11-28 BUU做题记录

最新推荐文章于 2024-07-17 16:42:25 发布
最新推荐文章于 2024-07-17 16:42:25 发布
阅读量225 收藏
点赞数
分类专栏: CTF 文章标签: php python 数据库 laravel 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30817059/article/details/119534773
版权

2020-11-28

[ACTF2020 新生赛]Exec

打开直接ping,一般所在目录没有flag,那就在根目录。


v2-fb7914d2c49becd69db5a55f897b0af5_b.jpg


看到flag,直接cat ,


v2-d1695e5494961ee51891fe50797d41a3_b.jpg

v2-215c643c706097f7260ca483eaf98206_b.jpg


[GXYCTF2019]Ping Ping Ping

打开页面,直接ping,然后ls,。发现flag.php


v2-0995cbcfd7e3a29b7b8d696b8cd8a1ec_b.jpg


cat flag.php读取 出现错误。空格被bang


v2-f17991f5da9a8a5de78085a12a577b3b_b.jpg


绕过空格方法有很多,一个个试都可以

$IFS$9 <> , %09 ${IFS} %20 <

读到首页源码


v2-8b48fb8201ca4441d050185770a6c25b_b.jpg


被禁了bash ,但还有sh 啊。因为过滤空格,所以使用$IFS$9替代。

?ip=127.0.0.1;echo$IFS$9Y2F0IGZsYWcucGhw$IFS$9|$IFS$9base64$IFS$9-d$IFS$9|$IFS$9sh


v2-5238587268e1627934a2e8aed253be12_b.jpg



其他解法,看到` 没有被禁用,直接可以想到内联执行。

在这里内联执行就是将 ls的输出转为输入。

?ip=127.0.0.1;cat$IFS$9`ls`


v2-030fb13e63e8654338b8fde55b0e74d5_b.jpg


[RoarCTF 2019]Easy Calc

打开页面,直接查看源代码,虚假的过程就不看了。


v2-1d36b393bd2cecc0ac86cb07d40964b4_b.jpg


说自己有waf,下面还有一个链接,, calc.php 直接打开。


v2-bc56511412b0bacb58e73859f692027a_b.jpg


看到代码,,get[‘num’] 一个黑名单。 但是这不是waf。。这里面没有过滤字母


v2-c8f26b6d6512194ee88c26c00de4e845_b.jpg


eval直接执行,当我们输入php代码,会直接执行,如果没有php代码,会原样输出


v2-c741502afe8e7a5218988689cfb273e6_b.jpg


输入php代码报错。输入字母报错。


v2-4411f9aa4cb8cf077c1bf29ca7df3d6e_b.jpg


经过查看别人的writeup之后,属实学到了。


PHP的字符串解析特性

我们知道PHP将查询字符串(在URL或正文中)转换为内部$_GET或的关联数组$_POST。例如:/?foo=bar变成Array([foo] => "bar")。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截,原文链接

所以我们构造paylaod:

? num=phpinfo() 成功


v2-a90d7a27fe80949444704a0e3e384a6c_b.jpg


查看flag,就要知道flag在哪,我们列目录。(不是ls) ,eval执行php命令,所以

因为”/” 在黑名单,所以我们用ascii码。

?%20num=1;var_dump(scandir(chr(47)))


v2-90d74800804fb22b08b9963f87d1ba42_b.jpg


?%20num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))


