bugku-web 前35题详解 (当然除去题目失效)

第二题:计算器

bugku-web 前35题详解 (当然除去题目失效)_第1张图片

尝试输入96,发现只能输入一位数字,于是输入“9”,点击验证,弹出“输入有误!”

bugku-web 前35题详解 (当然除去题目失效)_第2张图片

F12查看网页源代码,发现输入框的最大长度是1。

bugku-web 前35题详解 (当然除去题目失效)_第3张图片

于是更改最大长度为100,输入正确答案96,得到flag。

bugku-web 前35题详解 (当然除去题目失效)_第4张图片

第三题:web基础$_GET

bugku-web 前35题详解 (当然除去题目失效)_第5张图片

题目分析:根据题面和所给代码,判断出是一道GET传参的题。GET传参时请求的参数是在URL中,所以直接在网址后面加上?what=flag。

bugku-web 前35题详解 (当然除去题目失效)_第6张图片

第四题:web基础$_POST

bugku-web 前35题详解 (当然除去题目失效)_第7张图片

题目分析:根据题面和所给代码,判断出是一道POST传参的题。POST传参时请求的参数是在页面表单中。所以借助在线工具或firefox中的Hackbar,以POST的方式提交给题目网址。

bugku-web 前35题详解 (当然除去题目失效)_第8张图片

第五题:矛盾

题目分析:观察代码,发现有个关键函数is_numeric(),上网搜索这是一个检测变量是否为数字或数字字符串。如果传进去的是数字或字符串,则进不来这个函数,也就不办法输出了。

解决方法就是要绕过,既然不能输入数字字符串,那就输入数字加字母的字符串,例“1asdf”。根据“==”弱类型比较,如果等号两边类型不同,则会转换成相同类型的再比较,所以当一个字符串与数字比较时,会把字符串转换成数字,保留字母前的数字。

于是在地址栏加上?num=1z,就可以进入判断体,输出flag。

bugku-web 前35题详解 (当然除去题目失效)_第9张图片

第六题web3

bugku-web 前35题详解 (当然除去题目失效)_第10张图片

不使该页面创建对话框后,F12查看源代码,发现一串HTML编码的字符串

bugku-web 前35题详解 (当然除去题目失效)_第11张图片

复制后,用在线工具解密,得到flag

bugku-web 前35题详解 (当然除去题目失效)_第12张图片

刚开始在没有禁止创建对话框时,F12没有出现源代码,然后由于反复出现两个对话框,就想到利用Burp进行抓包,结果失败了,浪费了时间。

第七题 域名解析

bugku-web 前35题详解 (当然除去题目失效)_第13张图片

题目分析:域名解析,就是把一个域名指向一个IP,方便记忆。

在本机C盘上有一个host文件,可以视为一个系统本地的DNS服务器,所以只要在上面添加123.206.87.240 flag.baidu.com 就可以了。

bugku-web 前35题详解 (当然除去题目失效)_第14张图片

访问flag.baidu.com,得flag

bugku-web 前35题详解 (当然除去题目失效)_第15张图片

第八题 你必须让他停下

bugku-web 前35题详解 (当然除去题目失效)_第16张图片

题目分析:打开链接,网页一直显示不同的图片,想到用brup抓包让他停下来。

bugku-web 前35题详解 (当然除去题目失效)_第17张图片成功

bugku-web 前35题详解 (当然除去题目失效)_第18张图片

第九题 本地包含

  题目打不开

第十题 变量1

bugku-web 前35题详解 (当然除去题目失效)_第19张图片

题目分析:flag在变量中,GET方式从地址栏传参,Isset()检测变量是否已设置并非NULL,preg_match()用于执行一个正则表达式匹配,/^ 开始, \w表示任意一个单词字符,即[a-zA-Z0-9_] ,+将前面的字符匹配一次或多次,$/ 结尾。var_dump()判断一个变量的类型与长度,并输出变量的数值.$$”是可变变量的标志,可视为$($args)

