xctf攻防世界第8页

攻防世界-Web(进阶区)

前言又做了几道攻防世界的Web题，总结一下。Web1：Cat题目没提示。点开题目，以为是命令执行。然而几番尝试后，发现并不是。。。其它也没什么提示，没思路了。偷瞄大佬博客然后我开始复现，?

Qwzf·2023-09-08 16:01

攻防世界-WEB-Web_python_template_injection

靶机打开确定模板是Jinja2通过命令查看/etc/passwd发现flag文件拿到flagctf{f22b6844-5169-4054-b2a0-d95b9361cb57}

Lucifer_wei·2023-09-08 16:01

攻防世界-web-NewsCenter

首先，我们进去后看到一个输入框，尝试sql注入1'orderby3#显示正常1'orderby4#无法显示1'unionselect1,2,3#通过尝试后我们可以知道这个表中一共有三个字段爆破数据库名1‘unionselect1,database(),3#爆破表名1'select1,group_concat(table_name),3frominformation_schema.tableswhe

Uzero.·2023-09-08 16:31

攻防世界-NewsCenter-(详细操作)做题笔记

为了让自己记忆更深刻，查询跟资料更方便，开始试着写博客，新手菜鸟，思路有不正确的地方，还请各位大佬不吝啬指正，感谢。下面开始做题：看到网页先用御剑扫描，扫描结果如图:主网页如图：点进去以后还是发现两个网页并没有扫描重要的东西，主网页加载完成之后丢入acunetix进行网站扫描，发现该网站存在sql盲注，如图：接下来我们就要用到sqlmap进行注入，但是在那之前我们需要用到burpsuite代理截取

角一角·2023-09-08 16:30

ctf-攻防世界-web：NewsCenter

打开环境，功能点只有一个查找新闻，猜测是sql注入一.手工注入从最基础的联合查询注入开始1正常1'报错1''正常猜测为字符型注入，单引号闭合1'orderby1,2,3;'正常1'orderby1,2,3,4;'报错可见一共3列（;将前后语句分开，'闭合后面的语句，也可以用#替代;'注释掉后面的语句）1'unionselect1,2,3;'页面显示2和3，则2和3为显示位1'unionselect

2021gracedoudou·2023-09-08 16:00

攻防世界-Web-Newscenter

0x01打开题目看到一个网页，里面只有一个搜索输入框是我们可以控制的，所以猜测可能是SQL注入。尝试123asdqwe'or1=1#发现能够查询出所有新闻。继续尝试'unionselect1,2,3#，验证select查询了三个字段：0x02已经可以判定是联合注入，接下来就简单了。查询当前数据库1'unionselect1,2,database()#，得到数据库为news查询当前库中的表1'uni

uh3ng·2023-09-08 16:00

攻防世界-web NewsCenter3

题目描述：如题目环境报错，稍等片刻刷新即可一、测试输入:1'页面直接500输入:1'or1=1#页面正常显示使用：1'orderbyn#测试地段数为3使用联合查询爆数据：-1'unionselect1,2,3#可以看到2,3位回显，可以通过这两个位置来查询内容二、查看当前数据库名及数据库用户名-1'unionselect1,database(),user()#三、查看表名：-1'unionsele

码啊码·2023-09-08 16:29

攻防世界 web进阶区 NewsCenter

攻防世界web进阶区NewsCenter打开界面，是一个新闻中心，并且拥有搜索功能正常搜索，尝试搜索下面的消息内容，搜索hello得到这条消息的相关信息。

小皮hai·2023-09-08 16:29

攻防世界-WEB-NewsCenter

打开环境有查询，猜测是sql注入保存请求头到文件中准备利用sqlmap查找数据库pythonsqlmap.py-r./123.txt--dbs查找表pythonsqlmap.py-r./123.txt--tables-Dnews查找字段pythonsqlmap.py-r./123.txt--column-Dnews-Tsecret_table显示字段信息pythonsqlmap.py-r./123

Lucifer_wei·2023-09-08 16:27

攻防世界-Web高手进阶详解

Web高手进阶详解点击题目即可查看点击题目即可查看点击题目即可查看点击题目即可查看001baby_web002Training-WWW-Robots003Web_php_unserialize004php_rce005Web_php_include006supersqli007ics-06008warmup009NewsCenter010NaNNaNNaNNaN-Batman011PHP2012u

Mr H·2023-09-08 16:27

攻防世界-WEB-ics-05

打开靶机只有设备维护中心可以点开点标签得到新的urlpage=index想到文件包含漏洞（URL中出现path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼利用php伪协议查看源码出现一段base64源码，进行转码得出源码?page=php://filter/read=convert.base64-encode/resource=index.php得到ba

