BUUCTF 个人做题记录【6-6】

最新推荐文章于 2023-12-04 09:24:47 发布
最新推荐文章于 2023-12-04 09:24:47 发布
阅读量358 收藏
点赞数
分类专栏: DASCTF CTF buuctf 文章标签: web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61620566/article/details/125143688
版权
CTF 同时被 3 个专栏收录
12 篇文章 0 订阅
订阅专栏
buuctf
8 篇文章 0 订阅
订阅专栏
DASCTF
6 篇文章 0 订阅
订阅专栏

目录

1.[MRCTF2020]Ez_bypass1

​编辑

2.[网鼎杯 2020 青龙组]AreUSerialz 1

3.[GXYCTF2019]BabySQli 1

4.[GYCTF2020]Blacklist 1

5.[GXYCTF2019]BabyUpload 1

1.[MRCTF2020]Ez_bypass1

题目打开就是一段php代码

提示我们要以GET方式传入id和gg参数,然后对他进行强类型比较,就是id!==gg&md5(id)===md5(gg),而数组的md5都会返回NULL,我们可以利用NULL===NULL绕过,我们可以让id和gg是数组,并且给他们不同的赋值就可以满足上面的条件了,这个我们用下面的payload绕过:

?id[]=a&gg[]=b

完成第一步,下面还要以POST方式传入passwd参数,要求passwd不能为数字,且md5(passwd)==1234567,这是很明显的弱类型比较,可以令passwd是一个字符串,但字符串最前面必须是1234567,这样就可以绕过了,得到我们用下面的payload绕过:

passwd=1234567a

2.[网鼎杯 2020 青龙组]AreUSerialz 1

题目打开就是一段代码审计

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

看完代码,我们想到的应该是读取flag.php的内容,对GET方式提交的str参数进行序列化,

我们从最初的类变量开始看,$op

 __destruct方法判断如果op强等于字符型的2,那么把op赋值为字符型的1,这里我们让op=2,因为int型的2和字符型的“2在强类型比较的时候是不等的,然后下面调用了process()函数

 如果op弱等于字符型的1,调用write函数,弱等于字符型的2则调用read函数,我一开始就说过,我们要读取flag.php的内容,于是我们就是要进入read函数,而前面我们给op赋值为int型的2,这样在若比较的时候和字符型的2相等,这样我们就进入了read函数,我们再看看read()函数

 read函数对我们传入的filename参数进行读取,file_get_contentsa函数是将我们读取的文件内容变为字符串的形式,之后赋值给res变量并输出,下面就是根据分析得出的payload:

?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";i:123;}

这里说一下,因为源码没有对content变量的引用,所以可以给它赋值也可以不赋值

 用payload访问后就得到了flag.php的base64编码,解密即可:

3.[GXYCTF2019]BabySQli 1

题目打开,发现是一道sql注入题,我们直接bp看一下有哪些字符别被过滤了

bp上发现大多sql关键字都是可以用的,那么我们找一下注入点,在我们点击登录之后查看源码

 

 根据Base64和Base32 区别:
base64中包含大写字母(A-Z),小写字母(a-z),数字0—9以及+/;
base32中只包含大写字母(A-Z)和数字234567

只是一段base32编码,解密:

c2VsZWN0ICogZnJvbSB1c2VyIHdoZXJlIHVzZXJuYW1lID0gJyRuYW1lJw==

得到一段base64编码,再解密:

select * from user where username = '$name'

这就可以判断注入点在登录框的username那一栏,

我们先看看列数,

 

 

小写的order被过滤掉了,所以我们用大写代替

 

 我们的列数只有四列,下面是这题最最重要的地方

 我们开始回显点,这时候就回答题目最开始的查看源码

<!--MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5-->
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 
<title>Do you know who am I?</title>
<?php
require "config.php";
require "flag.php";

// 去除转义
if (get_magic_quotes_gpc()) {
	function stripslashes_deep($value)
	{
		$value = is_array($value) ?
		array_map('stripslashes_deep', $value) :
		stripslashes($value);
		return $value;
	}

