BUUCTF部分题练习

最新推荐文章于 2024-04-02 19:25:00 发布
最新推荐文章于 2024-04-02 19:25:00 发布
阅读量588 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yqdid/article/details/105899425
版权

目录

[强网杯 2019]随便注

看题目的样子应该是sq注入
在这里插入图片描述先添加单引号 1',发现有报错;
用order by 语句查询到有两列 1' order by 2 #
然后准备用union select 联合查询数据库时,页面回显了过滤提示:

在这里插入图片描述return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);
根据提示,上面的提到的关键字都被过滤了。

就要用另一种注入方法——堆叠注入。

堆叠查询注入:堆叠查询可以执行多条SQL语句,语句之间以分号(;)隔开。而堆叠查询注入攻击就是利用此特点,在第二条语句中构造自己要执行的语句。

构造语句,查询数据库1';show databases;#
在这里插入图片描述

再查表:1;show tables ; #

在这里插入图片描述

查询第一个表中的内容:1';show columns from '1919810931114514';#

但是什么也没有

再看words表中的内容1';show columns from words #

在这里插入图片描述
用handler查询语句,具体参考这里

在这里插入图片描述1';handler1919810931114514open;handler1919810931114514read first;#

在这里插入图片描述

WarmUp

在这里插入图片描述

熟悉的滑稽脸…
首先查看源码:
发现有一个提示,souse.php. 进去
在这里插入图片描述进去后得到一段代码

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

这道题之前做过
看到有个hint.php 进去后

在这里插入图片描述
这是一个文件包含的漏洞
构造:/source.php?file=hint.php%253F/../../../../ffffllllaaaagggg
在这里插入图片描述

EasySQL

输入1,回显了一个
在这里插入图片描述
想着是不是单引号注入之类的,试了试发现没有反应。
想到前面一道题用了堆叠注入,于是这里也尝试了一下
1;show databases;
在这里插入图片描述然后1;show tables;
在这里插入图片描述看到有Flag,但是不知道怎么查看,试了几种查询语句返回的都是nonono
在这里插入图片描述

然后搜了其他大神的方法。
看到有个用 *,1
试了试,竟然可以,但是我不懂为什么。。。。
求解
在这里插入图片描述

[HCTF 2018]admin

点进hctf 但是无法访问
在这里插入图片描述查看源码发现提示需要管理员权限
在这里插入图片描述

第一个想到的获取管理员权限的方法就是,先注册一个普通用户的账号—>在修改资料时将管理员的session改到普通用户的session上
也就是伪造session
但是当我用burpsuite抓包后看到这个session,我有一丝丝的迷茫
在这里插入图片描述然后去查看了大神的wp后,了解到这是需要解密的
同理,想要伪造session也得利用脚本进行加密后在放上去

这时 ,看到大神提供了另一个很妙的方法:Unicode欺骗

具体就是利用函数strlow()函数在登陆注册修改密码时都用到了的漏洞

def strlower(username):
    username = nodeprep.prepare(username)
    return username

在这里插入图片描述
所以就是用注册ᴬᴰᴹᴵᴺ用户,然后在用ᴬᴰᴹᴵᴺ用户登录
在这里插入图片描述

因为在login函数里使用了一次nodeprep.prepare函数,因此我们登录上去看到的用户名会变成ADMIN
在这里插入图片描述

此时再修改密码,又调用了一次nodeprep.prepare函数将name转换为admin
在这里插入图片描述

这样就可以改掉admin的密码
然后用admin登陆 拿到flag

在这里插入图片描述

easy_tornado

打卡看到3个链接,每个点进去看了看
在这里插入图片描述

这里告诉我们flag in//fllllllllllllag
在这里插入图片描述
但是我们直接访问/fllllllllllllag 是不行的
然后看了另外两个链接的内容

在这里插入图片描述
在这里插入图片描述
而且可以注意到链接每次打开都不是直接访问文件 flag.txt 而是后面还有一个参数filehash

http://babf3103-1032-4a39-9e47-399228c9769a.node3.buuoj.cn/file?filename=/flag.txt&filehash=04cfaf348554214a8b4f2cb927eef82a

所以要访问到/fllllllllllllag 必须知道它的filehash的值

结合hint.txt 给出的提示 filehash 的值应该是
filehash=md5(cookie_secret+md5(filename))
filename=/fllllllllllllag,还需要知道cookie_secret

另外还有一个 error界面, /error?msg=Error,可能存在服务端模板攻击
参考链接: link.

