SWPU 2016 web 部分思路整理

最新推荐文章于 2024-05-10 21:24:18 发布
最新推荐文章于 2024-05-10 21:24:18 发布
阅读量4k 收藏 1
点赞数 2
分类专栏: Web WriteUp 文章标签: web swpu2016 ctf writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19876131/article/details/52996086
版权

本来早就该发了,一直以为上周发过了。。。

事前吐槽下把,不知道是校网的原因还是服务器的原因,我用校园网连不上比赛服务器,

挂上代理之后能够连上但是又很不方便做题,加上vps有点问题什么的,也就瞬间没了欲望。

整理下一些题的思路把。

由于连不上服务器,python脚本也写不了,所以有些题就只有思路,也不算wp。

加上我个人对题目的理解和分析,由于没有实际做题,如果有问题希望大家指正

web 50

源码里面拿到flag

web 200-1

一个什么流量监控系统,在响应头里面拿到base64编码的tips,如下:


$query="SELECT * FROM admin WHERE uname='".$uname."'";

if ($row['passwd']===$passwd)

{

$_SESSION['flag'] = 1;

过滤了很多,空格、#、*、union、、and、or、|、+,–、&、%0a、%0b、%0c、%0d等等,也就没法用联合查询来绕过什么的,也就直接转想盲注把。

这里我们很容易发现问题所在,并且可以利用来进行盲注

这里写图片描述
这里写图片描述

观察上面两张图返回完全不一样的答案,所以写个脚本就能猜解出passwd了

这里脚本我就懒得写了。没有VPS懒得代理了。

web 200-2

也是懒得解决代理问题,

简单扫一下发现存在备份文件。index.php.bak如下:


if(isset($_COOKIE['user']))

{ $login = @unserialize(base64_decode($_COOKIE['user'])); 

if(!empty($login->pass)){ 

    $status = $login->check_login(); 

    if($status == 1){

        $_SESSION['login'] = 1; 

        var_dump("login by cookie!!!"); 

    }

 }

 }

感觉少了些什么,不过肯定是个反序列化漏洞,肯定还有其他文件,换个再扫一下发现了一个function.php,而且也是有备份文件的function.php.bak,太多不贴代码了。

就是一个反序列化构造,绕过checksql()函数,然后还是因为网络原因暂时没法儿用burp,也懒得下其他浏览器插件来改cookie,也就没有实际做这道题。

由于最近恰好在做代码审计,发现这个过滤感觉挺像80sec-ids的过滤,刚看完不久

附链接:http://www.cheery.win/?p=119可以用单撇号来bypass。

PS:正常的80sec-ids最初的匹配是


if(preg_match('/[^0-9a-z@._-]{1,}(union|sleep|benchmark|load_file|outfile)[^0-9a-z@.-]{1,}/', $sql))
{
$this->DisplayError("$sql||SelectBreak",1);
}

但是本题的是:




if ($querytype == 'select') {

            $notallow1 = "[^0-9a-z@\._-]{1,}(load_file|outfile)[^0-9a-z@\.-]{1,}";

            if (preg_match("/".$notallow1."/i", $db_string)) {

                exit("Error");

            }

        }

所以猜测这里多半会用sleep、benchmark什么的把。

接下来这里我结合自己分析下这个改版的80sec-ids把。

首先第一部分


if ($querytype == 'select') {

            $notallow1 = "[^0-9a-z@\._-]{1,}(load_file|outfile)[^0-9a-z@\.-]{1,}";

            if (preg_match("/".$notallow1."/i", $db_string)) {

                exit("Error");

            }

        }

这里过滤select语句的一些特殊语法,不过这里没有直接过滤sleepbenchmark,所以就有机会bypass。

接下来就是关键部分


while (TRUE) {

            $pos = strpos($db_string, '\'', $pos + 1);

            if ($pos === FALSE) {

                break;

            }

            $clean.= substr($db_string, $old_pos, $pos - $old_pos);

            while (TRUE) {

                $pos1 = strpos($db_string, '\'', $pos + 1);

