writeup

南京邮电大学网络攻防训练平台 web writeup

签到题:

查看源代码 就可以看到 flag：nctf{flag_admiaanaaaaaaaaaaa}

md5碰撞： 

通过阅读代码，不难发现，要想得到flag，那么就必须满足“变量$a的值不为空、$a的值不为‘QNKCDZO’、$md51==$md52”。‘QNKCDZO’进过MD5加密之后的值为“0E830400451993494058024219903391”。随机找一个0e开头，比如“s878926199a”，以get形式提交即可获得flag:

这题不是web：

下载图片，丢进notepad++，可以看到flag

Aaencode:

表情包加密，在控制台里输入var+表情包密码 就可以解密

Php decode：

将代码复制进php文件，把eval改成echo，然后用搭建了php环境的电脑打开这个php文件，可以看到flag

文件包含：

根据提示是文件包含，且是本地文件包含，所以直接在URL后添加

?file=php://filter/read=convert.base64-encode/resource=index.php，读取到base64加密的index.php文件，可以看到flag

Cookies:

抓个包

层层递进：

打开传送门“题目地址”之后显示一个网页，F12打开后可以看到有个“SO.html”，打开，继续F12，可以看到还有“SO.html”，再打开，直到看到“404.html”， 点开后按F12可以flag在注释里面。

单身二十年：

点击传送门“题目地址”

点击链接：_到这里找key__

无果，返回上一个网页，之后查看源代码：发现 ./search_key.php点击此链接

进去后按F12，得到最后的flag!

你从哪里来：

使用burpsuite抓包,并且修改referer头部为 www.google.com，点击GO，即可看到flag

PHP decode：

在最后一句调用功能函数ClsI对字符串“+7DnQGFmYVZ+eoGmlg0fd3puUoZ1fkppek1GdVZhQnJSSZq5aUImGNQBAA==”进行操作！首先将其进行base64解密，之后将其结果使用gzinflate进行解压操作，最后使用一个for循环将字符串中的字符码全部前移一位，之后返回结果！

此处要想获得flag可以在本地使用phpstudy来搭建PHP开发环境，之后将eval改为echo，并且在浏览器中运行该PHP文件即可得到flag

COOKIE：

用burpsuite抓个包，把login=0改为login=1，点击go，即可得到flag：nctf{cookie_is_different_from_session}

bypass  again：

 根据这些已知的信息我们可以发现这里的两个要求有一些矛盾，但是我们联想到这是一个使用php编写的脚本，而且在php中对数组的MD5加密之后都是NULL，所以可以使用这个小点来试试：

原来的URL

http://chinalover.sinaapp.com/web17/index.php

对其进行修改加入构造的参数：

http://chinalover.sinaapp.com/web17/index.php?a[]=x&b[]=y

这里的x、y 可以为任意数值！

之后查看：

变量覆盖

打开题目链接：

根据提示信息查看source.php

extract()函数的作用:从数组中将变量导入到当前的符号表,该函数使用数组键名作为变量名，使用数组键值作为变量值。针对数组中的每个元素，将在当前符号表中创建对应的一个变量。

由于extract的参数直接是$_POST,那么就存在了变量覆盖的可能了。使用Burpsuite修改请求参数，传递pass和thepassword_123覆盖掉默认的thepassword_123的值，就可以得到flag了

操作如下：

填写表单之后提交并且使用burp suit进行抓包：

之后转到Raw模块下：

原文：https://blog.csdn.net/Fly_hps/article/details/79384591

Bugku web writeup

WEB2：

点开图片是一组滑稽脸，按F12直接可得flag

文件上传测试：

通过上传.png文件，得知非php文件，于是采用burp进行修改上传的文件。

得到flag

计算器：

直接按F12,修改maxlength为3

在输入正确结果即可得到flag

web基础$_GET

```

$what=$_GET['what'];

echo $what;

if($what=='flag')

echo 'flag{****}';

```

根据题意，直接将what赋值为flag，就可以得到flag

 web基础$_POST

和上道题差不多，然后用火狐hackbar插件

得到flag

矛盾：

观察题目，应该是使用is_numeric遇到%00截断的漏洞,这里构造

http://120.24.86.145:8002/get/index1.php?num=1%00

得到flag

web3：

界面有点不尽 的弹窗，应该是使用了大量的alert语句，直接查看网页源代码

最后一行是这样的

使用html解码，得到flag

你必须让他停下 ：

打开网站后网页一直都在跳动，而且页面不同，猜测flag在其中的一些网页中，采用burp一帧帧的看，在Repeter多次go，很容易就得到了flag。

变量1

首先观察程序，很明显看到了$$args,考虑到此题可能考GLOBALS变量，直接构造如下赋值即可：

http://120.24.86.145:8004/index1.php?args=GLOBALS

得到flag

web5：

查看网页源代码，发现了一大堆[]()组合，考虑是JSFUCK，

直接将括号复制到谷歌浏览器的控制台运行得到flag

头等舱：

采用burp抓包，发送到repeater，点击go，在请求头可以看到flag

域名解析

域名解析需要修改hosts文件，这里我们使用ubuntun虚拟机进行这道题的解答

首先输入这样打开hosts文件

将host文件修改为这样，然后直接访问flag.bugku.com得到flag

flag在index里

将网页点开，在点击相应连接，网页地址栏变为:

http://120.24.86.145:8005/post/index.php?file=show.php

看到了file关键字，看看用php://filter能否将index读出来

http://120.24.86.145:8005/post/index.php?file=php://filter/read/convert.base64-encode/resource=index.php