	$_POST = array_map('stripslashes_deep', $_POST);
	$_GET = array_map('stripslashes_deep', $_GET);
	$_COOKIE = array_map('stripslashes_deep', $_COOKIE);
	$_REQUEST = array_map('stripslashes_deep', $_REQUEST);
}

mysqli_query($con,'SET NAMES UTF8');
$name = $_POST['name'];
$password = $_POST['pw'];
$t_pw = md5($password);
$sql = "select * from user where username = '".$name."'";
// echo $sql;
$result = mysqli_query($con, $sql);


if(preg_match("/\(|\)|\=|or/", $name)){
	die("do not hack me!");
}
else{
	if (!$result) {
		printf("Error: %s\n", mysqli_error($con));
		exit();
	}
	else{
		// echo '<pre>';
		$arr = mysqli_fetch_row($result);
		// print_r($arr);
		if($arr[1] == "admin"){
			if(md5($password) == $arr[2]){
				echo $flag;
			}
			else{
				die("wrong pass!");
			}
		}
		else{
			die("wrong user!");
		}
	}
}

?>

 下面

 我们已经知道有三列,我们每一列的数据会被当作数组中的元素,数组下标从0开始,也就是说,我们构造sql语句1' union select 1,2,3#,1,2,3这三个数据会被当做数组中的三个元素,arr[0]=1,arr[1]=2,arr[2]=3,根据源码提示,我们提交的pw的md5值要和我们sql语句第三个数据(arr[2])相等,arr[1]要等于’admin‘

name=1‘ union select 1,'admin','202cb962ac59075b964b07152d234b70'#&pw=123

其中202cb962ac59075b964b07152d234b70是123的MD5

 

4.[GYCTF2020]Blacklist 1

考点:sql注入,查列数

 

确定列数为3

当我们输入1' union select 1,2,3#时,会报错,根据报错信息我可以知道被过滤掉的字符

我们这里试着堆叠注入:

1';show tables;#

 查字段

1';show columns from FlagHere;#

 大佬的分析:

这里屏蔽了许多东西

这里由于rename,和alter被过滤了,这里考虑利用HANDLER语句

这里先解释一下HANDLER语句的用法

这里的HANDLER语句和select查询语句都可以在mysql中查询想要的东西

他的基本语句是

通过HANDLER tbl_name OPEN打开一张表,无返回结果。

通过HANDLER tbl_name READ FIRST获取tbl_name的第一行,通过READ NEXT依次获取其它行。最后一行执行之后再执行NEXT会返回一个空的结果。
通过HANDLER tbl_name CLOSE来关闭打开的tbl_name。

payload:1';handler FlagHere open;handler FlagHere read first;handler FlagHere close;#

5.[GXYCTF2019]BabyUpload 1

题目打开,提示文件上传

 抓包看看

 

 上传成功,访问一下,发现是这样的,这就说明 我们的木马没有被成功解析

 我们在上传一个.htaccess文件,内容是

GIF89a?
<FilesMatch "1.jpg">
SetHandler application/x-httpd-php
</FilesMatch>
作用是把我们的上传的jpg文件解析问php文件

 

把我们jpg文件重新上传

 

上传成功后菜刀连接即可,flag再根目录下

 

 

