南邮CTF部分篇章WP

最新推荐文章于 2022-12-07 01:37:51 发布
最新推荐文章于 2022-12-07 01:37:51 发布
阅读量210 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44597701/article/details/108168838
版权

起名字真难

<?php
function noother_says_correct($number)
{
       $one = ord('1');
       $nine = ord('9');
       for ($i = 0; $i < strlen($number); $i++)
       {   
               $digit = ord($number{$i});
               if ( ($digit >= $one) && ($digit <= $nine) )
               {
                       return false;
               }
       }
          return $number == '54975581388';
}
$flag='*******';
if(noother_says_correct($_GET['key']))
   echo $flag;
else 
   echo 'access denied';
?>

这里要求参数是54975581388,但是前面分for循环又过滤了1~9,所以这里可以将54975581388转化为16进制进行绕过,只要转后不含1 ~9的数即可,因为php是可以不同进制数之间比较的。而且因为这里是弱类型,所以必须以数字进行转换,以字符串进行转换时不正确的。
54975581388=0xccccccccc

SQL Injection

源码

#GOAL: login as admin,then get the flag;
error_reporting(0);
require 'db.inc.php';

function clean($str){
	if(get_magic_quotes_gpc()){
		$str=stripslashes($str);
	}
	return htmlentities($str, ENT_QUOTES);
}

$username = @clean((string)$_GET['username']);
$password = @clean((string)$_GET['password']);

$query='SELECT * FROM users WHERE name=\''.$username.'\' AND pass=\''.$password.'\';';
$result=mysql_query($query);
if(!$result || mysql_num_rows($result) < 1){
	die('Invalid password!');
}

echo $flag;

这里的stripslashes会去除自动加的转义符,htmlentities($str, ENT_QUOTES)会对字符串的单双引号转为html实体,就是如"<script>alert('123')</script>"变为&lt;script&gt;alert(&#039;123&#039;)&lt;/script&gt;gt,所以这里肯定不能将将username用’来闭合,然后将后面的注释掉。
因为原SQL语句是SELECT * FROM users WHERE name='' AND pass='';只要我们将username后面的单引号不让他包裹起来,那username前面的个单引号就会和pass的前一个单引号合起来作为name的值,然后后面pass传参为 or 1 = 1,使SQL语句的执行结果为永真,就行的通了。
传入?username=admin\$password=or 1 = 1--+
SQL语句成为了

SELECT * FROM users WHERE name='admin\' AND pass='or 1 = 1 -- '

\'只是字符串中的一个单引号
由此得到flag。

密码重置2

在这里插入图片描述
要求登录,随便输入什么进去看,发现通过get方式传参,用burp suite抓包看看是不是post有东西,但是都没有用。判断SQL注入是不可能的了。
这里看的别人的WR,感觉比较新颖。
vim的特性,自动备份:

一、vim备份文件
默认情况下使用Vim编程,在修改文件后系统会自动生成一个带~的备份文件,某些情况下可以对其下载进行查看; eg:index.php普遍意义上的首页,输入域名不一定会显示。 它的备份文件则为index.php~
二、vim临时文件
vim中的swp即swap文件,在编辑文件时产生,它是隐藏文件,如果原文件名是submit,则它的临时文件
.submit.swp。如果文件正常退出,则此文件自动删除。

从html源码中看到跳转到的是submit.php,因此这里会有临时文件.submit.php.swp,打开看得到源码

........杩欎竴琛屾槸鐪佺暐鐨勪唬鐮�........

/*
濡傛灉鐧诲綍閭鍦板潃涓嶆槸绠$悊鍛樺垯 die()
鏁版嵁搴撶粨鏋�

--
-- 琛ㄧ殑缁撴瀯 `user`
--

CREATE TABLE IF NOT EXISTS `user` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) NOT NULL,
  `email` varchar(255) NOT NULL,
  `token` int(255) NOT NULL DEFAULT '0',
  PRIMARY KEY (`id`)
) ENGINE=MyISAM  DEFAULT CHARSET=utf8 AUTO_INCREMENT=2 ;

--
-- 杞瓨琛ㄤ腑鐨勬暟鎹� `user`
--

INSERT INTO `user` (`id`, `username`, `email`, `token`) VALUES
(1, '****涓嶅彲瑙�***', '***涓嶅彲瑙�***', 0);
*/


........杩欎竴琛屾槸鐪佺暐鐨勪唬鐮�........