解决方法:因为flag在变量中,所以我们可以利用GLOBALS输出全部的变量,即将args=GLOBALS,var_dump()会将$GLOBALS数组中存放的所有变量以数组的方式输出 得到flag。

bugku-web 前35题详解 (当然除去题目失效)_第20张图片

第十一题 web5

bugku-web 前35题详解 (当然除去题目失效)_第21张图片

题目分析:在题目描述中有JSP,在源代码中发现jother编码。

解决方法:把这些字符放入控制台中,有了flag。

bugku-web 前35题详解 (当然除去题目失效)_第22张图片

题目背景:jother编码是在javascript语言中,利用少量特定字符构造精简的匿名函数对与字符串的编码方式。其中少量的特定字符包括:“+”、“!”、“(”、“)”、“[”、“]”、“{”、“}"。

目前任何浏览器都可以进行jother编码的,但是有些出于安全考虑,屏蔽了该功能。

第十二题 头等舱

bugku-web 前35题详解 (当然除去题目失效)_第23张图片

题目分析:真的什么都没有。。。

解决方法:抓下包看看,结果Go一下就出现了

bugku-web 前35题详解 (当然除去题目失效)_第24张图片

题目背景:Burp Repeater 通常用于多次重放请求响应和手工修改请求消息的修改后对服务器端响应的消息分析。可以从Proxy history、site map、Scanner等模块中右键菜单send to repeater发送到repeater,对页面数据进行修改,点击go,发送请求,右边响应请求。

第十三题 网站被黑

bugku-web 前35题详解 (当然除去题目失效)_第25张图片

题目分析:webshell是网页后门的标志,所以可以用御剑扫描后台

bugku-web 前35题详解 (当然除去题目失效)_第26张图片

进行访问

bugku-web 前35题详解 (当然除去题目失效)_第27张图片

利用burpsuit中的Intruder模块爆破

bugku-web 前35题详解 (当然除去题目失效)_第28张图片

输入密码,得到flag。

bugku-web 前35题详解 (当然除去题目失效)_第29张图片

第十四题 管理员系统

bugku-web 前35题详解 (当然除去题目失效)_第30张图片

题目分析:题中信息有“IP禁止访问,请联系本地管理员登陆,IP已被记录.”,“dGVzdDEyMw==”

bugku-web 前35题详解 (当然除去题目失效)_第31张图片

解决方法:伪装成本地访问,X-Forwarded-For: 127.0.0.1。test123可能是用户名或密码。用brup抓包改包。

bugku-web 前35题详解 (当然除去题目失效)_第32张图片

第十五题 web4

bugku-web 前35题详解 (当然除去题目失效)_第33张图片

题目分析:源代码中有两大段URL编码和eval() 函数可计算某个字符串,并执行其中的的 JavaScript 代码。

unescape() 函数可对通过 escape() 编码的字符串进行解码。

加号(+)拼接字符串,数字。

bugku-web 前35题详解 (当然除去题目失效)_第34张图片

解决方法:解码得p1= 67d709b2b,p2= aa648cf6e87a7114f1 把三个URL编码结合起来67d709b2b54aa2aa648cf6e87a7114f1,输入到表单里。提交,得到flag。

bugku-web 前35题详解 (当然除去题目失效)_第35张图片

第十六题 flag在index里

bugku-web 前35题详解 (当然除去题目失效)_第36张图片

题目分析:在网址上发现php伪协议 filefile的功能是访问本地文件系统。并且file关键字是get参数传递。

解决方法:利用访问本地文件的协议php://filter/,去访问index.php 具体方式是在网址上加上

file=php://filter/read=convert.base64-encode/resource=index.php

bugku-web 前35题详解 (当然除去题目失效)_第37张图片

BASE64解码:

bugku-web 前35题详解 (当然除去题目失效)_第38张图片

题目补充:为什么要设置读取方式是base64编码后的?通过我们传递的file参数,include()函数引入了index.php的编码格式,因为是编码格式的,所以执行不成功,则返回了源码的base64格式。反之,就会直接执行,没有任何信息出现,并且flag在注释中,更得不到。

