攻防世界---web---高手进阶区

最新推荐文章于 2022-04-25 16:04:53 发布
最新推荐文章于 2022-04-25 16:04:53 发布
阅读量587 收藏
点赞数
分类专栏: # CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44108455/article/details/102938425
版权

对以下writeup万分感谢:
https://blog.csdn.net/zz_Caleb/article/details/95041031
https://blog.csdn.net/CliffordR/article/details/98472156

第1题–CAT
打开页面,让我输入域名,那我们就输入测试一下。
1、先输入百度的ip 14.215.177.38,返回
在这里插入图片描述输入本地ip 127.0.0.1试试看
在这里插入图片描述输入的ip被执行了ping命令,推测这个可能是命令拼接执行,
输入127.0.0.1|ls 、127.0.0.1&&dir 均返回 Invalid URL,说明系统对这些字符串都进行了过滤
在这里插入图片描述
在URL的传参处?url=这里,我们传递个%79发现传递之后变成了?url=w,看来是可以传递url编码,系统会接受并进行解析,于是我们传递%80会出现报错,url编码使用的是16进制,80也就是128,ASCII码是从0-127,所以这个时候会报错。url编码表可以参考:
http://www.w3school.com.cn/tags/html_ref_urlencode.html

第二关—ics-05

在这里插入图片描述
1、是一个index.php的页面,并且设备…没有显示完全,此位置可疑。

2、查看源码,并没有找到线索,通过php伪协议查看源码
在题目所给的url后面加

?page=php://filter/convert.base64-encode/resource=index.php

在这里插入图片描述 3、进行base64解密(我用的是notepad++进行解密,里面有base64 decode插件)

<?php
error_reporting(0);

@session_start();
posix_setuid(1000);


?>
<!DOCTYPE HTML>
<html>

<head>
    <meta charset="utf-8">
    <meta name="renderer" content="webkit">
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <link rel="stylesheet" href="layui/css/layui.css" media="all">
    <title>设备维护中心</title>
    <meta charset="utf-8">
</head>

<body>
    <ul class="layui-nav">
        <li class="layui-nav-item layui-this"><a href="?page=index">云平台设备维护中心</a></li>
    </ul>
    <fieldset class="layui-elem-field layui-field-title" style="margin-top: 30px;">
        <legend>设备列表</legend>
    </fieldset>
    <table class="layui-hide" id="test"></table>
    <script type="text/html" id="switchTpl">
        <!-- 这里的 checked 的状态只是演示 -->
        <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开|关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}>
    </script>
    <script src="layui/layui.js" charset="utf-8"></script>
    <script>
    layui.use('table', function() {
        var table = layui.table,
            form = layui.form;

        table.render({
            elem: '#test',
            url: '/somrthing.json',
            cellMinWidth: 80,
            cols: [
                [
                    { type: 'numbers' },
                     { type: 'checkbox' },
                     { field: 'id', title: 'ID', width: 100, unresize: true, sort: true },
                     { field: 'name', title: '设备名', templet: '#nameTpl' },
                     { field: 'area', title: '区域' },
                     { field: 'status', title: '维护状态', minWidth: 120, sort: true },
                     { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true }
                ]
            ],
            page: true
        });
    });
    </script>
    <script>
    layui.use('element', function() {
        var element = layui.element; //导航的hover效果、二级菜单等功能,需要依赖element模块
        //监听导航点击
        element.on('nav(demo)', function(elem) {
            //console.log(elem)
            layer.msg(elem.text());
        });
    });
    </script>

<?php

$page = $_GET[page];

if (isset($page)) {



if (ctype_alnum($page)) {
?>

    <br /><br /><br /><br />
    <div style="text-align:center">
        <p class="lead"><?php echo $page; die();?></p>
    <br /><br /><br /><br />

<?php

}else{

?>
        <br /><br /><br /><br />
        <div style="text-align:center">
            <p class="lead">
                <?php

                if (strpos($page, 'input') > 0) {
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
                    die();
                }

                if (strpos($page, 'text') > 0) {
                    die();
                }

                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        </p>
        <br /><br /><br /><br />