v2-ea22f5300df760a5434bb2038d7aa341_b.jpg


[极客大挑战 2019]Knife

打开页面,提示菜刀。下面还有一句话的密码。直接连接,然后flag就在根目录。


v2-ec601595493a2f3088e414cdd9424b20_b.jpg



v2-498223af780c470c927616b4f88d7065_b.jpg


不过遇到这样子的我一般都是手动操作,


v2-0498c985193c5ae4c66d3677c8d339bd_b.jpg

v2-96c2ea44ab45220e103b334320ba567f_b.jpg



v2-980dc229f45daf71bf57c45c0fc89837_b.jpg

v2-5d2d610437a1b78ff29913f6b600b19a_b.jpg


[极客大挑战 2019]PHP

有备份网站,扫描,得到www.zip


v2-3f6ab142744200f268dd17843ca0507a_b.jpg


打开index.php


v2-bf038882a0443fbfff15d747f307b106_b.jpg



继续看class.php


v2-78c93f724c0d0dfd8e2aa2354819c349_b.jpg


需要username =admin ,password =100 .输出flag。

再看class.php中,我们传入的值会被反序列化,那就是我们需要先序列化。

构造序列化代码。


v2-b88992cb926431fa4f6784cc179439fe_b.jpg



v2-55ac9c3962d8203c322cdd4cae015221_b.jpg


虽然序列化了,,但是wakeup优先执行,会将username改为guest。

绕过方法就是

在反序列化字符串时,属性个数的值大于实际属性个数时,会跳过 __wakeup()函数的执行


所以我们只需要修改第一个Name后面的2 ,改成2以上的数字就行了

O%3A4%3A%22Name%22%3A2%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bs%3A3%3A%22100%22%3B%7D

然后GET传参?select= 得到flag


v2-37f7592d02720a60a772d4c12b19eb9b_b.jpg


[极客大挑战 2019]Http

考察http的基本文件头,Referer ,X-Forwarded-For,User-Agents

打开网站,查看源代码,发现链接。打开。


v2-816a326db6891bed661aef381d8fbae5_b.jpg


看到这个,直接post发包

Referer: Sycsecret.com


v2-6fe98824ac7d21a226d57b4eb12005d4_b.jpg


修改user-agents:


