个a.png 的一句话
然后用蚁剑连就行
文件地址在这,然后连就行
http://8c90e2ea-fe4a-48cc-9294-4fd428f456d6.challenge.ctf.show:8080/var/www/upload

在这里插入图片描述

web5

在这里插入图片描述
题目是这样的
题目设置了open_basedir,所以我们写文件和include都只能限制在该目录下。文件名和内容都有长度限制。
但是我们发现只要post传一个ctfshow就可以使用include函数,那我们试试可不可以使用data伪协议呢。
因为有长度限制我们可以这样写

file_name=data:,<?=`ls`;

要用url编码,
在这里插入图片描述
然后吧ls换成nl * 就行了
在这里插入图片描述

盖世大宝剑a
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
baby web server
10-07
"Baby Web Server"是一款小巧而实用的Web服务器,专为网站开发者设计,旨在提供便捷的本地测试和开发环境。这款服务器具有轻量级的特点,易于安装和配置,使得初学者和经验丰富的开发者都能快速上手。 一、核心功能...
Baby Web Server v2.7.2.zip
07-17
Baby Web Server 可以替代微软的IIS,用于个人主页测试,ASP源代码测试等,经姥姥汉化压缩,大小仅90.5KB,堪称史上最小的网络服务器!使用方法非常简单,只要设定网页路径及网站首页,然后在浏览器地址栏输入本地...
Babyweb wp
weixin_46118010的博客
10-25 121
babyweb wp 同样,老题新做了 题目描述:想想初始页面是哪个 打开之后提示 HELLO WORLD 彳亍 发现默认url是直接进入1.php的,换成index.php还是自动导向1.php上 那么答案就在初始页面这四个字里,去掉1.php之后还是再次自动导向1.php 很遗憾,忘了怎么做,利用了burpsuite对其发送了一些请求但是,没有响应 看了答案,和答案差之毫厘,没错,就是对index.php发请求,但是我手多把connection改了倒是bad request 重新请求一次看到flag i
CTFshow babywp
灰太的表格的博客
06-23 528
baby_captcha 点击无脑,会给一个字典。爆破 admin fire ctfshowcms index.php里有个包含 /install/index.php里是个重新安装的操作,但是有锁。这里可以用存在include的界面将这个页面包含进来。再进行重新安装。这段代码有个连接数据库的操作,我们可以用这点来构造一个恶意的mysql客户端来进行任意文件读取。 原理看这:https://www.modb.pro/db/51823 主要这个: 恶意脚本:https://github.com/Moro
ctfshow babyweb
weixin_45868644的博客
10-23 2432
文章目录一、baby_captcha 一、baby_captcha 点击首页的无脑给了一个500常用的密码字典 看来是要爆破密码了,而根据题目给出了的信息可以知道这个系统的账号是admin,只要把密码爆破出来就行了。 抓包进行爆破,payload用给的500常用密码 滴滴滴 拿到密码fire,然后练习下听力,根据放的声音写出来验证码 登录就有flag。 ...
ctfshow—babyweb wp
cosmoslin的博客
11-10 965
web 1 baby_captcha 首先进入界面,可以知道账号是admin,点击“无脑”进入github链接,里面放了一些弱密码。 点击登录进入登录界面,发现验证码是音频文件,所以我们需要绕过验证码。填入信息后抓包。 这里我们发现验证码应该是无条件不刷新。 无条件不刷新是指在某一时间段内,无论登录失败多少次,只要不刷新页面,就可以无限次的使用同一个验证码来对一个或多个用户帐号进行暴力猜解。换句话说,攻击者可以在同一个会话下,在获得第一个验证码后,后面不再主动触发验证码生成页面,并且一直使用第一个验证码就
[ctf.show] baby 左左右右
weixin_52640415的博客
06-16 272
根据p^q爆破p,q
[GFCTF202021]Baby-Web只有代码审计部分
最新发布
01-02
【代码审计】是一种重要的安全措施,它涉及到对程序源代码的审查,以找出潜在的安全漏洞、错误或不规范的编程实践。... 1. `strpos` 函数用于查找字符串中特定字符或子串首次出现的位置。... 2. `in_array` 用于检查数组...
UNCTF2021 部分wp.pdf
12-10