<?php
}}


//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}

?>

</body>
</html>

3、开始审计源码
发现X_FORWARDED_FOR要输入的是127.0.0.1

此处存在preg_replace函数,并且用Get 传参的方式把‘pattern’ ,’ replacement’,‘subject’传递给preg_replace函数,此处明显考察的是preg_replace函数使用/e模式,导致代码执行的问题。也就是说。pat的值和sub值相同,rep的值就会执行。
preg_replace函数的用法

第三关–ics-06

在这里插入图片描述有个id=1,怀疑传不一样的参数,返回值不一样,爆破试试看

选择 1 的位置进行爆破,爆出当id=2333时,拿到flag

在这里插入图片描述第四关—lottery

1、点击链接进去之后,随便输个账号登陆进去,发现应该要攒够钱,然后勾玉买flag。
在这里插入图片描述2、 访问 /robots.txt
在这里插入图片描述 发现/.git/,那我们

真的是能力有限,还没能做出来!!!!!

gclome
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机病毒攻防论文-(精选).pdf
11-17
计算机病毒攻防论文-(精选).pdf
信息网络攻防技术-网络安全.ppt
03-01
信息网络攻防技术-网络安全.ppt
攻防世界:Web高手
xuhc25的博客
05-07 468
攻防世界:Web高手 文章目录1、aNNaNNaNNaN-Batman 1、aNNaNNaNNaN-Batman 题目: 下载下来得到附件,解压。 用txt打开 发现是一个JavaScript脚本。 看着有些乱码,试看看弹窗内容,把末尾的eval改成alert,然后后缀改为html。 双击浏览器打开,就能看到弹出内容。 这回看到是正经的代码了,整理得到如下代码。 function $(){ var e=document.getElementByld("c").value; if(e.
攻防世界-Web高手-FlatScience
feng的博客
09-13 546
前言 我只能说,神仙题。最神仙的就是最后的那个脚本,其他的真的还好。自己现在还没学python,还暂时看不懂那个脚本,只能直接利用了。正确12月之前把Linux学好后开始学python,然后回过头来把这个脚本自己写一遍。 WP 打开后发现是发现有点类似一个藏了很多论文的平台,分别把下方的链接都打开看看,结果并没有什么用。于是dirsearch扫一下目录,发现了类似登录和管理员的页面: 我分别去看看,发现都需要行登录。在f12查看源码的时候,我在login.php里面发现了:<!-- TODO:
攻防世界——web高手(1~6)
weixin_52805837的博客
03-09 613
攻防世界——web高手(1~6) (1)baby_web: 1.根据提示,在url中输入index.php,发现打开的仍然还是1.php 2.打开火狐浏览器的开发者模式,选择网络模块,再次请求index.php,查看返回包,可以看到location参数被设置了1.php,并且得到flag (2)Training-WWW-Robots: 直接先访问robots.txt: 然后在url在输入/fl0g.php,得到flag (3)Web_python_template_injection: 首先构造/{
攻防世界web高手-baby web
weixin_61835841的博客
04-19 343
1.入链接,一开始去看到这个页面是 1.php,根据题目提示“想想初始页面是哪个,猜测应该存在 index.php,于是访问index.php输入之后直接跳转到了 1.php,猜测地址可能填写到了1.php。 2.打开火狐浏览器开发者模式(F12),选择网络模块,请求index.php,可以看到location参数被设置了1.php,并且得到flag。 总结:本题考查了web常见参数location的作用 ...
xctf 攻防世界 web wp 高手(持续更新中)
m0_55854679的博客
06-22 311
baby_web 点击题目链接,可以看到一个1.php的页面。 题目要求是查看初始页面,在url后面添加index.php【单一入口的应用程序就是说用一个文件处理所有的HTTP请求,例如不管是列表页还是文章页,都是从浏览器访问index.php文件,这个文件就是这个应用程序的单一入口。由于所有的http请求都由index.php接收,所以可以行集中的安全性检查,如果不是单一入口,那么开发者就必须记得在每一个文件的开始加上安全性检查代码。工作都被集中到了index.php来完成,可以减轻我们维护其他功能代
攻防世界Training-Stegano-1
10-31
攻防世界Training-Stegano-1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127614642
商业编程-源码-缓冲溢出攻防.zip
06-23
商业编程-源码-缓冲溢出攻防.zip
攻防世界Let-god-knows杂项
11-20