if(!empty($token)&&!empty($emailAddress)){
	if(strlen($token)!=10) die('fail');
	if($token!='0') die('fail');
	$sql = "SELECT count(*) as num from `user` where token='$token' AND email='$emailAddress'";
	$r = mysql_query($sql) or die('db error');
	$r = mysql_fetch_assoc($r);
	$r = $r['num'];
	if($r>0){
		echo $flag;
	}else{
		echo "澶辫触浜嗗憖";
	}
}

里面有中文乱码,但是读php代码还是可以知道token=0000000000
然后从index.php的html文件中得到<meta name="admin" content="admin@nuptzj.cn" />邮箱为admin@nuptzj.cn,将结果输入进去即可。

weixin_44597701
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf-web-wp
Iambangbang的博客
08-22 2278
签到 水题不解释 md5 collision md5常见弱类型,,直接得到flag 签到2 ,简单的小坑,要输入的口令长度大于10,但是限制是在本地产生的,所以直接用firedebug直接修改就好 这题不是web 这道题一进去有个gif动图,下载下来看看,,在file format里看到了flag,不过在提交的时候要注意有3个空格要删掉 层层递进 这道题是看了名字才有思路,说明
CTF:WEB 起名字真难
笔记
04-26 2224
条件: &lt;?php function noother_says_correct($number) { $one = ord('1'); $nine = ord('9'); for ($i = 0; $i &lt; strlen($number); $i++) { $digit = ord(...
php分段考试,PHP代码审计分段讲解(8)
weixin_33925126的博客
03-12 207
20 十六进制与数字比较源代码为:error_reporting(0);function noother_says_correct($temp){$flag = 'flag{test}';$one = ord('1'); //ord — 返回字符的 ASCII 码值$nine = ord('9'); //ord — 返回字符的 ASCII 码值$number = '3735929054';// ...
CG CTF-Web-起名字真难
feng的博客
09-07 343
这题是一道代码审计和PHP弱类型比较的题目,不算太难,但是我被坑了。 首先进行代码审计: <?php function noother_says_correct($number) { $one = ord('1'); $nine = ord('9'); for ($i = 0; $i < strlen($number); $i++) { $digit = ord($number{$i});
CTF学习笔记:SQL注入(显错注入)
a12332251的博客
12-07 720
SQL注入
ctf--Wp
Hydra的博客
10-17 1817
10.15 1.pass check $pass=@$_POST['pass']; $pass1=***********;//被隐藏起来的密码 if(isset($pass)) { if(@!strcmp($pass,$pass1)){ echo "flag:nctf{*}"; }else{ echo "the pass is wrong!"; } }else{ echo "please i...
CtfHub-wp(web)
最新发布
01-23
本文主要探讨了CTF(Capture The Flag)竞赛中与Web安全相关的知识点,通过解决一系列问题,我们可以学习到如何发现和利用网站的漏洞获取关键信息。首先,提到了通过查找网站的备份文件来获取线索,例如在URL后添加...
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
CTF综合题2脚本
07-11
电大学网络攻防平台综合题2脚本,可以直接跑出所需的数据。
2023陕西CTF部分题目
06-08
记一道MISC的题目,群里来的,发现cyberchef新用法
CTF-6#SYSTEM!POWER!-WP
10-23
CTF WP SYSTEM!POWER! CTF(Capture The Flag)竞赛题目6#SYSTEM!POWER!的WP(Write-up)解析。 CTF WP CTF竞赛是信息安全领域中的一种比赛形式,旨在评估参与者的安全技能。WP是Write-up的缩写,指的是CTF...
WP-CTF逆向第五题 maze
z4ky的博客
11-08 1489
WP-CTF逆向第五题 maze 用记事本打开maze,发现是elf文件 将maze载入idaPro,找到main函数,按下F5查看其伪代码。分析伪代码 根据分析,可知0X601060处是一个迷宫(maze),我们对sub_400690这个函数进行分析 然后观察0X601060处的数据, 是保存了64个数据,再根据sub_400690这个函数中的 可以判断出,这是一个8 * 8的迷...
ctf平台部分题解
xuqi7
06-11 2万+
ctf平台部分wp
ctf-题解(停止更新)
reigns的博客
08-17 7210