Lucifer_wei·2023-09-07 17:17

攻防世界-WEB-ics-06

打开环境发现只有报表中心可以点击尝试更换id发现界面一样百度了一下怎么爆破，发现可以用burpsuite进行爆破增加payload利用excel放入5000个数开始爆破发现当id=2333时，length不同，这应该就是问题所在，点开下面response，最下面就有flag

Lucifer_wei·2023-09-07 17:47

攻防世界-WEB-php_rce

打开靶机链接搜村ThinkPhPV5存在远程命令执行的漏洞构建payload/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls查询当前目录文件，没有发现flag。调整payload得到flag文件，修改执行的命令这样就可以拿到flag

Lucifer_wei·2023-09-07 17:46

攻防世界-WEB-Web_php_include

打开靶机通过代码审计可以知道，存在文件包含漏洞，并且对伪协议php://进行了过滤。发现根目录下存在phpinfo观察phpinfo发现如下：这两个都为on所以我们就可以使用data://伪协议payload如下：-?page=data://text/plain,-?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCJscyIpPz4=#base64编

Lucifer_wei·2023-09-07 17:12

攻防世界MISC进阶区刷题记录

文章目录攻防世界MISC进阶区刷题记录Ditf运用stegextract进行分离glance-50gif图片分离组合脚本hit-the-coreTest-flag-please-ignoreBase16

sean7777777·2023-09-06 02:02

攻防世界-easychallenge

原题解题思路下载下来是一个pyc文件，还是反编译python工具final就是flag，先经过异或，又经过base32加密。倒过来操作就行。

mysmartwish·2023-09-06 02:02

攻防世界-web2

原题解题思路miwen应该是密文的拼音。在函数encode中，传入字符串str，依次将str中的每一个字符转换为十进制ASCII码加一，然后再转换成字符。逆向思路构建代码如下：

mysmartwish·2023-09-06 02:02

攻防世界misc高手进阶区刷题记录

攻防世界misc高手进阶区刷题记录easycap解压出来之后为一个pcap文件，使用wireshark打开右键追踪TCP数据流即可获得flagflag：385b87afc8671dee07550290d16a8071reverseMe

super 硕·2023-09-06 02:01

攻防世界-Get-the-key.txt

原题解题思路notepad++看到，这应该是一个压缩包，解压。但是解压的时候提示格式不对，不是zip，rar可以。解压出来有一个key.txt，打开就行。

mysmartwish·2023-09-06 02:01

攻防世界MISC进阶区之Hear-with-your-Eyes

下载所给附件，用winhex打开，发现是个wav文件，果然修改文件扩展名为.rar会发现有一个音频文件，我们用audacity打开，选择左上方的sound选项，找到其中的频谱图，就会得出答案直接输入flag后边的内容就完成了。

Blank⁰·2023-09-06 02:31

攻防世界Hear-with-your-Eyes

附件下载下来解压是一个wav后缀文件wav文件介绍WAV是最常见的声音文件格式之一，是微软公司专门为Windows开发的一种标准数字音频文件，该文件能记录各种单声道或立体声的声音信息，并能保证声音不失真。但WAV文件有一个致命的缺点，就是它所占用的磁盘空间太大（每分钟的音乐大约需要12兆磁盘空间）。它符合资源互换文件格式（RIFF）规范，用于保存Windows平台的音频信息资源，被Windows平

Dalean.·2023-09-06 02:31

Hear-with-your-Eyes_攻防世界

下载发现是gz压缩包，放在linux下解压用Audition打开，没有发现什么特别的切换到频谱频率显示器得到flag

Ogazaki_aki·2023-09-06 02:31

攻防世界-MISC新手练习题集（二）

目录攻防世界-MISC新手练习题集（二）What-is-thisHear-with-your-EyesreverseMemisc_pic_againTest-flag-please-ignoreJános-the-Ripper

tzyyyyyy·2023-09-06 02:30

xctf攻防世界 MISC高手进阶区 Hear-with-your-Eyes

1.进入环境，下载附件是个音频文件，打开听听，妈的差点给我送走了！2.题目分析题目提示用眼睛听这段音频，说的真好，看了看wp，说白是要将音频波形图转成频谱图，在此下载Audacity软件，打开如图：我们转成频谱图：得到最终结果e5353bb7b57578bd4da1c898a8e2d7673.还可尝试用AU来转换传送门：https://www.bilibili.com/read/cv1336827

l8947943·2023-09-06 02:00

Hear-with-your-Eyes

打开“攻防世界”，选择“Misc”后，找到“Hear-with-your-Eyes”，下载附件解压。得到如文件：解压后发现，该文件无法打开，于是将文件后缀改为压缩包再解压试试。果真，可以了。

m0_70898948·2023-09-06 02:00

攻防世界 Misc Hear-with-your-Eyes

攻防世界MiscHear-with-your-Eyes1.解压压缩包winhex打开2.Audacity打开切换到频谱图1.解压压缩包发现一个无后缀文件winhex打开可以看到是一个wav文件直接修改后缀试试发现并不能打开猜测是一个压缩包修改后缀为

==Microsoft==·2023-09-06 02:30

攻防世界Misc赛题记录

János-the-Ripper题目：https://adworld.xctf.org.cn/task/answer?

