bugku 29~ 36write up(web)

最新推荐文章于 2020-05-23 10:03:43 发布
最新推荐文章于 2020-05-23 10:03:43 发布
阅读量228 收藏 1
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44105778/article/details/88697725
版权

一、第29题login1(SKCTF)

打开题目,发现是一个管理登入界面。且题目提示我们这是到sql约束攻击的题目。
那么我们先简单介绍下什么是sql约束攻击

(1)、约束SQL注入的原理就是利用的约束条件,比如最长只能有10个字符的话,如果你输入的是aaaaaaaaaabb(12位),那么保存在数据库里的就是aaaaaaaaaa(10位),那么别人用aaaaaaaaaabb注册一个用户名,就可以登陆。

(2)、还有一个可以利用的地方就是SQL在执行字符串处理的时候是会自动修剪掉尾部的空白符的,也就是说"abc"=="abc ",同样我们可以通过注册用户名为"abc "的账号来登陆"abc"的账号。

我们先注册下,账号为admin,密码随意,发现用户已经存在,那么我们使用账号为admin+一个空格,密码任意,注册,然后登入发现,成功得到flag.

二、第30题(你从哪里来)

打开题目发现,题目有一行字,你来着Google吗。
那么我们应该想到http头部的referer参数

referer参数的作用简单说就是告诉服务器我是从哪个页面链接过来的

我们抓包添加referer参数即可得到flag。
在这里插入图片描述

三、第31题(md5 collision)

打开题目,题目要求我们传输参数a,我们传入参数a的值为1,发现输错false.
那么我们考虑题目所提到的MD5碰撞,首先我们先介绍下什么是MD5碰撞

PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。

攻击者可以利用这一漏洞,通过输入一个经过哈希后以”0E”开头的字符串,即会被PHP解释为0,如果数据库中存在这种哈希值以”0E”开头的密码的话,他就可以以这个用户的身份登录进去,尽管并没有真正的密码。

下面是常见的
0e开头的md5和原值:
0e开头的md5和原值:

s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s1885207154a
0e509367213418206700842008763514
s1502113478a
0e861580163291561247404381396064
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s155964671a
0e342768416822451524974117254469
s1184209335a
0e072485820392773389523109082030
s1665632922a
0e731198061491163073197128363787
s1502113478a
0e861580163291561247404381396064
s1836677006a
0e481036490867661113260034900752
s1091221200a
0e940624217856561557816327384675
s155964671a
0e342768416822451524974117254469
s1502113478a
0e861580163291561247404381396064
s155964671a
0e342768416822451524974117254469
s1665632922a
0e731198061491163073197128363787
s155964671a
0e342768416822451524974117254469
s1091221200a
0e940624217856561557816327384675
s1836677006a
0e481036490867661113260034900752
s1885207154a
0e509367213418206700842008763514
s532378020a
0e220463095855511507588041205815
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s214587387a
0e848240448830537924465865611904
s1502113478a
0e861580163291561247404381396064
s1091221200a
0e940624217856561557816327384675
s1665632922a
0e731198061491163073197128363787
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s1665632922a
0e731198061491163073197128363787
s878926199a

更多的大家可以自己去百度

上面的那些0E开头的字符串都可以作为参数的值传入,如

http://123.206.87.240:9009/md5.php?a=s878926199a

在这里插入图片描述

四、第32题(程序员本地网站)

打开题目发现,题目里写着请从本地访问。
那么我们应该想到http头部的X-Forwarded-For参数

我们先介绍下X-Forwarded-For参数
X-Forwarded-For: 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。

我们抓包进行添加X-Forwarded-For参数,即可得出flag
在这里插入图片描述

五、第33题(各种绕过哟)

进入这道题我们通过阅读php代码,我们发现只要使uname的sha1和值与passwd的sha1的值相等即可,但是同时他们两个的值又不能相等,我们尝试构造数组。
成功得出flag
在这里插入图片描述

六、第34题(web8)

在这里插入图片描述
根据题目提示的txt.并且分析源码
我们可以得出以下几点有用信息
1、f的值从fn文件中取出
2、ac的值和类型与f的值和类型完全相等时,即可得出flag