                $pos2 = strpos($db_string, '\\', $pos + 1);

                if ($pos1 === FALSE) {

                    break;

                }

                elseif($pos2 == FALSE || $pos2 > $pos1) {

                    $pos = $pos1;

                    break;

                }

                $pos = $pos2 + 1;

            }

            $clean.= '$s$';

            $old_pos = $pos + 1;

        }

这里通过匹配 确定提取出每两个单引号直接的内容,并且将其中的内容通过 substr()函数截断下来,再将剩下来的语句进行匹配,所以只要我们将我们需要的语句藏在 两个单引号之间就OK了

简单的说就是如下图所示,我输入第一行,然后被一通操作搞成第二行的样子然后进行接下来的过滤。

这里写图片描述

也就是说,下述的过滤代码都是对第二行这样子的进行过滤,所以我们就可以把我们的东西藏在单引号里面来bypass


        if (strpos($clean, '@') !== FALSE OR strpos($clean, 'char(') !== FALSE OR strpos($clean, '"') !== FALSE OR strpos($clean, '$s$$s$') !== FALSE) {

            $fail = TRUE;

            if (preg_match("#^create table#i", $clean)) $fail = FALSE;

            $error = "unusual character";

        }

        elseif(strpos($clean, '/*') !== FALSE || strpos($clean, '-- ') !== FALSE || strpos($clean, 
最低0.47元/天 解锁文章
Bendawang
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
详解2016 SWPU CTF web4
一个码农的笔记
10-31 3547
2016年的swpu结束了,很精彩,我玩的很开心 这个题目我在比赛的时候没有做出来,后来根据官方的wp复现了一遍,学到很多东西,官方的wp地址是:http://bobao.360.cn/ctf/detail/173.html 官方给的web4的题解不是特别详细 现在我详细的讲解一下web4,我会详细讲解web4所有的知识点 首先网站有源码泄露,在:web4.08067.me/web/w
2024年[SWPU CTF]之Misc篇(NSSCTF)刷题记录⑥_nssctfmisc,双非本科字节跳动网络安全面试题分享
最新发布
2401_84302722的博客
05-10 858
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
BUUCTF:[SWPUCTF 2016]Web blogsys
末初的CSDN博客
07-28 1442
题目地址:https://buuoj.cn/challenges#[SWPUCTF%202016]Web%20blogsys 源码地址:https://github.com/CTFTraining/swpuctf_2016_web_blogsys common.php //common.php foreach (Array("_POST", "_GET", "_COOKIE") as $key) { foreach ($$key as $k => $v) { if (is_a
2016 SWPU 自己做出题目的思路分享
一个码农的笔记
10-31 4001
web1的源码我已经下载好了,地址在:http://download.csdn.net/detail/niexinming/9668799 自己擅长sql注入,而这个题目刚刚适合我http://web1.08067.me 首先这个题目过滤了一大堆东西,比如and,or,空格,%0a,%0b%0c,尤其不能忍的是过滤了逗号,简直是个坑啊 由于过滤了and和or和空格,我用%a0来代替空格,
python123.io平台部分题目答案资源整理
04-16
本人现在在上大一,学校通过python123.io进行作业检测与考试,我通过(包括CSDN在内的)各种平台、各种渠道获得了一些适用于python123平台的代码,在被python反复折磨后,我把我用于交作业的这些代码分享出来,供...
SWPU大数据概论课程报告
01-31
SWPU大数据概论课程报告》是一份详细探讨大数据领域的学习资料,主要针对对大数据感兴趣的学员或研究人员。作为一份课程报告,它很可能包含了大数据的基本概念、核心技术、应用领域以及未来发展趋势等多个方面的...
swpu前端实验4的实验
04-23