Bit0_·2023-09-06 02:29

攻防世界-Hear-with-your-Eyes

原题解题思路是一个没有后缀的文件，题目提示要用眼睛看这段音频，notepad++打开文件，没什么东西。加后缀zip再解压看看。使用Audacity打开音频文件

mysmartwish·2023-09-06 02:28

攻防世界ctf web easyphp题解wp

第一步，用科学计数法绕过a=1e9if(isset($a)&&intval($a)>6000000&&strlen($a)".md5($i);}}第三步，绕过is_numeric函数$c=(array)json_decode(@$_GET['c']);#接收json格式的字符串并将其转化为数组c={"m":"2033%00"}#使用%00可以绕过is_numeric函数第四步，绕过is_array

中原第一高手·2023-09-03 17:36

攻防世界-php_rce

原题解题思路thinkPHP.0有漏洞，ThinkPHP5.xrec漏洞分析与复现。本题就是利用漏洞查找。格式是：?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=命令。ls查看文件没什么东西，robots.txt和index.php有可能有，不过看了也没什么可疑的。一

mysmartwish·2023-09-02 11:45

攻防世界-What-is-this

原题解题思路解压后文件没有后缀，不知道是什么文件。用notepad++打开找不到flag。尝试当成压缩包解压。用stegsolve以打开图片1，合成两张图片。

mysmartwish·2023-08-30 23:32

攻防世界-倒立屋

原题解题思路用StegSolve打开文件，调通道没用，wp说用RGB信道打开可以找到，但说实话用大括号也没找到在哪，得是预先知道答案才找得到。

mysmartwish·2023-08-28 19:01

攻防世界-Web_php_unserialize

原题解题思路注释说了flag存在f14g.php中，但是在wakeup函数中，会把传入的文件名变成index.php。看wp知道，如果被反序列话的字符串其中对应的对象的属性个数发生变化时，会导致反序列化失败而同时使得__wakeup失效（CVE-2016-7124的漏洞），所以这题其实是一个反序列化的题目。preg_match函数判断是否包含类似o:2的字符串，如果存在则中断程序执行，否则调用@u

mysmartwish·2023-08-28 19:29

攻防世界-shrine

原题解题思路明显使用的flask框架，那就用flask模板注入。查看配置文件config。注意config在函数safe_jinja中使用了。http://61.147.171.105:59211/shrine/%7B%7Burl_for.__globals__['current_app'].config%7D%7Dflag就在config中。

mysmartwish·2023-08-26 20:33

攻防世界-Fakebook

原题解题思路点击join就可以进行注册username看起来是个超链，点击跳转在url里出现了no=1，看起来可以注入，改成no=1and1=2报错。本来想用sqlmap，可能是网速有问题，啥都没出来。no=1orderby5报错，一共有四列。按照以前的方法现在该看数据库名no=1unionselect1,2,3,database()，但是不行。网上大佬们的wp都提到了序列化，扫描目录还能看到fl

mysmartwish·2023-08-26 20:33

攻防世界fakebook

解题思路：1、御剑扫描--未发现线索2、发现隐藏的robots.txt、flag.php，访问发现站点就login和join，login一通sql注入未果注册后查询发现“http://159.138.137.79:57307/view.php?no=1”可能存在注入点使用orderby发现为4，使用unionselect注入。注：需要使用/**/union/**/select绕过waf?no=1a

polo00·2023-08-25 15:39

攻防世界-web-fileclude

1.题目描述打开链接，可以看到如下代码：代码意思很简单，让我们传递两个参数，一个file1，一个file2，如果file2的内容为helloctf，那么就可以在代码中includefile12.思路分析这道题显然是一个文件包含的问题，而且输入没有做任何过滤，这样的话就比较简单了，可以参考本人之前的帖子https://blog.csdn.net/wuh2333/article/details/130

wuh2333·2023-08-24 07:08

攻防世界-reverse-no-strings-attached

题目描述菜鸡听说有的程序运行就能拿Flag？下载文件后，看下文件信息，是一个可执行程序思路分析逆向出代码，发现关键点在这里这里有个解密函数，解密出v2和我们的输入v1进行对比，能够匹配上就OK，说明这个v2就是我们需要的flag。继续看这个解密函数，函数中并没有给出密文是多少，继续往前追溯就更困难了因此，这里既然明确v2是我们需要的flag，那么其实没必要去弄清楚并复现该解密过程，直接调试该程序，

