ISCC 2016 WEB WP

web 150

打开页面，发现可以直接看源码

那就打开源码，看到这里

发现注入

那我们构造一下user和pass就好了

user=flag&pass=' union select user from user where user='flag'#

Flag: 5a2f5d8f-58fa-481b-a19f-9aab97ba6a4b

web 300

这题我是问的别人

输入127.0.0.1&&dir

发现三个文件

1C9976C230DA289C1C359CD2A7C02D48  index.php  index.php.txt

其中一个是index.php.txt，打开看看

看到了一个正则表达式：

$pattern='/^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}(([&]{2}|[;|])dir[\sa-zA-Z0-9]*)?$/';

原来这道题的突破口不是127.0.0.1&&dir，而是要发现index.php.txt这个文件啊，看来以后要多多注意这些.txt的文件了

好吧，既然知道了怎么解决，继续

127.0.0.1&&dir 1C9976C230DA289C1C359CD2A7C02D48

发现了一个flag.php的文件，直接URL进入

就看到flag了

flag{0d143dcd-5b29-4f4f-9b16-73665aeb45a8}

web 350 注入

此处盲注几次后发现username框存在注入

本想手注 发现水平不够，那么扔SQLMAP吧

试了几次  发现有waf，用sqlmap的tamper space2comment

慢慢跑  跑出来的结果

拿去cmd5解密

登录，拿到flag

flag{51f52db9-5304-4dcf-acb1-6b0ec2e167f2}

web 350 上传、包含

这题进入后有一个上传图片的界面和一个查看图片的界面

同时URL为

http://101.200.145.44/web5/index.php?page=submit

很容易往文件包含那方面去想

试了很多次上传php文件，后来发现他不仅验证后缀名，还验证文件头

那么走向文件包含的另一个思路，往jpg里写入php代码

这也是我这次新学到的，在文件包含漏洞里，读取的jpg文件中的php代码是会被执行的

写入代码上传，我原来写入的是

然后从读取图片，发现图片的路径

接下来就从文件包含漏洞中读取此文件

发现文件包含漏洞会自动在末尾填充.php格式来读取文件

那么我们此处用%00截断

就得到了flag

flag{e34349fe-42f4-4d78-b221-48094fe2b2af}

web 500

首先进入题目，发现很明显的需要代理

看到图片的URL

发现proxy.php

那么通过这个文件来代理进入admin界面

http://101.200.145.44/web4/proxy.php?url=http://121.42.171.222/proxy.php?url=http://101.200.145.44/web4/admin/

虽然我不知道那个121.42.171.222下的proxy.php是怎么来的。。。

然后我卡在了注册和登录这个地方

知道有人提示我robots.txt

好吧  进去一看

分别看看两个源码

trojan.php

好吧，这个是小明上传的一句话

并且验证了session，那么我们只能用admin登录后来进入一句话

运行一下

发现参数是360

继续看

check.php

只能登录admin

那么这里只能绕过了

要么绕过登录界面

要么绕过注册界面

这里绕过的是注册界面

经过提示。发现绕过注册用的是mysql数据截断

原文：http://www.2cto.com/Article/201108/101116.html

好吧   那么注册时账号用admin                                     0就行了

这里有个地方忘记说了

就是注册界面时的验证码读取问题

因为我们用的代理进入的页面，所以验证码读取有问题，那么我们就用firebug来修改一下代码就好了

如下：

验证码就出来了

注册

注册成功！

接着登录，账号admin，成功绕过！

载入页面

得到flag

flag:{83d97b62-3196-4d53-8c5c-f4ee805f91fc}