BUUCTF Web [MRCTF2020]Ez_bypass1 & [GXYCTF2019]BabySQli1 & [GXYCTF2019]BabyUpload1

目录

[MRCTF2020]Ez_bypass1

[GXYCTF2019]BabySQli1

[GXYCTF2019]BabyUpload1


[MRCTF2020]Ez_bypass1

 启动靶机,右键查看源代码

BUUCTF Web [MRCTF2020]Ez_bypass1 & [GXYCTF2019]BabySQli1 & [GXYCTF2019]BabyUpload1_第1张图片

代码审计,GET传两个参数:id 和 gg。POST传passwd。需要满足的条件:1.id和gg值不同,但md5(id)== md(gg);  2.passwd==1234567,但passwd不能纯数字 。

思路: id 和 gg 直接传两个不同数组(md5(数组)== NULL)  ,passwd传1234567abc

构造payload

GET:   /?id[]=1&gg[]=2
POST:  passwd=1234567abc

BUUCTF Web [MRCTF2020]Ez_bypass1 & [GXYCTF2019]BabySQli1 & [GXYCTF2019]BabyUpload1_第2张图片

 拿到flag      flag{20097f40-8b61-451c-a588-56b65732a9ca}

[GXYCTF2019]BabySQli1

启动靶机,输个弱口令抓个包看看

BUUCTF Web [MRCTF2020]Ez_bypass1 & [GXYCTF2019]BabySQli1 & [GXYCTF2019]BabyUpload1_第3张图片

发现一行注释的一行,复制到base32在线解密

BUUCTF Web [MRCTF2020]Ez_bypass1 & [GXYCTF2019]BabySQli1 & [GXYCTF2019]BabyUpload1_第4张图片

再复制到base64在线解密

BUUCTF Web [MRCTF2020]Ez_bypass1 & [GXYCTF2019]BabySQli1 & [GXYCTF2019]BabyUpload1_第5张图片

 估计是提示我们后端的sql语句

select * from user where username = '$name'

知道了username,但是不知道password在后端是怎样查询的。看了下大佬的wp,查询三个字段id,username,password,但我们穿的password有个md5加密,所以构造payload

name=-1' union select 1,'admin',NULL#&pw[]=1

传的pw是数组,md5[数组] = NULL

BUUCTF Web [MRCTF2020]Ez_bypass1 & [GXYCTF2019]BabySQli1 & [GXYCTF2019]BabyUpload1_第6张图片

拿到flag          flag{42515684-4641-44ac-81d3-aa348b07fbbf}  

[GXYCTF2019]BabyUpload1

启动靶机,熟悉的文件上传,先上传个shell.php看看

BUUCTF Web [MRCTF2020]Ez_bypass1 & [GXYCTF2019]BabySQli1 & [GXYCTF2019]BabyUpload1_第7张图片

 看来phtml绕黑名单也不可行了,尝试.pHp ,发现也不行。懒得尝试了,直接传图片马吧。

GIF89a

BUUCTF Web [MRCTF2020]Ez_bypass1 & [GXYCTF2019]BabySQli1 & [GXYCTF2019]BabyUpload1_第8张图片

 forward放包

BUUCTF Web [MRCTF2020]Ez_bypass1 & [GXYCTF2019]BabySQli1 & [GXYCTF2019]BabyUpload1_第9张图片

 由于上传的文件以jpg存储,所以恶意代码无法执行,需要再上传一个.htaccess文件

 再访问一下图片马

BUUCTF Web [MRCTF2020]Ez_bypass1 & [GXYCTF2019]BabySQli1 & [GXYCTF2019]BabyUpload1_第10张图片

 感觉上传成功了,蚁剑连接

BUUCTF Web [MRCTF2020]Ez_bypass1 & [GXYCTF2019]BabySQli1 & [GXYCTF2019]BabyUpload1_第11张图片

拿到flag         flag{bb2bcb49-44e2-4583-bf58-49a20306eedd} 

你可能感兴趣的:(BUUCTF,Web,安全)