攻防世界Let_god_knows杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947532
xctf攻防世界 Web高手 Zhuanxv
l8947943的博客
01-07 1265
1.入环境,查看内容 没有什么其他信息,尝试dirsearch一下,如图: 发现有/list页面,我们尝试一下,发现让登录,如图: 猜测是需要想办法登入,从而拿到flag 2.问题分析 对内容行抓包 先forward,然后再通过action送入repeater,如图: 发现图片是请求加载的,也就是通过后端传说过来的,那么可以响应的url,如图: 通过/loadimage?fileName=web_login_bg.jpg拿到了图片。既然知道了服务器的地址和请求路径,我们就通过路径访问得到项目的
攻防世界web高手 Web_php_include
weixin_61835841的博客
04-25 1965
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 工具 火狐,burpsuite 分析 代码审计: strstr():分大小写 str_replace:替换函数 补充: 函数原型:mixed str_replace ( mixed $search , mixed $replace , mixed $subject [, int &$count ] )参数说明:$search要被搜索替换的字符串,$replace要替换搜索的字符串,$subject操作...
攻防世界-Web高手-Cat
feng的博客
09-13 433
这题其实并不能算是命令执行,主要涉及了输入宽字节字符导致报错,curl的@+文件名做本地文件读取,以及django的相关知识。
攻防世界-Web高手-ics-04
feng的博客
09-12 190
前言 终于自己成功做出来一道题了,信心大增。之前这题我做的时候发现题挂了。今天再来看,发现又好了,而且花了半小时居然做出来了!对于我这样的萌新来说真的是Nice. WP 根据提示,登录和注册页面存在漏洞。我们分别抓包,都行一波分析。各个页面我都行了查看,发现没什么发现,因此针对各个页面都行SQL注入的检测,因为各个界面基本上都有输入,是关于用户名和密码,大概率和数据库相关,可能存在注入。 终于,在 ...
攻防世界Web 高手:Lottery
feng的博客
09-04 904
前言 这其实是我学了CTF的Web方向一个月以来做的第一道关于git泄露的题,之前发了几篇关于CTFHub中git泄露的题目,是因为我遇到这题的时候完全知识盲,去补了git知识然后相应的做了CTFHub的题目之后才敢来继续做这题。总的来说,这题还是很好的,考了git泄露的知识点,考了代码审计,考了php弱类型比较的知识点,还考了burp抓包相关的知识,这题虽然前前后后算上学习居然有一天,但是对于我这样的小白来说,收获还是巨大的。 WP 打开题目发现是个猜数字游戏,登录之后玩了玩发现买flag遥不可及,直接
攻防世界-web-高手1-ics-06
wyj_1216 House
07-06 2881
题目 writeup 首先打开这个界面,看起来好高大上 随便点点 发先报表中心可以点去界面 一开始还以为sql注入 尝试好多,没有回显 结果最后发现是爆破(哭) 爆破常规操作一波 得到当id=2333时,得到flag 知识点 爆破: https://blog.csdn.net/wyj_1216/article/details/90452373 见0x03Weak_auth ...
攻防世界WEB 高手writeup (一)
weixin_44120313的博客
11-15 711
web 15. hide and seek 右键查看源代码 16. guestbook 爆数据库 --dbs 爆表 --tables 爆字段名 --columns 爆数据。–dump LFI 查看网址,可能存在文件包含漏洞 查看源码 读取pages/flag.php文件 读取pages/config.php文件 ...
xctf攻防世界 Web高手 blgdel
l8947943的博客
01-09 565
1.入环境,查看内容 乱点一通,注册个账号,没有什么发现,秒杀页面有些奇怪,但也没有重要的提示,使用dirsearch扫一扫,看看有啥,如图: 我们发现有robots.txt,那就从这里入手吧! 2. 问题分析 查看robots.txt 打开后,提示config.txt是入手点,那就访问一下,打开后是一堆代码,如下: <?php class master { private $path; private $name; function __construct() { }
攻防世界web高手write up(1-12)
zonei123的博客
06-10 821
文章在公众号 攻防世界web高手write up(1-12)
攻防世界-get_post
最新发布
08-24
攻防世界中,"get_post" 是一个题目,要求学习如何使用GET和POST请求来传递参数。在这个题目中,首先让我们使用GET方式传递一个名为a,值为1的变量。我们只需要在URL窗口输入"/?a=1"并回车即可。接下来,又让我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值