BUUCTF webwp(四)

已于 2022-07-14 11:29:59 修改
阅读量300 收藏
点赞数 1
分类专栏: CTF 文章标签: 服务器 php 运维
于 2021-07-28 19:21:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55854679/article/details/119148573
版权

文章目录

[极客大挑战 2019]Knife——简单的蚁剑连接一句话木马

在这里插入图片描述
直接使用蚁剑连接即可得到flag。在这里插入图片描述

[极客大挑战 2019]Http——HTTP请求

题目给了一个链接,在新网页打开这个链接为三叶草安全技术小组的广告页。pic_center)
查看网页源码,发现了 onclick="return false" href="Secret.php"在这里插入图片描述
访问Secret.php这个页面在这里插入图片描述
提示访问来源不对,此时我们可以通过Referer头来伪造链接来源。
Secret.php页面使用burp抓包,添加一行

referer:https://www.Sycsecret.com

在这里插入图片描述
提示只能在Syclover 浏览器页面打开,则修改user-agent字段中的FirefoxSyclover在这里插入图片描述
再次提示只能在本地打开,添加一行新的字段,则出现flag。

X-Forwarded-For:127.0.0.1

在这里插入图片描述
注意:所有字段的添加位置!!!否则添加位置不对,可能导致发送后的响应不同。

[RoarCTF 2019]Easy Calc——PHP函数绕过

在这里插入图片描述
毫无思路,先看看网页源代码在这里插入图片描述
<script>标签内发现了calc.php在这里插入图片描述

? num=1;var_dump(scandir(chr(47)))

部分常用函数在waf中可能会被过滤掉,需要用一些其它的函数来实现。

var_dump()—— 将变量以字符串形式输出,替代printecho
scandir()——用来获取目录文件,扫描某个目录并将结果以array形式返回,配合var_dump,可以替代system('ls;')
chr(47)——ASCII范围的整数转字符,是/ASCII编码,因为/被过滤了,
file_get_contents() ——顾名思义获取一个文件的内容,替代system('cat flag;')
file() ——把整个文件读入一个数组中

ascii码对照表

在这里插入图片描述
读取flag文件,即可得到flag

calc.php? num=1;var_dump(file(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

chr(47)—— /
chr(102)——f
chr(49)—— l
chr(97)——a
chr(103)——g

[护网杯 2018]easy_tornado——tornado框架

tornado,web 开发利器
tornado,轻量级的Web服务器框架,优势在于异步、协程,可开发高并发的服务器系统

在这里插入图片描述
点击flag.txt,说明flag/fllllllllllllag文件中在这里插入图片描述
点击welcome.txtrender()是渲染函数,进行服务端渲染。

一维的指令或数据(XML、HTML、UI结构代码)转为二维或三维等方便人可见的东西的这一过程 也常被称之为 “rende

在这里插入图片描述
点击hints.txt,发现提示md5(cookie_secret + md5(filename)),即先将filename使用MD5加密,再将cookie_secretmd5加密后的filename进行md5加密,也就是说,目前我们需要知道的是filenamecookie_secret在这里插入图片描述
想到flag在/fllllllllllllag文件中,于是让filename=/fllllllllllllag,结果提示错误在这里插入图片描述
在这里插入图片描述
搜素百度得Tornado框架的附属文件handler.settings中存在cookie_secret,尝试:

error?msg={{handler.settings}}

在这里插入图片描述
因此,现在filename=/fllllllllllllagcookie_secret:=b62c4be5-3a89-4756-9fd6-f317229e62c7,套用hints.txt文件中的md5(cookie_secret + md5(filename))

MD5在线加密网站

/fllllllllllllag使用MD5加密为3bf9f6cf685a6dd8defadabfb41a03a1在这里插入图片描述b62c4be5-3a89-4756-9fd6-f317229e62c7+3bf9f6cf685a6dd8defadabfb41a03a1使用MD5加密为