将得到了base64解码，观察程序得到flag

输入密码查看flag

直接burp用intruder爆破，

成绩单

向其中分别输入1,2,3...发现可以查询，当向其中输入1'时，程序不能查询，根据观察题目，猜测应该有4列

输入0，没有查询结果，在这里使用0作为回显，输入0' union select 1,2,3,4 #

得到相应的值

先查询数据名称0' union select database(),2,3,4; 为skctf_flag

然后查询表名

```

id=0' union select table_name,2,3,4 from information_schema.tables where table_schema='skctf_flag'#

```

查到为flag4，继续查询列名，得到skctf_flag，然后继续查询，

得到flag

秋名山老司机

要求在2秒之内计算结果，多次刷新界面，有时候回出现如下界面：

无奈，只好写一个脚本，对value赋值,这里将代码贴上

```

import requests

import re

import base64

url='http://120.24.86.145:8002/web6/'

s=requests.session()

r=s.get(url)

flag=r.headers['flag']

print(flag)

flag1=base64.b64decode(flag)

print(flag1)

flag2=base64.b64decode(str(flag1).split(":")[1][1:-1])

#将flag分为两部分，[1:-1]就是获取到的值

print(flag2)

data={"margin":flag2}

r=s.post(url,data)

print(r.text)

```

cookies欺骗

打开网页后是一堆乱码，但是看到url中filename=a2V5cy50eHQ=，尝试解码，get文件夹keys.txt，打开什么也没有。

由于keys.txt是以base64编码输入的，我们不妨以base64编码的方式传入index.php,看看有什么结果也是什么也没有。

尝试将地址栏中的line赋值为1，终于出现了一行代码，然后估计line为几，就是读取第几行，一行行试的比较麻烦，这里写一个脚本来获取整个index.php文件，这里贴上代码:

```

import re

import requests

url='http://120.24.86.145:8002/web11/index.php?line=%d&filename=aW5kZXgucGhw'

for iin range(100):

url1=url%i

c1=requests.get(url1).text

print(c1)

if c1=='':

break

```

得到的index.php文件中的代码如下:

```

'keys.txt',

'1' =>'index.php',

);

if(isset($_COOKIE['margin']) && $_COOKIE['margin']=='margin'){

$file_list[2]='keys.php';

}

if(in_array($file, $file_list)){

$fa = file($file);

echo $fa[$line];

}

?>

```

看到了keys.php猜测flag在这里。然后在flag.php中传入margin=margin，得到flag

如图所示

XSS

查看网页源代码，感觉只有可能给变量id和s赋值，这里先采用id赋值

然后查看网页源代码

发现其中的<>被过滤，这样就简单了，使用unicode编码进行绕过

?id=\u003cscript\u003ealert(_key_)\u003c/script\u003e

进行输入，得到flag

never give  up

查看网页源代码，发现了1p.html，直接访问，发现跳转回主界面

但是1p.html是实实在在存在，而且还在当前目录，考虑如何访问1p.html

查看源代码中直接将index.php修改为1p.html，没想到竟然成功访问了

将得到的语句进行Base64解码，根据解码的结果在进行一次url解码，查看源代码，发现当前目录存在f4l2a3g.txt，访问得到flag

welcome to bugkuctf

查看源代码，访问hint.php,正常来讲，一个php文件是有内容的,考虑如何访问到hint.php

程序需要先使user的值与welcome to the bugkuctf相同，但是这里有file_get_contents()函数

可以采用php://input才访问原始请求数据的只读流，这里将txt赋值为php://input

在post相应的值。

具体操作流程

将file赋值为phpfilter读相应的base64编码的文件。代码如下：

hint.php

看到了flag.php，估计我们的flag就在其中，通过访问hin.php的方式在来访问flag.php，方法不可行，就需要考虑其他的方法了。

通过思考，一种可行的方法就是通过在index.php（如果一个地址栏末端是'/'，则默认是index.php）中通过一些方法使hint.php加入其中，在通过一定的方法使hin.php包含flag.php 

而我们看到的index.php文件只有一段注释性的代码，里面应该还有一些其他的东西，尝试是否可以访问。直接将一开始插图中的hint.php改为index.php就好了。

   果然，其中还是藏有许多东西的（将代码复制粘贴出来保存为txt文件）：

flag.php

这里用到了反序列化（我并不是很熟悉，多亏大佬的帮助），这里附上源代码:

反序列化的源代码

这样思路就清楚了，尝试给password复制为反序列化的值，查看结果

反序列化的值就是password那堆恶心的东西

然后查看源代码就拿到了flag.