构造payload获取cookie_secret
/error?msg={{handler.settings}}
在这里插入图片描述找了个脚本算出filehash

import hashlib

def md5(s):
 md5 = hashlib.md5() 
 md5.update(s.encode("utf-8")) 
 return md5.hexdigest()
 
def filehash():
 filename = '/fllllllllllllag'
 cookie_secret = 'a76db239-678c-4f3b-94d1-ea2e597ff5cc'
 print(md5(cookie_secret+md5(filename)))
 
if __name__ == '__main__':
 filehash()

得到:

eb2987f1a72c919efcb33e070f9a71e2

然后构造playload:
/file?filename=/fllllllllllllag&filehash=eb2987f1a72c919efcb33e070f9a71e2
拿到 flag
在这里插入图片描述

yqdidy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | CTF】BUUCTF Brute 1解详析(BurpSuite爆破实战)
等风来
04-28 5489
4、Cluster bomb:每个变量对应一个字典,并且交集破解尝试每一个组合,每个用户和每个密码进行匹配,两个字典。找到返回长度异于其它payload的请求(在此实例中即为admin),响应页面回显。2、Battering ran:对变量进行同时破解,用户名和密码相同,仅一个字典。由上可知,发送到第6491个请求时才爆破出密码为6491,而这个过程是十分慢的。3、pitch fork:每个变量对应一个字典,用户名和密码一一对应,两个字典。单独抓包时回显仅用户名错误,考虑先爆破用户名。
BUUCTF小结
qq_46148060的博客
11-01 772
大帝的密码武器 目:公元前一百年,在罗马出生了一位对世界影响巨大的人物,他生前是罗马三巨头之一。他率先使用了一种简单的加密函,因此这种加密方法以他的名字命名。 以下密文被解开后可以获得一个有意义的单词:FRPHEVGL 你可以用这个相同的加密向量加密附件中的密文,作为答案进行提交。 密文:ComeChina 从目来看很明显是凯撒密码,目说密文FRPHEVGL被解开后是一个很有意义的单词,解密后可以得到:security 同样把密文ComeChina解密,就可以得到flag了 Windows系统密码 把
BUUCTF Brute 1使用BurpSuite爆破详解
bill_fang的博客
08-28 1万+
最近研究一下白帽子安全,主要关注WEB安全,在做完了常规的靶场xsslab、SQLI、DVWA、Pikachu后,了解了白帽子安全的基础知识。进一步开始用一些CTF来练习。本文是从BUUCTF网站上,去解一个WEB的Flag的详细记录。0x00打开BUUCTF,打开靶机BUUCTF的地址在这里:BUUCTF在线评测 (buuoj.cn),进入后选择Basic->BUU BRUTE1.选择B...
XCTF靶场实战(3)
weixin_51339377的博客
03-29 1399
lottery 这是一个菠菜网站的源码 先正常注册一个账户 之后会送你20美元用于菠菜 之后要通过赢的美元去购买相应的flag 接下来对网站进行扫描 接下来可以通过gitHack工具下载相应的网站源码 分析后找到了漏洞的位置 接下来我们需要对抓包得到的数据包进行修改 之后放行 钱就增加了很多了。之后可以通过重放模块去刷钱 刷够了买payload即可 bug 进入以后先正常注册用户 之后登录 通过抓包分析以后 发...
BUUCTF】[网鼎杯 2018]Fakebook
aoao331198的博客
04-09 726
随便注册一个账户后,点击进去 url中的no引人注意,尝试no=0 出现了很多信息,感觉像是sql注入,于是no=1’试试 好,这里存在注入漏洞,一套连招下来,发现union被过滤,select存活,但是据说可以用/**/绕过,反正是没怎么过滤,想怎么来怎么来 不想写中间过程了,轻松爆出了数据库名、表名,看看最后几步 ?no=1 and updatexml(1,concat('~',(select group_concat(column_name) from information_schema.co
BUUCTF--BUU BURP COURSE 1
qq_46263951的博客
07-09 3794