v2-a671dc6a113ad098a24c41b4619b36c8_b.jpg


修改X-Forwarded-For:127.0.0.1


v2-be88b8da8fb09fc1475ca22f86e07eb4_b.jpg


得到flag


v2-d3c4dcf6a1bff636d3117b70fa0fd228_b.jpg

SwBack
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
做题记录命令执行buuctfEasy Calc
zbbjya的博客
03-25 3597
题目Easy Calc 查看源代码 给提示url 还有 waf绕过 发现过滤了许多东西 查看根目录发现了flag然后我们将 用 file_get_contents() 函数先读取文件为字符串然后用 var_dump 显示字符串得到 flag 构造playload然后得到flag 题目总结 首先我们要发现是题目给的提示,当查看源代码的时候好好的去看,然后我们看到有一个waf绕过, 在不知道的情况下我们要去了解一下什么是waf绕过 然后打开php文件查看源码时命令执行的一种方式我们 根据提示开始分析看题目的
BUUCTFweb题刷题记录(2020.09.14-2020.09.19)
星|Donstpast
10-11 921
1.WarmUp 获得靶机后,进入网址,发现如上图。一如既往,查看源码。发现一个source.php,必然进去一探究竟出现源码,那么就要开始进行代码审计了呀。 先随便都看看嘛,所以咱先去hint.php去看看。 虽然没有直接获得flag,但是知道了flag在哪个目录中。再返回查看源码,其实此时可以猜到这道题考的就是一个文件包含了 首先看到这个if的,这三个限制分别是,file变量不能为空,传入的值要为字符串类型,传入的值要进入checkFile函数进行检查。所以,我们去审计checkFile函数 很明显
命令执行的题目加理解
zbbjya的博客
03-21 733
听课笔记ctfshow的理解29 上图中我们会看到有一个preg_match 的函数进行正则表达式的匹配,成功返回1,否则返回0 要有分号不然出不来 phpinfo();使用时后要加分号 分号可以用?>代替 主要作用用法可以看这 https://blog.csdn.net/lituxiu/article/details/89330431?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522164783517216781683952973%
11-27 BUU做题记录
SwBack的博客
11-27 112
[强网杯 2019]随便注 打开页面,进行提交,看下回显,url传参就在我认为不过如此,这不就有手就行的时候。当我测试了 大小写绕过,双写,/**/ /*!**/ ,sel<>ect,等多种方法,均绕不过。因为 ?inject=1 回显正常?inject=1' 回显错误?inject=1'#回显正常 尝试使用堆叠注入。 ------> 就是多条sql语句一起执行。以 ; 划分。...
BUU-SQL注入做题记录
DoubleLiii的博客
02-01 209
做题记录
BUU 2020-11-26-27做题记录
SwBack的博客
11-28 228
2020-11-26 [HCTF 2018]WarmUp 打开题目,查看源代码 在代码中发现了hint.php,打开查看,发现flag所在位置。 ok,返回审计代码,如下图 重点,一个这里 另一个就是这里。 就是提取 $page中 从索引0开始,一直到 第一次出现 ? 的位置。 就是说,不管我们输入的是 back.php?XXXXX 还是back.php?back 都只会输出 back.php 如果代码看不懂,你也能够做出来,只要你碰巧看过CVE-2018-12613 的利用方式。 2020-
cuihua 2022.4.11-17BUU刷题记录
cuihua的博客
04-17 873
25[MRCTF2020]摇滚DJ 1.题目概述 2.解题过程 听了一下,真难听, audacity打开,波形是平的 和前面那道题有点像 kali的qsstv工具 安装qsstv apt install qsstv 安装成功后,在终端下输入qsstv,自动打开 下载好后,在终端输入qsstv,系统自动打开qsstv,然后点击Options->configuration->sound->sound input->from file 点击OK,然后点击这个按钮,选择要解码的文
buu 水题记录(二)
pwnyuan's blog
11-08 1336
buuctf 刷题记录(二)BeforeCrypto还原大师传感器CipherrotUnencode密码学的心声这是什么一张谍报RSARSA2RSA3rsa 2RSA5RSAROLLDangerous RSASameMod[AFCTF2018]Morse[NCTF2019]Keyboard[GXYCTF2019]CheckIn[HDCTF2019]basic_rsa[HDCTF2019]bbbbbbrsa Before Crypto 还原大师 TASC?O3RJMV?WDJKX?ZM E903???4D
BUU OJ 做题记录
weixin_30920597的博客
08-08 321
buu oj题库的题质量很高,这里记录一下 1.WarmUp 代码审计 查看源码发现提示source.php和hint.php source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$p...
POSN:POSN-BUU的源代码
04-01
9. **调试与测试**:源代码中可能包含断点、日志记录(如`std::cout`或使用Glog)、单元测试等,用于调试和验证代码的正确性。 10. **性能优化**:对于计算密集型的任务,源码可能包含一些性能优化技巧,如循环展开...
joinUs-buu2018:h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信qq分享
05-02
joinUs-buu2018 h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信/qq分享 #预览地址
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
华为HCIP Datacom H12-821 卷42
QIN_yuexiang的博客
07-17 223
转换的第一步将FFFE插入MAC地址的公司标识和扩展标识符之间,第二步将从高位数,第7位的0改为1,1改为0。这种由MAC地址产生IPv6地址接口标识的方法可以减少配置的工作量,尤其是当采用无状态地址自动配置时,只需要获取一个IPv6前缀就可以与接口标识形成IPv6地址。已知某接口的MAC地址为OA-04-3B-45-1A-03,那么根据IEEE EUI-64规范生成的接口ID标识为:___-___-___-___-___-___-1A-03。数据链路层——ARP欺骗 网络层—Smurf攻击;
三级_网络技术_14_局域网技术基础及应用
2301_80961833的博客
07-12 435
连接到集线器的结点发送数据时,将执行CSMA/CD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMA/CA介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMA/CD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。
释放Laravel Blade的威力:掌握Laravel的模板引擎
2401_85812026的博客
07-16 1125
Blade是Laravel的内置模板引擎,它让你的前端代码更加简洁、易读。Blade视图文件通常以.blade.php为扩展名,支持直接在视图文件中使用PHP代码。
阿里云短信PHP集成api类
最新发布
༺墨༒眉༻
07-17 141
无需安装sdk扩展包,直接引入类即可使用。
buu upload-labs 11
09-19
引用、和是关于文件上传功能的源代码。这些源代码都是用于处理上传文件的功能,但每个源代码都有一些细微的差异。比如,引用和使用了文件的扩展名来确定文件类型,而引用则使用了文件的MIME类型来确定文件类型。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SwBack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值