CTF 题解

来自一名CTF新手小白,也是跟着教程慢慢做慢慢学

题解

题1

BUUCTF [极客大挑战 2019]PHP

CTF 题解_第1张图片

 

考查网站源码的备份文件

常见的网站源码备份文件后缀:

tar.gz,zip,rar,tar

常见的网站源码备份文件名:

web,website,backup,back,www,wwwroot,temp

输入网站源码备份文件,看看能否访问

发现www.zip可以成功获得网站源码备份

CTF 题解_第2张图片

依次打开查看,发现文件包含 class.php 文件 并且文件是get 传参,参数为 select,发现php文件中包含 flag.php

构造payload(具体构造过程我还在学习当中,试着摸索…):

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

输入

/?selecct=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

参考:[极客大挑战 2019]PHP 1_hcjtn的博客-CSDN博客_极客大挑战2019php

题2:

BugKu file_get_contents

file_get_contents的文件包含漏洞,使用php伪协议php://input作为file_get_contents的参数,代码里有file_get_contents($fn),加上题目的描述"txt",盲猜flag.txt,访问一下有,内容是bugku,根据代码if ($ac === $f),构造?ac=bugku&fn=flag.txt最后得到flagCTF 题解_第3张图片

做题看到file_get_contents函数就应该想到php://input协议

题3:

攻防世界

CTF 题解_第4张图片

随便输入密码,之后F12查看源码,在“网络-响应”栏中寻找,找到一串字符

CTF 题解_第5张图片

用工具转换,将16进制转换为字符串55,56,54,79,115,69,114,116,107,49,50
ASCII对数组再次进行解码得到字符串为 786OsErtk12

CTF 题解_第6张图片

CTF 题解_第7张图片

Cyberpeace{786OsErtk12}

之前零零散散做的题,没有将这一系列规整,参考:

https://blog.csdn.net/u258710/article/details/118177205?spm=1001.2014.3001.5506

你可能感兴趣的:(ctf,web,web)