根据提示只能本地访问我们需要伪造一个本地地址 当使用X-Forwarded-For时发现并没有成功访问,e...我们尝试另一种方法 当使用X-Real-IP时我们可以成功进入 登录进去之后我们即可获得Flag 总结: 本主要考察伪造本地地址的方法 X-Forwarded-For 和 X-Real-IP 的区别 ...
BUUCTF逆向前八
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向目,通过这些目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道首先使用exeinfo查看文件信息,确认...
BUUCTF部分web
最新发布
05-06
### BUUCTF部分Web目分析 #### WMCTF2020 Make PHP Great Again **目背景**: 这道目主要是考察PHP中的`require_once()`函数的使用以及如何利用符号链接来读取文件。 **核心知识点**: 1. **`require_once()...
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUUCTF Basic BUU BURP COURSE 1解WP
风儿轻轻吹
03-27 2073
1.启动靶机 访问靶机发现网页提示只能本机访问: 可能是检查请求头只的X-Real-IP字段。 2.使用BP测试 BP抓包,添加X-Real-IP:127.0.0.1测试,发现返回登录界面且包含登录信息: 3.根据上述信息,更改使用POST方法提交username=admin&password=wwoj2wio2jw93ey43eiuwdjnewkndjlwe 获取flag{69a567b4-7864-47f6-b854-186ad981de40} ...
BUUCTF basic BUU BURP COURSE 1 & LFI Labs
网安小趴菜
08-27 2363
BUUCTF basic BUU BURP COURSE 1和LFI Labs
BUUCTF MISC 解思路及实现过程
Shuras1223的博客
04-02 2274
buuctf misc 解及答案
BUUCTF—Crypto(完结版本—_—)
2301_76768121的博客
03-19 2314
BUUCTF-部分Crypto wp
BUUCTF
qq_51175992的博客
05-27 4604
BUUCTF解,主要包括CTF中的Crypto、Misc方向,其中一些目的解法参考了其他博主大佬的思路。这个文章主要是用于自学和提供思路解法,会不定时更新
CTF-MISC:BUUCTF练习汇总(1-25,不包括签到
燕麦葡萄干的博客
07-30 4572
思路:该比较基础,wireshark打开过滤HTTP流量包,追踪HTTP流后可以看到base64密文,解密后得到jpg图片,打开图片即可看到flag,在线OCR识别即可提取出flag值。解思路:zip压缩包解压需要密码,图片中的盲文为解压的密码,解压后得到MP3音频文件,内容为典型的摩斯密码;解思路:由目可以为LSB隐写,使用StegSolve打开图片查看最低有效位得到PNG信息,另存为图片后发现是二维码,扫描后即可得到flag。对应摩斯电码为:-.-. - …-. .-- .–. . …
BUUCTF_MISC
热门推荐
m0_52885531的博客
05-30 2万+
BUUCTF_MISC解 第二 金三胖 将GIF图片用ps进行逐帧分解,可以得到三张特殊的照片 直接将三个照片里的内容拼接起来就好 第三 二维码 下载好附件解压后发现是一个.png文件的二维码 用CQR扫描后得到二维码的结果 发现并没有得到想要的flag,并且提示我们flag并不在这李,那我们就用二进制编辑器打开看一看在哪里。 .png的文件尾是AE 42 60 82,按理来说在文件尾之后就应该结束,我们却发现png的文件尾后还跟着50 4B 03 04,这是.zip的文件头,说明在该照片
CTF-MISC:BUUCTF练习汇总(26-40
燕麦葡萄干的博客
08-03 1799
.-. ----. …- ----. -.-. -…----- .---- —…----- ----. …— ----. .---- ----. .---- -.-.4)key_part_one中NUL文件包含了前半段flag,key_part_two中where_is_flag_part_two.txt:flag_part_two_is_here.txt文件包含了后半段flag。binwalk+foremost分离得到zip压缩包,解压后得到的文件里存在flag.txt,打开即可获取到flag。
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web目可能存在一些漏洞,比如SSRF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值