寻找flag,

http://123.206.87.240:8002/web8/flag.txt

在这里插入图片描述
可以看出flag.txt的文件的内容为flags
那么我们让fn指向flag.txt文件,ac为该文件的内容;
构造payload

http://123.206.87.240:8002/web8/?ac=flags&fn=flag.txt

在这里插入图片描述

七、第35题(细心)

首先打开题目发现是一个404 not found 查看源码并没有什么发现。
想到题目的提示 想办法变成admin,那么我们使用御剑工具扫描下后台,发现robots.txt文件
robots.txt文件简单说就是网络爬虫规则
在这里插入图片描述
访问robots.txt文件,发现resusl.php文件
在这里插入图片描述
访问resusl.php文件发现,题目提示我们不是管理员,需要传入参数x
在这里插入图片描述
那么我们传入参数x=admin
在这里插入图片描述

八、第36题(求getshell)

  1. 把请求头里面的Content-Type字母改成大写进行绕过

  2. .jpg后面加上.php5其他的都被过滤了好像

  3. content-Type的值改为image/jpg(题目要求我们传入image)

如果是walf严格匹配,通过修改Content-type后字母的大小写可以绕过检测,使得需要上传的文件可以到达服务器端,而服务器的容错率较高,一般我们上传的文件可以解析。然后就需要确定我们如何上传文件,在分别将后缀名修改为php2, php3, php4, php5, phps, pht, phtm, phtml(php的别名),发现只有php5没有被过滤,成功上传,得到flag