而且源码中还有对php://协议的其它方法的过滤:../ tp data input 

题目背景:

bugku-web 前35题详解 (当然除去题目失效)_第39张图片

第十七题 输入密码查看flag

bugku-web 前35题详解 (当然除去题目失效)_第40张图片

题目分析:URL中出现baopo?yes的字样,所以brup抓包爆破。

解决步骤:

bugku-web 前35题详解 (当然除去题目失效)_第41张图片

设置类型为数字,因为是5位数的密码,所以从10000到99999.

bugku-web 前35题详解 (当然除去题目失效)_第42张图片

bugku-web 前35题详解 (当然除去题目失效)_第43张图片

输入密码,得到flag

bugku-web 前35题详解 (当然除去题目失效)_第44张图片

第十八题 点击一百万次

      题目打不开

第十九题 备份是个好习惯

题目分析:“备份”和两段一样的字符串。先找出备份文件.bak

解题步骤:用御剑后台扫描扫一下,出现了有.bak的网址

bugku-web 前35题详解 (当然除去题目失效)_第45张图片

点进去,发现一段代码。

bugku-web 前35题详解 (当然除去题目失效)_第46张图片

strstr()搜索字符串在另一字符串中的第一次出现,返回字符串的剩余部分(从匹配点)。执行过后,$str就是URL中“?”之后的字符串,包括“?”。

Substr()函数截取字符串,返回字符串的一部分。执行过后,$str就是去掉了“?”

Str_replace()函数以其他字符替换字符串中的一些字符。执行过后,就是将$str中的字符“key”替换成“”,去除$str中的“key”。

Parse_str()函数把查询字符串解析到变量中。根据下面的两个输出$key1,$key2,说明$str在经历了Str_replace()函数后,一定还有“key1”,“key2”。那么可以是kkeyey1或kekeyy1。

然后利用md5()不能处理数组的特性,我们可以构造payload为kkeyey1[]=1&kekeyy2[]=2。

bugku-web 前35题详解 (当然除去题目失效)_第47张图片

或者利用弱比较的特性,使MD5的值是0开头的字符串,就可以通过判断。常见的有

QNKCDZO、240610708、s878926199a、s155964671a、s214587387a、s214587387a

第二十题 成绩单

bugku-web 前35题详解 (当然除去题目失效)_第48张图片

题目分析:在Hackbar里输入id=2和id=2’#,页面正常;id=2’,页面异常。说明存在SQL注入点。

解决方法 :

尝试获取列数,利用order by对指定列对结果集排序,发现有4列。

bugku-web 前35题详解 (当然除去题目失效)_第49张图片

bugku-web 前35题详解 (当然除去题目失效)_第50张图片

接着使用union联合注入,union前后两个sql语句的选择列数要相同,记得把前面查询为空,id=0,显示正常,确实存在四列数据。

bugku-web 前35题详解 (当然除去题目失效)_第51张图片

发现都有回显,开始爆破

首先爆库名, id=0‘ union select 1,2,3,database()#,得到数据库名skctf_flag

bugku-web 前35题详解 (当然除去题目失效)_第52张图片

爆表名, id=0’ union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database()#,得到表名fl4g,sc

bugku-web 前35题详解 (当然除去题目失效)_第53张图片

爆字段,id=0’ union select 1,2,3,group_concat(column_name) from information_schema.columns where table_name=0x666c3467,得到字段skctf_flag。

bugku-web 前35题详解 (当然除去题目失效)_第54张图片

查询数据,id=0’ union select 1,2,3,(select skctf_flag from fl4g)#,得到flag。

知识点补充:

Union select 手工注入

Mysql中的information_schema结构用来存储数据库系统信息。

schemata 存储数据库名的,

关键字段:SCHEMA_NAME,表示数据库名称

tables 存储表名的

关键字段:table_schema表示表所属的数据库名称;

table_name表示表的名称

columns 存储字段名的

关键字段:table_schema表示表所属的数据库名称;

table_name表示所属的表的名称

column_name表示字段名

爆所有数据库名

select group_concat(SCHEMA_NAME) from information_schema.schemata

得到当前库的所有表

select group_concat(table_name) from information_schema.tables where table_schema=database()

得到表中的字段名 将敏感的表进行16进制编码

adminuser=0x61646D696E75736572

select group_concat(column_name) from information_schema.columns where table_name=0x61646D696E75736572

得到字段具体的值    

select group_concat(username,0x3a,password) from adminuser

第二十一题 秋名山老司机

 题目失效

第二十二题 速度要快

bugku-web 前35题详解 (当然除去题目失效)_第55张图片

题目分析:需要以post的方式提交margin。

bugku-web 前35题详解 (当然除去题目失效)_第56张图片

bugku-web 前35题详解 (当然除去题目失效)_第57张图片

不是flag,那可能是margin的值

bugku-web 前35题详解 (当然除去题目失效)_第58张图片

额~ 得快点,不能手动解码,那写脚本。

bugku-web 前35题详解 (当然除去题目失效)_第59张图片

第二十三题 cookies欺骗

题目分析:对URL中的a2V5cy50eHQ=进行base64解码,发现keys.txt。

解题思路:line空着,那随便赋给值1.既然出现了keys.txt,那去主页看看,要对index.php进行base64编码。出现了代码,说明index.php有东西,尝试将line依次赋予2、3、4…同样出现了不同的代码。

bugku-web 前35题详解 (当然除去题目失效)_第60张图片

用爬虫,把代码内容盘下来。

bugku-web 前35题详解 (当然除去题目失效)_第61张图片

bugku-web 前35题详解 (当然除去题目失效)_第62张图片

bugku-web 前35题详解 (当然除去题目失效)_第63张图片

第二十四题 never give up

bugku-web 前35题详解 (当然除去题目失效)_第64张图片

题目分析:访问1p.html,页面自动跳转到bugku主页面。在链接前面加上view-source,直接查看1p.html源码,发现有url编码的字符串。

bugku-web 前35题详解 (当然除去题目失效)_第65张图片

url解码,又出现base64加密的字符串

Base64解码,又出现url编码的字符串。

url解码,又出现一段代码

bugku-web 前35题详解 (当然除去题目失效)_第66张图片

访问view-source:http://123.206.87.240:8006/test/f4l2a3g.txt,得到flag。

第二十五题 welcome to bugkuctf

(题目失效)

第二十六题 过狗一句话

bugku-web 前35题详解 (当然除去题目失效)_第67张图片

题目分析:分析代码得,$poc_2($_GET[‘s’])=assert($_GET[‘s’])。

Assert()断言函数,判断表达式是否为真则继续,反之则中断。能够执行表达式。所以赋给s执行代码。

(题目无效)

第二十七题 字符?正则?

bugku-web 前35题详解 (当然除去题目失效)_第68张图片

题目分析:当$IM为真,就输出key。所以分析preg_match里的正则表达式,在地址栏里加上id。

解题:"/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i"

/key 要有“key”

*key 匹配前面有0个或多个字符key

{4,7}key:\/ ——最少匹配4次且最多匹配7次key,加上一个“:/”。

\/(.*key)[a-z][[:punct:]] ——  首先一个“/”,接着(匹配前面有0个或多个字符key),最后匹配小写字母和任何标点符号

/i 标记大小写不敏感

所以构造出的id: keykeykeykeykey:/k/keya.