wuh2333·2023-08-24 07:08

攻防世界-web-fileinclude

1.题目描述打开链接，如下：告诉我们flag在flag.php上2.思路分析只看前端页面没有什么有效的信息，burpsuite抓包看看代码很短，很快就能找到关键点，我们可以通过设置cookie中的language字段，利用文件包含，获取flag.php的内容参考之前写的一篇博客的内容：https://blog.csdn.net/wuh2333/article/details/132258424?s

wuh2333·2023-08-24 07:07

攻防世界-simple_js

原题解题思路js就看源代码，pass是数字，下面还有一串十六进制的编码。进制转换就是，也是一串数字，那把这两串数字都拿去转ASCII码。s1=[55,56,54,79,115,69,114,116,107,49,50]s2=[70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65]a=""foriins1:b=chr(i)a=a+bprint(a

mysmartwish·2023-08-23 23:41

攻防世界-ext3

原题解题思路下载下来的文件解压就可以看到非常多的文件夹，直接搜索flag明显用base64加密了：解码工具

mysmartwish·2023-08-23 23:40

攻防世界-Web_php_include

原题解题思路php://被替换了，但是只做了一次比对，改大小写就可以绕过。用burp抓包，看看有哪些文件flag明显在第一个PHP文件里，直接看

mysmartwish·2023-08-23 23:40

攻防世界 easyupload

本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行点开链接我们直接上传一句话木马发现上传不了说明可能被过滤了所以我们需要绕过绕过的点为检查后缀中是否有htaccess或ph思路：通过上传.user.ini以及正常jpg文件来进行getshell.user.ini文件解题前我们先了解下.user.ini文件指定一个文件，自动包含在要执行的文件前，类似于在文件前调用了requi

Sx_zzz·2023-08-23 20:11

攻防世界 file_include（江苏工匠杯）

首先分析源代码题目类型为文件包含漏洞通过GET传参获得flag根据第3行include(“./check.php”);运用php伪协议构造payloadphp://filter/read=convert.base64-encode/resource=check.php原理：利用filter协议读文件，将index.php通过base64编码后进行输出。这样做的好处就是如果不进行编码，文件包含后就不

Sx_zzz·2023-08-23 20:40

第八届XCTF联赛首场国际外卡赛——WACON2023即将开启！

由国际战队SuperGuesser操刀命题第八届XCTF首场国际外卡赛WACON2023即将开启线上资格赛前6名队伍将晋级WACON2023总决赛飞往韩国·首尔与全球顶尖白帽黑客一决高下总决赛冠军队伍将获得

Cyberpeace·2023-08-23 03:46

攻防世界-supersqli

原题解题思路直接查找看不到明显的回显变化先找回显变化数量-1'orderby2#如果是3列就报错，说明只有两列。接下来找数据库名称：-1'unionselect1,databases#结果是后端做了一些简单的过滤，需要更换查找语句。-1';showdatabases;#题目就叫supersqli，目标数据库也明显了。下面找数据库的表。-1';usesupersqli;showtables;#两个表

mysmartwish·2023-08-22 13:09

1、攻防世界第一天

1、网站目录下会有一个robots.txt文件，规定爬虫可以/不可以爬取的网站。2、URL编码细则：URL栏中字符若出现非ASCII字符，则对其进行URL编码，浏览器将该请求发给服务端；服务端会可能会先对收到的url进行解码，然后交给后端代码。3、Post传参将头部中第一行中的GET改成POSTPOST头部数据格式声明Content-Type:application/x-www-form-urle

PT_silver·2023-08-21 09:26

攻防世界-warmup

原题解题思路只有一张图片，就查看源代码，有一个source.php。查看source.php，白名单中还有一个hint.php。hint.php告诉我们flag的位置ffffllllaaaagggg但是直接跳转是没用的，构造payload。http://61.147.171.105:55725/source.php?file=source.php%253f/../../../../../../ff

mysmartwish·2023-08-20 23:33

攻防世界-easyphp

原题解题思路需要满足a表示一个大于6000000长度小于等于3的数，这就会用到科学计数法，例如1e9。b需要md5值的倒数6位为8b184b。md5彩虹表可以通过获得cmd5破解范围-discuz密码破解,vBulletin/md5(phpbb3)。c要是json格式，m键且不能是整数类型，但要大于2022，n键要是一个列表，并且列表的第一个元素也是列表。构造payload类似于“http://?