不用再等
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
BUUCTF:password
Starbright.的博客
11-05 4957
谁会想到flag是zs加19900315呢?
buuctf-password
小星星的博客
04-06 2125
打开题目: 看得我一脸懵逼,谁能想到密码是名字第一个字母缩写+生日?? 即 zs19900315
BUUCTF——password1
hand2some2的博客
09-21 481
老样子,这道密码类型题我们直接看题目:刚看到题目我是这样的:这是啥?咋解密,然后仔细敲了敲最后一行,尝试将这三个信息关联起来:发现如果将张三变为 zs加上它的日期长度刚好符合题目的xx长度,那我们不妨试下:
BUUCTF密码学部分前十二题(l1ght)
B1_ye的博客
07-17 4012
1.MD5 解压压缩包之后我们将得到这样一串字符:e00cf25ad42683b3df678c61f42c6bda 将这串字符进行MD5解密,得到flag:flag{admin1} 2.url编码 得到字符:%66%6c%61%67%7b%61%6e%64%20%31%3d%31%7d 进行url解码:flag{and 1=1} 3.一眼就解密 得到字符:ZmxhZ3tUSEVfRkxBR19PRl9USElTX1NUUklOR30= 很明显,一眼就能看出这是base64,也可以由尾部的“.
BUUCTF-password
qq_69872924的博客
07-04 472
password,谁又能想到呢
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
【变量覆盖漏洞详解】 ...这类漏洞通常出现在以下几种情况: 1. **全局变量覆盖**: ...攻击者可以通过操纵这些请求参数来覆盖预定义的变量,造成安全风险。... ...2. **extract()函数使用不当**: `extract()`函数会从数组中...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
BUUCTF-MISC-WP(详细解题思路)
最新发布
01-27
BUUCTF-MISC-WP(详细解题思路)
[极客大挑战 2019]BuyFlag1
pie002的博客
03-26 82
由于是弱比较,我们可以在404后面加字符串绕过,password=404a。password==404且password不能是数字。把这段cookie值改为1就可以进入student身份。提示说数值太长,可以用科学计数法:money=1e8。要求用户必须是student from CUIT。查看源代码,发现pay.php文件。查看源代码,发现一段提示代码。提示钱不够,试试1e9。
[MRCTF2020]Ez_bypass1
2301_78136321的博客
12-04 172
MD5(a[]=1)===MD5(b[]=2),从理论上来讲,二者并不相等,可因为MD5不能处理数组。3.下一个是用POST传入password,且password需弱等于1234567。2.第一条过滤是令id的MD5值等于gg的MD5值,且需要两边的解密前的值不相等。再因为MD5不能处理数组,所以当MD5的比较双方出现数组时,例如。1.打开题目,发现是代码审计类的题,查看源码后发现两个绕过。用hackbar进行传参即可出现flag。出现回显,绕过第一层。
[MRCTF2020]Ez_bypass 1
m0_62706061的博客
10-16 293
简单的ctf 考点:md5绕过+php弱类型绕过
【GXYCTF2019】BabySQLi wp
Luminous_song的博客
09-28 290
打开容器后发现,只是一个登录页面 这种登录一般都是admin为用户名,再随便输个密码,发现出现wrong pass打开源代码,发现一行注释 <!--MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5--> 先用base64解密一次,发现是乱码,再用base32,解出来出现两个等号,有base64的特征,再次用base64解密,发现 select * f
BUUCTF—[MRCTF2020]Ez_bypass1
qq_57778984的博客
10-22 424
这是严格不相等运算符,它不仅会比较两个值的数值是否相等,还会比较它们的数据类型是否相等。它在比较时会进行类型转换,将操作数转换为相同的类型,然后再进行比较。:这是非严格不相等运算符,它只会比较两个值的数值是否相等,不会考虑数据类型。只要数值不相等,不论数据类型是否相同,如果传入的两个参数不是字符串,而是数组,md5()函数无法解出其数值,并且不会报错,就会得到===强比较的值相等。此时md5(para1)=== md5(para2)"==="与"==":在PHP中,最终,比较的结果是两个整数的比较,
Buuctf [MRCTF2020]Ez_bypass 1 WP解析
qq_60115503的博客
11-10 783
md5函数不能处理数组,处理数组会报错,就会返回null,然后经过md5就相等了,传入的参数不同,gg和id的值就不同。b=240610708,加密后为0e462097431906509019562988736854。有了回显,是一个warning的报错说明我们的GET的md5弱比较执行成功,接着审计剩下的代码。a=QNKCDZO,加密后为0e830400451993494058024219903391。=b,也满足了md5($a) == md5($b)修改后直接发送包获得flag。
[GXYCTF2019]BabySQli
xj28555的博客
09-02 363
进入题目一个登录框 对登录框做了一些常规的sql注入和fuzz发现都无果。然后在等级登录后跳转的search.php页面查看源代码发现一段编码。 MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5 发现其是一段base32编码,解码后发现又是一段base64编码。 c2VsZWN0ICogZnJvbSB1c2VyIHdoZXJlIHVzZ
BUU Web[29-32]
qq_41513009的博客
09-29 689
BUU Web[29-32]
buuctf [weblogic]cve-2017-10271
03-10
我可以回答这个问题。buuctf [weblogic]cve-2017-10271 是一个漏洞,影响 Oracle WebLogic Server,可以允许攻击者远程执行代码。建议用户及时更新补丁以保护系统安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值