bugku-web 前35题详解 (当然除去题目失效)_第69张图片

第二十八题 前女友

网页打不开

第二十九题 login1

bugku-web 前35题详解 (当然除去题目失效)_第70张图片

题目分析:SQL约束攻击—— 前提在SQL中执行字符串处理时,字符串末尾的空格符将会被删除。所以使用“admin   ”查询和“admin”查询的结果是一样的。

解题思路:先注册admin,果然admin已存在

bugku-web 前35题详解 (当然除去题目失效)_第71张图片

注册“admin   ”

bugku-web 前35题详解 (当然除去题目失效)_第72张图片

按新注册的“admin   ”登录,得到flag。

bugku-web 前35题详解 (当然除去题目失效)_第73张图片

第三十题 你从哪里来

bugku-web 前35题详解 (当然除去题目失效)_第74张图片

题目分析:打开网页,只有一句你是否来自google。所以只要抓包,改一下请求头referer,就可以成功。

解题:

bugku-web 前35题详解 (当然除去题目失效)_第75张图片

题目背景:HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。

第三十一题 md5 collision(NUPT_CTF)

bugku-web 前35题详解 (当然除去题目失效)_第76张图片

题目分析:MD5碰撞,与md5有关,应该是比较之类的,抓包发现是GET传参。

解决方法:想到那几个0e开头的MD5,就一个一个尝试,结果就有了。。。

bugku-web 前35题详解 (当然除去题目失效)_第77张图片

题目补充:使MD5的值是0开头的字符串,常见的有

QNKCDZO、240610708、s878926199a、s155964671a、s214587387a、s214587387a

第三十二题 程序员本地网站

bugku-web 前35题详解 (当然除去题目失效)_第78张图片

题目分析:“请从本地访问”,即伪装成本地访问,在repeater中写入X-Forwarded-For:127.0.0.1。

bugku-web 前35题详解 (当然除去题目失效)_第79张图片

题目补充:X-Forwarded-For: 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。

第三十三题 各种绕过

bugku-web 前35题详解 (当然除去题目失效)_第80张图片

题目分析:$_GET['id'] = urldecode($_GET['id']); urldecode()对字符串进行URL解码

isset($_GET['uname']) and isset($_POST['passwd'])     isset() — 检测变量是否设置。

sha1($_GET['uname']) === sha1($_POST['passwd'])&($_GET['id']=='margin')

解题思路:要使uname和passwd 的值不相等,但是sha1()加密的值相等。利用sha1不能处理数组的特性,将uname和passwd传入两个不同的数组,就可以得到flag。和“备份是个好习惯”中,考察点类似。

bugku-web 前35题详解 (当然除去题目失效)_第81张图片

第三十四题 web8

bugku-web 前35题详解 (当然除去题目失效)_第82张图片

bugku-web 前35题详解 (当然除去题目失效)_第83张图片

题目分析:extract() 函数从数组中将变量导入到当前的符号表。trim() 函数移除字符串两侧的空白字符或其他预定义字符。file_get_contents() 函数把整个文件读入一个字符串中。

访问一下flag.txt。

bugku-web 前35题详解 (当然除去题目失效)_第84张图片

解题思路:所以flag.txt里面是flags。也就是$ac=文件内容,$fn=文件名,就可以使$ac==$f.

bugku-web 前35题详解 (当然除去题目失效)_第85张图片

第三十五题:细心

bugku-web 前35题详解 (当然除去题目失效)_第86张图片

还以为题目真的崩了呢

bugku-web 前35题详解 (当然除去题目失效)_第87张图片

题目分析:把各个地方点了一遍,并没有什么。

解题步骤:用御剑扫一下,出现了一个robots.txt

bugku-web 前35题详解 (当然除去题目失效)_第88张图片

打开resusl.php

bugku-web 前35题详解 (当然除去题目失效)_第89张图片

出现一个x,尝试x=password,admin等,是否能获得管理员页面。

bugku-web 前35题详解 (当然除去题目失效)_第90张图片

 

 

 

 

 

 

 

 

 

 

 

 

 

 

你可能感兴趣的:(Web(网页))