BUUCTF Web [MRCTF2020]Ez_bypass1 & [GXYCTF2019]BabySQli1 & [GXYCTF2019]BabyUpload1

目录

[MRCTF2020]Ez_bypass1

[GXYCTF2019]BabySQli1

[GXYCTF2019]BabyUpload1

---

[MRCTF2020]Ez_bypass1

 启动靶机，右键查看源代码

代码审计，GET传两个参数：id 和 gg。POST传passwd。需要满足的条件：1.id和gg值不同，但md5（id）== md（gg）；  2.passwd==1234567，但passwd不能纯数字 。

思路： id 和 gg 直接传两个不同数组（md5（数组）== NULL）  ，passwd传1234567abc

构造payload

GET:   /?id[]=1&gg[]=2
POST:  passwd=1234567abc

 拿到flag      flag{20097f40-8b61-451c-a588-56b65732a9ca}

[GXYCTF2019]BabySQli1

启动靶机，输个弱口令抓个包看看

发现一行注释的一行，复制到base32在线解密

再复制到base64在线解密

 估计是提示我们后端的sql语句

select * from user where username = '$name'

知道了username，但是不知道password在后端是怎样查询的。看了下大佬的wp，查询三个字段id,username,password，但我们穿的password有个md5加密，所以构造payload

name=-1' union select 1,'admin',NULL#&pw[]=1

传的pw是数组，md5[数组] = NULL

拿到flag          flag{42515684-4641-44ac-81d3-aa348b07fbbf}  

[GXYCTF2019]BabyUpload1

启动靶机，熟悉的文件上传，先上传个shell.php看看

 看来phtml绕黑名单也不可行了，尝试.pHp ，发现也不行。懒得尝试了，直接传图片马吧。

GIF89a

 forward放包

 由于上传的文件以jpg存储，所以恶意代码无法执行，需要再上传一个.htaccess文件

 再访问一下图片马

 感觉上传成功了，蚁剑连接

拿到flag         flag{bb2bcb49-44e2-4583-bf58-49a20306eedd}