在这里插入图片描述

giunwr
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf近期学习大总结(一)
weixin_43342135的博客
09-06 1725
经过上次的自闭赛之后,明白了总结的重要性+实战+刷题+看书+基础 ctf中一定要学会python,不然拿到题目,知道思路,就是写不出flag,那就很是尴尬了 由于接触到的赛题太少了,这里就有点low了,望各路大佬请多指教。 ctf是一门综合的比赛 关于web方面: 对于简单题: 终究其本质就是在 利用 web的基础知识 出题,比如说让你 利用 burpsuite 修改 访问的ip ,再比...
解析漏洞讲解、filepath、content-type绕过检测上传文件
qq_38135094的博客
04-10 9789
文件上传漏洞是指上传了一个可执行的脚本文件,从而获得执行服务器相关的权限和指令。如何上传文件,有很多种方法,而上传需要注意的形式也有很多。 要完成这个攻击,要满足以下几个条件: 首先,上传的文件能够被Web容器解释执行。所以文件上传后所在的目录要是Web容器所覆盖到的路径。 其次,用户能够从Web上访问这个文件。如果文件上传了,但用户无法通过Web访问,或者无法得到Web容器
bugkuCTF Writeup (Web36-40
Troublor的博客
02-01 3113
求getshell 文件上传绕过 上传一个php文件 用burp抓包 头部的Content-Type改成Multipart/form-data大小写绕过 请求内容里的Content-Type改成image 文件名改成php5 就绕过了 不太明白Multipart/form-data这里为什么变成大写绕过,网上查也没查到,似乎并没有人关心multipart/form-dat
BugkuCTF Writeup——Web
Lethe's Blog
03-07 2974
BugkuCTF Web——Writeup 作为我这个新手刷的第一个平台,bugku上面的大部分题目还算蛮友好的,这里主要记录一下其中我认为还蛮有意思的题目。 web2 直接查看F12查看源码即可得flag。 计算器 简单计算题,但输入框限制输入长度,直接改改输入框的前端代码,输入计算结果,得到flag。 web基础$_GET 代码审计,GET方法传入what变量的值为’flag’即可得fl...
Write Modern Web Apps with the MEAN Stack Mongo Express AngularJS and epub
10-06
Write Modern Web Apps with the MEAN Stack Mongo Express AngularJS and Node.js 英文epub 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者或csdn删除
Write Modern Web Apps with the MEAN Stack Mongo Express AngularJS and azw3
10-06
Write Modern Web Apps with the MEAN Stack Mongo Express AngularJS and Node.js 英文azw3 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者或csdn删除
Write Web Apps with Dart
05-02
Web development,: DART, THE OPEN-SOURCE web programming language developed by Google, is designed for building everything from simple console utilities to full-featured applications for browsers and ...
Write Modern Web Apps with the MEAN Stack pdf
08-29
Write Modern Web Apps with the MEAN Stack - Mongo, Express, AngularJS, and Node.js (Develop and Design)
Write on Web-crx插件
04-02
语言:English 这用于在网页上类似于Edge浏览器进行写作。 因此,您现在可以通过在网络上撰写内容来发表演讲 此应用程序用于在网页上绘制,并且与Edge Browser在网络上编写功能非常相似。 当您在演示中并且要从网页...
BugKu Web WriteUp
AlexYoung28的博客
08-24 2200
Web 8 这道题的代码和前面的文件包含写的思路一样, 我们都是运用  php://input 写,来实现我们从文件中读出的数据和我们传入的数据一样。 我写的如下:  只要保证  $ac  的值 和我们写入文件  $fn 的值 一样即可, 我这里都写的是 123 细心 这道题刚开始看到主页之后,又看了源代码和抓了包,发现都没有什么特别的地方,所以,只有拿御剑扫描一下后台。 ...
bugkuweb题-ctf入门(18-34)
memery_key的博客
05-23 4344
19、备份是个好习惯** //转自 http://www.zjzhhb.com/archives/190 打开网页 d41d8cd98f00b204e9800998ecf8427ed41d8cd98f00b204e9800998ecf8427e 尝试各种解密解码格式都没有效果,可以观察到整个字符串是d41d8cd98f00b204e9800998ecf8427e的两段重复,其实是MD5加密,最后再揭晓。 那现在怎么办呢,按照题目 备 份是个好习惯,是让我们寻找 .bak文件的,也就是说 存在某个文件的
各种绕过----bugku 之 SHA1 碰撞
那酷小样的博客
10-19 2121
<?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['uname'] == $...
bugku 求getshell(后缀黑名单检测和类型检测) writeup
xuchen16的博客
09-27 4740
这道题是后缀名黑名单检测和类型检测         1. 把请求头里面的Content-Type字母改成大写进行绕过         2. .jpg后面加上.php5其他的都被过滤了好像  如果是walf严格匹配,通过修改Content-type后字母的大小写可以绕过检测,使得需要上传的文件可以到达服务器端,而服务器的容错率较高,一般我们上传的文件可以解析。然后就需要确定我们如何上传文件,在...
strpos数组绕过NULL、密码md5比较绕过、MD5函数===绕过
giun的博客
05-06 3346
<?php $flag = "flag"; if (isset ($_GET['nctf'])) { if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE) echo '必须输入数字才行'; else if (strpos ($_GET['nctf'], '#biubiubiu') ...
求getshell-bugku
j7ur8
06-21 4134
    百度说是后缀黑名单检测和类型检测(经过一番测试之后)        1. 把请求头里面的Content-Type字母改成大写进行绕过        2. .jpg后面加上.php5其他的都被过滤了好像..        eg:我不知道怎么进行检测的,所以不是很懂 希望以后能把这篇文章移除understand,真正的理解为什么。...
sqlmap之cookie注入(靶场第二题)
giun的博客
03-03 7109
sqlmap 靶场第二题:https://hack.zkaq.org/?a=battle&amp;amp;f=target&amp;amp;id=31ac789a52edf9bb 首先我们尝试下sql注入 http://120.203.13.75:8001/shownews.asp?id=171%20and%201=1 说明该网站有防cookie注入 ...
DVWA之文件包含
giun的博客
03-09 4983
一、前置知识 1、什么是文件包含 一种代码处理方法,函数如include,require等,参数是文件名。 2、文件包含漏洞 文件名的参数用户可控且过滤不严,被攻击者偷梁换柱 二、尝试low等级 打开文件包含题目会发现以下提示,我们找到php.ini配置文件(一般在安装目录里),把 allow_url_include的值改成on,然后重启phpstudy即可 The PHP function a...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值