f01ef0b5338bc483c3b2a43c36ce4afc

在这里插入图片描述

修改url得到flag

filename=/fllllllllllllag&filehash=f01ef0b5338bc483c3b2a43c36ce4afc

在这里插入图片描述

[极客大挑战 2019]PHP——备份文件

在这里插入图片描述
发现鼠标点在哪,小猫的毛线团就会跑到哪。
题目提示存在备份,想到备份的源码泄露
题目涉及到我没了解过的东西,等我学会之后更新。

poggioxay
关注
专栏目录
BUUCTF-Web-随便注-wp
single7_的博客
12-14 391
0x01 知识点 SQL注入-堆叠注入 sql预处理语句 巧用contact()函数绕过 0x02 知识铺垫 在SQL中,分号(;)是用来表示一条sql语句的结束。在分号(;)结束一个sql语句后继续构造下一条语句,而后根据结果判断两条甚至多条SQL语句会不会一起执行?这种注入方式称为堆叠注入。 union injection(联合注入)是将两条语句合并在一起,两者之间有什么区别么?区别就在于 union 或者 union all 执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语
BUUCTF
Q221022的博客
02-12 1279
1.old-fashion 直接用quiqiup解密即可得到flag 2.世上无难事 看到答案是32位,我就想到了MD5,然后用MD5解密,不对,不是MD5,所以就用quipqiup试试,key就出来了 3.RSA3 上有两组c和e,只有一个n,(所以猜测这两组应该用的是同一个n)将n分解成p和q(不知道为什么,我用了三个网站都没分解出来,是因为数字太大吗?)然后,就可以求出私钥d,进而解密出m ,得到答案 4.RSA2 dp=d mod (p-1) 我认为..
BUUCTF web wp
vegetable223的博客
11-28 422
BUUCTF-web warmup wp 首先认真阅读目,一般目信息有提示,有些还会有隐藏信息 目名是“warm up”,热身?,看来没什么用。下面有提示我们这一的主要知识点是php和代码审计,淦!发现都没学过,不过不要紧,不会我们可以百度啊!!! 打开链接 看到一张滑稽的表情,肯定不简单,直接f12查看源代码 下面展示一些 内联代码片。 <!DOCTYPE html> <html lang="en"> <head> <meta charset=
buuctf web wp
qq_63267612的博客
04-10 567
文章目录[极客大挑战 2019]EasySQL [极客大挑战 2019]EasySQL 打开后是一个登录框,直接尝试万能密码 (用户名:1’ or 1=1 # 密码:随便输) 登录得到flag 这里的万能密码是为什么呢? 数据库中的查询语句: select id from users where username = '' or 1=1-- and password = '456' 又 这里呢1=1永远为真,后面 and password = '456’被注释掉了。数据库不需要考虑,这里我们就跳
BUUCTF--Web篇详细wp
Aluxian_的博客
04-10 5385
BUUCTF--Web篇详细wp
BUUCTF web wp(一)
m0_55854679的博客
06-14 411
[HCTF 2018]WarmUp 打开目链接,右键点击查看源码,发现source.php 访问source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.p
BUUCTF逆向前八
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向目,通过这些目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道首先使用exeinfo查看文件信息,确认...
BUUCTF Misc 部分(
葜。的博客
01-14 1879
刷新过的图片 先看目,说什么刷新键没法用,便猜测是f5隐写,工具自行百度,使用工具在kali运行, 导出一个output.txt,打开一看 是个zip文件,改后缀名打开即得flag。 菜刀666 下载附件,用foremost分离出一个zip压缩包,需要密码, 流7中把十六进制数复制保存,生成一个jpg文件, 解压得到flag。 sqltest 下载附件,导出了一堆html,看了一下数据包,发现一...
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
BUUCTF目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUUCTF web wp (五)
m0_55854679的博客
07-29 480
[ACTF2020 新生赛]Upload 打开目链接点击灯泡即可看到隐隐约约的上传文件的框。 上传一个含有一句话木马的php文件 继续上传一个文件内容为一句话木马的jpg文件,发现使用蚁剑连接不成功,于是我们可以在上传jpg文件时使用burp抓包修改文件后缀为phtml 放包后发现页面提示上传的文件的绝对路径,且文件名被修改 使用蚁剑连接时,注意用被修改过的文件名,连接成功后即可得到flag。 [极客大挑战 2019]BabySQL 又是前面熟悉的SQL注入的目的背景图 首先尝试万能密码登录,发现数据使
buuctf webwp
qq_51439282的博客
11-25 579