本文档对 UNCTF2021 部分 WP 进行了详细的解题报告,涵盖了 WEB、PHP、MYSQL、CRYPTO 等方面的知识点。 1. Fuzz_md5Get 和 Post 传参绕过 在 UNCTF2021 的 WEB 部分中,我们遇到了一个 fuzz_md5Get 的问题,需要...
amazon_baby.rar
10-11
标题中的"amazon_baby.rar"表明这是一个压缩文件,通常用于存储多个相关文件或数据集,以减少存储空间和便于传输。这种格式常见的压缩工具包括WinRAR或7-Zip。在这个案例中,它包含了名为"amazon_baby.csv"的数据...
XCTF-高手进阶区:baby_web
1stPeak's Blog
02-29 433
注意题目的提示:初始页面,那么应该是index.php,但是输入index.php后又自动跳转到1.php,因为跳转,我们就使用F12或bp抓包查看index.php
ctfshow baby MISC 美丽的小姐姐 WriteUp
Nancy523的博客
06-03 940
题目
ctfshow baby MISC 不问天 WriteUp
Nancy523的博客
06-03 434
题目 附件下载下来 拖进010梭哈一下,,没啥特别的 foremost走一遭 掏出一个封面图片跟一个加密的zip文件 前面用肉眼啃 感觉这小点点有点特别 中间有一行白色的小点不太一样 不知道咋处理 丢进stegSlove 胡乱用眼睛啃出来有内容:password:BVnumber(不是正解 瞎猫碰上死耗子 赛后参考了套宝的wp 音频文件末尾有一串base64考虑近邻法 ps打开 修改(具体参考套宝的wp 反正我不会(bushi) 在题目提示中得到BV号 打开压缩...
ctfshow baby 六一快乐 部分MISC WriteUp
mumuzi的博客
06-02 3993
baby baby babyLSB 首解:zsteg+reverse+猜测 然后猜了个LSB ctfshow{WeiShenMeBuYaoLSB} 预期: 因为用stegsolve的时候g通道发现有内容 就怀疑是围了一圈,写个脚本: from PIL import Image img = Image.open("flag1.png") w,h = img.size[0],img.size[1] t1=t2=t3=t4=flag = '' for i in range(w): p = img.
ctf.showCMS(web477-web478)
wanan的博客
08-31 1248
ctf.showCMS(web477-web478)
[SCUCTF2022]校赛Web出题笔记
cosmoslin的博客
05-27 1970
前言 本次校赛我出了两个题,一个签到一个中等,由于自己的原因导致这两道题都出现了比较离谱的非预期,这里给师傅们谢罪了。 checkin <?php error_reporting(0); $action = $_GET['a']?$_GET['a']:highlight_file(__FILE__); if($action==='inject'){ die('Permission denied'); } $lock = call_user_func(($_GET['Y'])); if (
[CTFshow 红包挑战] 刷题记录
rev1ve的博客
12-09 1263
我们已知可控php配置选项,由于不会设置为2不会回显报错,那么我们可以利用error_log函数控制报错信息回显的路径。(说明思路没错),接收action参数进行switch选择判断,如果没找到则跳转main.php,所以我们只需要传参action不为那三个值即可。连接数据库就得执行mysql_helper::get_pdo()方法,然后必须执行application::log_last_user()方法。将cookie值隔开,判断数量是否为2,如果不为2返回null(关键点在这)。
ctfshow CMS系列writeup(web477-web479)
身高两米不到的博客
01-25 5118
0x01 Web 477 打开页面发现是CmsEasy建站系统,题目提示RCE,百度寻找dms对应相关漏洞,多方查找后发现版本是v5.7,找到对应版本后进行搜索就很简单。 找登录后台,/admin进入登录窗,然后小手一敲弱口令admin:admin进入后台,有点沙雕....... 这里忘记密码好像是存在洞的,重置完默认账号密码才会是admin:admin,这里记不清楚了,有兴趣的童鞋可以找找。 CmsEasy_v5.7 漏洞测试 - 云+社区 - 腾讯云 漏洞点在于模板-自定义标签部分,使.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值