jarvisoj_web_witerup

PORT51

PORT51.png
该题提示我们需要使用51端口进入该站点
然而此站为http://web.jarvisoj.com:32770/ 它的端口已经是确定了的,所以只能更改我们的port了。
本来用的是kali虚拟机,不能通过外网,命令如下
curl --local-port 51 http://web.jarvisoj.com:32770/
自己试试,我就懒得弄win上的curl命令了

LOCALHOST
jarvisoj_web_witerup_第1张图片
这道题跟上面的很像啊,道理还是一样的,就是通过localhost来访问该站点咯
jarvisoj_web_witerup_第2张图片
可以瞅瞅

Login
提示说要通过获得密码才能得到flag
第一个念头就是用burpsuit。。得到了网站的response
jarvisoj_web_witerup_第3张图片
这里可以看到一点小提示:Hint: "select * fromadminwhere password='".md5($pass,true)."'"
说明可以构造:select * from admin where password=‘“or 1=1 这样的绕过语句
so我们要找到一个password,这个password经过md5加密后可以变成类似”or 1=1 之类的语句绕过
password:ffifdyop
这种题还是在别的地方见过几次的,都是一样的payload
ffifdyop.png

神盾局的秘密
F12里面啥都没,就一段图片的连接,刚开始没注意,还以为问题出在图片里隐写了,后来也没看出来,才想到了图片链接的问题
http://web.jarvisoj.com:32768/showimg.php?img=c2hpZWxkLmpwZw==
这个img后面肯定是base64了,解密看一下:http://web.jarvisoj.com:32768/showimg.php?img=shield.jpg
我们把showing.phpbase64编码一下,得到c2hvd2ltZy5waHA=,然后放到”img= “后面,页面爆出php代码jarvisoj_web_witerup_第4张图片
由此发现,img参数可以打开任意文件,那么我们打开index.php文件,查看一下里面除了那个白头鹰还有什么内容。
http://web.jarvisoj.com:32768/showimg.php?img=aW5kZXgucGhw
jarvisoj_web_witerup_第5张图片并且里面可以看到了反序列化参数

在这里可以看到,又有一层php文件,我们跟着打开shield.php
http://web.jarvisoj.com:32768/showimg.php?img=c2hpZWxkLnBocA==
flag.png

一开始还以为flag就拿到了,jarvisoj_web_witerup_第6张图片结果发现并不是。。

仔细看看前面的php,我们可以利用通过class传参到pctf.php得到内容。
jarvisoj_web_witerup_第7张图片
在index.php中传参得到了flag
jarvisoj_web_witerup_第8张图片

IN A Mess
这个是一点办法都没有,一开始还以为问题出在id上,试了几个id参数都一样。然后burpsuit抓包也没看出啥东西来。后来才知道是用phps来代码审计
jarvisoj_web_witerup_第9张图片
通过if($data=="1112 is a nice lab!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)来获得flag;
eregi()函数在一个字符串搜索指定的模式的字符串。
在这里我们需要传递的data为”1112 is a nice lab!” a参数由于设置了stripos($a,’.’)限制,只能用php伪协议,这里附带一个为协议的相关知识:http://blog.csdn.net/Ni9htMar3/article/details/69812306?locationNum=2&fps=1;
php弱类型相等($id==0)>>id=a ;
strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)这里要求b参数长度大于5,and第一个字符为4,and第一个字符不等于4. 可以用00截断绕过:b=%004123456
如图:
jarvisoj_web_witerup_第10张图片
让我们继续
出现了hi666
图片.png

jarvisoj_web_witerup_第11张图片
报出了这个sql语句,可能是想让我们sql注入,毕竟phps源码没了,读不到文件了。
jarvisoj_web_witerup_第12张图片
继续,爆出显示位
图片.png

database().png
不断得到库test 表content 字段 id,context,title 这后面就简单一点了
result.png

RE?

flag在管理员手里
图片.png

你可能感兴趣的:(Writer-up)