首先看到buuctf里的 [HCTF 2018]WarmUp 可以发现这道是关于PHP和代码审计的,好家伙我都不会,有得我学了。 打开链接可以看到一张滑稽脸 那不就直接F12,打开查看器 经过我的仔细观察发现没啥可用的东西,到后面开了解才发现,oh~,原来要查看这个source.php的源代码(其实前面都说了这道是关于php和代码审计的,我居然没反应过来) 好家伙,就算知道了这个思路,我也不知道怎么查看这个php的源代码,经过一番查找,才发现我们只需要将它复制下来,然后在我们这个web的链接后面加
BUUCTF web第一页WP
东隅的博客
05-13 788
目录 [极客大挑战 2019]EasySQL [HCTF 2018]WarmUp [极客大挑战 2019]Havefun [ACTF2020 新生赛]Include [强网杯 2019]随便注 [极客大挑战 2019]EasySQL payload: 1' or 1=1-- - 1 flag{deb9ccf8-479a-49c9-8412-6171f1c4b057} [HCTF 2018]WarmUp f12查看源码发现提示source.php, 进入获得源代码 .
buuctf-web作业wp
qq_46266956的博客
03-05 1632
1x01目-[HCTF 2018]WarmUp 知识点: php代码审计--php的基础知识 总结: 对字符串处理的一些函数: empty(),判断是否空 is_string(),判断是否为字符串 urldecode(),进行url解码 in_array(), mb_substr(),针对中文的字符串分割 mb_strpos(),针对中文的字符串出现的位置 1x02目-[极客大挑战 2019]Havefun 知识点: 无—超级简单的php代码审计吧算 解: 百年一遇的简单(看能不能抓住机会了,
BUUCTF web部分WP
Fab1an的博客
06-08 395
首先,你需要找到两个不同的字符串,它们的 MD5 哈希值相同,这可以通过哈希碰撞来实现。F12审查元素,或者ctrl + shift + c 审查元素,发现一段关于php的注释,内容为GET传参,如果cat等于dog的话,就echo打印什么东西。我们根据Linux的特性,用 ../../../../../很多个../去到根目录,然后打开ffffllllaaaagggg,就可以获得flag。数组的md5都是Null,所以它们满足MD5相等的条件。然后id的数组是1,gg的数组是2,满足值不相等的条件。
BUUCTF web第三页WP
东隅的博客
10-03 1347
简单来说,就是mt_srand(seed)分发种子,相当于进行产生随机数的初始化,然后通过mt_rand函数获得种子,但是这个随机数并不是真正的随机,他是有可预测性的,如果我们能获得种子,就一定程度上可以获得产生的随机数,根据这个随机数进行验证的部分就不安全了。这个的逻辑就是在注册的地方进行过滤,我们绕过过滤登陆进去以后,有一个改密码的功能,他是用双引号闭合用户名进行改密码操作的,我们注册好的用户名双引号结尾就可以闭合,后面跟我们进行报错注入的代码就好,至于改密码怎么改是随便填的,重点在注册好的用户名。
buuctf-web部分wp(更新一下)
a3uRa的一个窝
02-17 3804
前言(撮合看看吧 因为直接复制的本地 所以图片就没法显示了 有什么不懂的地方可以给我留言哦~ 然后推荐一个公众号:lin先森 求关注) b站 [BJDCTF2020]Easy MD5 f12 Hint: select * from ‘admin’ where password=md5($pass,true) ffifdyop 弱类型绕过 数组绕过 [极客大挑战 2019]Http 修改头 [...
BUUCTF web第二页WP
东隅的博客
09-12 1040
写一下我得理解,首先这里的id是障眼法不用管,foreach遍历GET数组,传到complex()函数里,$str匹配$re这个正则表达式并且替换为\1,这里\1有特殊含义,e模式下我们的$str会被存入缓冲区,而这个1会导致回调缓冲区的内容,这个时候如果$str是我们想办法利用的getFlag(),再get传入cmd,代码执行不就成了么,最后要说那个$re写成全部匹配就好,像这样: \S*)/),所以会一直递归,?),也就是它把类似a(b(c()d())))这种的全替换为空后只剩下;
BUUCTF 部分web wp
最新发布
Tiny_Hacker的博客
05-21 1612
又要求我们对secret赋值而且还是POST传参,而且赋的值还得是他指定的,在右下有一串base64加密的字符串,对其进行解码后,得到了一个值,猜测是他指定的那个值。添加XFF后,发现没有回应,尝试其他伪造ip的方式,发现当X-Real-ip时有回应,并出现了flag。查询结果出来了flag字符,对这个flag,没有办法查看,只能借助别人的wp了,对大佬膜拜!访问index.pgp.bak,得到了一个文件,打开后是一串代码,进行审计。又提示我们对key赋值,而且赋值为他给定的值,在源码里发现了key值。
buuctf wireshark
09-12
根据您提供的引用内容,buuctf wireshark 是一个与buuctf比赛相关的目。其中,Wireshark 是一个网络封包分析软件,可以用来捕获和分析网络数据包。根据[1]中提供的下载地址,可以下载 Wireshark 软件进行使用。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

poggioxay

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值