过狗一句话

看题目意思应该就是需要给s赋值，看到题目的时候也是觉得无从下手，多谢大佬的指点，使得做题在有了一些眉目。

    首先将s赋值为phpinfo(),发现可以访问，说明s可以输出我们输入的结果

    然后题目一般flag文件都在.php文件中显示，尝试查看所有的文件

                                                s=print_r(glob('*.*'))

    然后可以看到flag文件，直接访问相应的flag文件得到flag

字符？正则？

看题目就是给id根据正则表达式的条件赋值，我的赋值是这样的:

http://120.24.86.145:8002/web10/?id=/keyaakeyaaaaakey:/a/aakeya'/i

然后就拿到了flag

前女友(SKCTF)

点击查看源代码，然后在查看code.txt，代码如下：

code.txt

意思大致就是v1!=v2，md5值相等，之前提到过，是240610708和QNKCDZO，然后比较v3和flag，这里利用了strcmp的一个漏洞，不能比较数组，这里我的构造如下:

payload

成功拿到flag

login1(SKCTF)

这道题是一个登陆框，登陆admin，提示用户已经存在，后来自己注册了一个账号，结果不是管理员不能查看flag，未果。在考虑如何使用admin登陆，刚开始使用万能密码登陆，结果没有登陆成功，然后尝试用约束攻击，约束攻击的原理就是注册用户名为'admin    '（有多个空格，这里是三个）的账号，密码'123'（密码可以自定义），然后登陆成功，但是数据库会返回表中的第一个用户，也就是真真实实的admin（这个漏洞只可能在老版本的sql中出现，新版本的mysql已经修复漏洞）,然后就可以用admin的身份登陆网页，拿到flag。

    这里我注册的账号为‘admin   ’（三空格），密码为‘ABCabc123’然后就成功以管理员的身份拿到了flag

    不过好像提交不了，这个题可能被破坏了吧?

你从哪里来

           这个题是真的好迷啊，刚开始做没做出来，打开界面就这么一句话:are you from google?

        然后改了半天没出来，后来用谷歌也没打开，甚至翻到了国外用谷歌来访问这个题还是老样子。

        后来在群里激烈的讨论了下才知道原来是这么做的啊：

将这个地方改为谷歌原生的网址就好了:https://www.google.com

中国用谷歌会默认转到香港hk。

md5 collision(NUPT_CTF)

md5碰撞，emmmm，这道题算是做了好久，脑洞不够大！！！！

打开文件，要求输入a的值，不过文件的后缀名是.php（一般要用到0e开头的）,

这里就需要补充一波常识了：

        在php文件中，以MD5值以0e开头的话，php就会认为他们两个的值相等  。所以可以写个脚本来跑出一个以0e开头的

不过这里跑出来的是数字，然后没有通过检测，可能需要使用字符串。    

编程能力有限，然后直接在网站上找了以0e开头的字符串：

                http://www.219.me/posts/2884.html

然后直接选其中一个提交拿到flag

各种绕过

看到了flag.php，鸡动的赶紧看看能不能直接看，然后未果。

考虑开始好好看一遍题目

题目

最开始获取id时需要用urldecode解码（如果没有用url编码，解码还是原来的东西）

第一行的比较中，uname必须!=passwd才可以继续

第二次比较中，sha1是哈希算法，可以使用数组绕过

这样payload就比较简单了，这里我附上我的payload

payload

获得flag

web8

打开网页，附上源代码：

题上 的 代码

看到了熟悉的file_get_contents函数，可以使用php://input给fn赋值，ac直接赋值，然后使两个相等就可以了，知道题还是比较简单的，这里附上我的payload

我的payload

细心

    想办法变成admin

刚打开题目网页

看到题目吧，还是比较懵的，给的两个按钮点击有没有什么用，然后就看看网页呗。

题目的意思打开是在找文件或目录，这样我们先来看一下网页可以直接访问的文件有哪些：

一般网站都会有robots.txt文件的，存放可以直接访问的文件子目录

根据提示，在看看resusl.php文件

resusl.php

看到以后慌的一批，考虑换个ip做这道题，但是还是先看看不换ip能不能做

题目中的一个小提示是想办法变成admin，题目中需要获取x的值，自然想到直接将x赋值为admin，没想到直接就拿到了flag，这道题难度也不是很大。

求getshell

这道题是文件上传题，本来用菜刀做了一小会，然后bugku好像把菜刀给ban了。无奈，用burp来做这道题。然后直接上传菜刀中的一句话木马

123.php里面的 东西

    如果是walf严格匹配，通过修改Content-type后字母的大小写可以绕过检测，使得需要上传的文件可以到达服务器端，而服务器的容错率较高，一般我们上传的文件可以解析。然后就需要确定我们如何上传文件，这里将文件的后缀名改为.jpg和.png都不可行，在分别将后缀名修改为php2, php3, php4, php5, phps, pht, phtm, phtml（php的别名），发现只有php5没有被过滤，成功上传，得到flag

我滴payload

https://www.jianshu.com/p/6750db0943b7