由于专业名字叫网络空间安全,所以感觉不学点安全知识对不起专业名= =,本人大学四年完全没有接触过信息安全知识,发现本科母校有个网络安全训练平台,就开始练练手,做做ctf入门训练吧。 电大学网络攻防训练平台:http://ctf.nuptzj.cn/challenges# &gt;_签到题: 就是直接查看网页源代码。 &lt;html&gt; &lt;title&gt;key...
mysql ctf_ctf之web之wp
weixin_31539351的博客
01-20 470
下面是所有现在可以做的web题的wp!建议使用CTRL+F查找所需题目,我都有标注!这样方便!1、签到题直接查看源码即可2、md5 collision解读代码:$md51 = md5('QNKCDZO');$a = @$_GET['a'];$md52 = @md5($a);if(isset($a)){if ($a != 'QNKCDZO' && $md51 == $md52) {e...
ctf(web wp
Xi4or0uji
08-20 3477
签到 源代码就有了 md5 collision 传一个字符串,值跟QNKCDZO一样但是又不是它的就行了 签到2 改了本地的maxlength就能输进去zhimakaimen然后拿到flag了 这题不是WEB 把图片下载下来丢去010editor就能看到flag了 层层递进 点进去一直找,找到一个404.html就能看到了,真的藏得很深 单身二十年 页面很快就跳转,抓...
WP-CTF逆向第二题 ReadAsm2
z4ky的博客
11-08 673
WP-CTF逆向第二题 ReadAsm2 这道题是考察读汇编能力 先打开2.asm 对汇编语言从上往下一条一条的进行分析,注释部分即分析的情况,分析如下图 3.然后我们分析完这段汇编之后,用C语言的形式将它表示出来 我们得到真正的flag为:flag{read_asm_is_the_basic} ...
CTF-WEB-write-up 教程详细解说
残阳泼茶香的博客
03-20 3429
单身一百年也没用 Download~! COOKIE MYSQL sql injection 3 /x00 bypass again 变量覆盖 PHP是世界上最好的语言 伪装者 Header 上传绕过 SQL注入1 pass check 起名字真难 密码重置 php 反序列化 sql injection 4 综合题 system SQL注入2 综合题2 注入实战1 密码重置2 ...
NCTF 电大学网络攻防训练平台 WriteUp
热门推荐
4ct10n
08-02 8万+
NCTF 电大学网络攻防训练平台 WriteUp不说什么直接上题解WEB1.签到题(50)直接查看网页源码 Flag:nctf{flag_admiaanaaaaaaaaaaa}2.md5 collision(50)源码如下:<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ i
ctfhub 全部WP
09-22
引用:MIME((Multipurpose Internet Mail Extensions)多用途互联网件扩展类型。 它是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式每个MIME类型由两部分组成,前面是数据的大类别,例如声音 audio、图象 Image等,后面定义具体的种类。 常见的MME类型,例如:   超文本标记语言文本 .html,html text/htm   普通文本 .txt text/plain   RTF文本 .rtf application/rtf   GIF图形 .gif image/gif   JPEG图形 .jpg image/jpeg 上传包含一句话木马的php文件,然后使用burp抓包,修改数据包的content type为image/gif(注意是第二个content type)发送到repeater修改后,点击send,然后放包,即可显示上传php文件成功后的相对路径。使用蚁剑连接该一句话木马即可获得flag。 文件头检查 。 引用: htaccess 查看网页源码,可以看到常用的文件后缀都被禁用。根据题目的提示,.hatccess文件【.htaccess是Apache服务器的一个配置文件。它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面,改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。】 前提:mod_rewrite模块开启,配置文件中LoadMoudle rewrite_module module modules/mod_rewrite.so AllowOverride All,配置文件中AllowOverride All (如果可能做题过程中结果出现问题,但步骤正确,可以看看前提是否正确) 。 引用:文件头检验 是当浏览器在上传文件到服务器的时候,服务器对所上传文件的Content-Type类型进行检测。如果是白名单允许的,则可以正常上传,否则上传失败。 当我们尝试上传一句话木马的php文件,出现了正确后缀类型的弹窗。使用010editor制作一张图片木马,上传时使用burp抓包把文件后缀改为php,然后点击send。使用蚁剑连接php文件,即可在对应目录下找到flag。 00截断 。 关于ctfhub的全部WP,很抱歉我无法提供相关信息。由于ctfhub是一个综合性的CTF平台,涵盖了大量的题目和解题思路,每个题目的WP都有着不同的内容和解法。如果您对特定的题目或解题方法感兴趣,我可以为您提供更多信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值