课程:Web前端应用开发实验 项目:jQuery基础应用 成绩: 专业班级: 班内序号: 指导教师:杨云 姓名: 学号: 实验日期: 实验目的及要求: 1. 掌握jQuery页面初始化方法:在网页加载完成后执行特定的操作,如...
2016 SWPU web7的复现与思考
一个码农的笔记
11-03 3681
2016 SWPU比赛结束了,但是web7还是有点没有搞太懂,于是根据官方的wp来复现了一下,官方的wp地址:http://bobao.360.cn/ctf/detail/174.html 首先搭建环境,要安装的依赖是python的:cherrypy和redis(cherrypy的安装可以直接:pip install cherrypy,如果网速比较慢,可以下载我上传好的压缩包:http://
文件包含&PHP伪协议利用
菜鸟耿耿
09-16 5065
文件包含 文件包含漏洞是“代码注入”的一种。其原理就是注入一段用户能控制的脚本或代码,并让服务端执行。“代码注入”的典型代表就是文件包含。 要想成功利用文件包含漏洞进行攻击,需要满足以下两个条件: Web应用采用include()等文件包含函数通过动态变量的方式引入需要包含的文件; 用户能够控制该动态变量。 常见的导致文件包含的函数: PHP:include()、include_once()、require()、require_once()等; 1.php文件包含可以直接执行包含文件的代码,包含的文件格
php文件上传+文件包含(phar伪协议)
WFC1006848997的博客
11-22 5296
test.bugku-web-upload—文件上传与文件包含组合 右键查看源码发现 继续查看源码,提示参数是file,还有一个upload.php 跟进upload.php,是个上传界面 那就可以猜测出是 文件上传与文件包含的组合,所以直接先使用伪协议查看源码,使用的是php://filter协议 php://filter/convert.base64-encode/resource= 首先读取include.php的源码 发现后缀多了一个.php,所以就不加.php了 base64解码 &l
lr数据库参数化取数:The query result is empty and same is the parameter file问题原因
weixin_34259232的博客
10-13 339
出现这个问题的原因: 是因为我们的查询结果存在中文 如果查询结果没有中文,显示正常 解决办法: 新建一个数据源: 重新再选择这个数据源,再次查询: 说明不是连接字符串的问题或者是mysql驱动的问题   问题2:Data Retriever failed to execute query解决方法   问题现象: 所有的环境都一样,仅仅只是两条sql语句...
X-NUCA 2017 Web练习 By Assassin
Assassin
08-21 2767
还差一个 题目链接如下 http://www.hetianlab.com/pages/activity/X-NUCANationalTL2017.jsp捉迷藏一看发现一大坨东西,但是都没用发现有一个链接 打开隐约会闪一下回到index.php,说明是个重定向,burp抓包得到flag FLAG{th!5!5n0tth3fl@g}简单问答真是搞不懂这题是几个意思…首先看到页面,貌似是个简答
Ndk-build: CreateProcess: make (e=87): The parameter is incorrect
zhbpd的专栏
08-02 2240
转自:http://stackoverflow.com/questions/12598933/ndk-build-createprocess-make-e-87-the-parameter-is-incorrect Maybe the LOCAL_SHORT_COMMANDS flag, to be set in your Android.mk, could help you. It
国内安全团队80sec发现nginx重大漏洞
renziming的专栏
06-01 2203
<br />国内安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告,由于该漏洞的存在,使用nginx+php组建的网站只要允 许上传图片就可能被黑客入侵,直到5.21日凌晨,nginx尚未发布修复该漏洞的补丁。<br />由于nginx有漏洞,这100万台服务器可能通过上传图片的方法被黑客轻易的植入木马。植入木马的过程也非常简单,就是把木马改成图片上传。具体细节:<br />http://www.80sec.com/nginx-securit.html<br />80sec团队由一群年
2016风云杯大学生信安大赛 WriteUp
热门推荐
Bendawang's Blog
05-15 1万+
2016风云杯大学生信安大赛
Swpu19年web前端开发
04-24
Web前端开发领域有许多新技术和趋势,其中一些包括React,Vue.js,Angular,GraphQL,TypeScript,WebAssembly和PWA等。这些技术和趋势可以帮助开发人员更高效地构建可扩展的Web应用程序,并提高用户体验。另外,...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值