BUUCTF WEB(12月刷题~)

最新推荐文章于 2025-06-18 19:21:43 发布
最新推荐文章于 2025-06-18 19:21:43 发布
阅读量2.2k 收藏 8
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF题 BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42967398/article/details/103619509

BUUCTF WEB(12月刷题~)

emmmm,学习是要学习的,该记录的也得记录,,
就记录一下最近在BUUCTF上刷的题目吧,只求扩展一下自己的知识面,,,

BUUCTF WEB [RoarCTF 2019]Easy Java

进入页面得到一个登录页面和help页面:
在这里插入图片描述
help页面有一个filename的参数,不过貌似没什么用,,,,
在这里插入图片描述
尝试登陆!!!跑一下弱密码,账户:admin,得到弱密码admin888
登陆进去发现提示flag不在这里,,,
在这里插入图片描述
然后找了半天,没找到任何东西,,,源码也没有什么,,,
回到help页面,,,filename参数不论传入什么都不起作用,,,,
在这里插入图片描述
换一种参数进行尝试,发现要POST传递一个filename时才能有文件内容显示,否则报一个500错误:
在这里插入图片描述
根据报错信息我们可以得知服务器类型以及版本信息:Apache Tomcat/8.5.24
一般用java做过网站的都知道有一个WEB-INF目录,,,它是java的web应用的安全目录,包含以下目录及文件:

/WEB-INF/web.xml:				Web应用程序的配置文件
/WEB-INF/classes/:				包含站点所有的class文件
/WEB-INF/lib/:					存放需要的jar文件
/WEB-INF/src/:					源码目录
/WEB-INF/database.properties:	数据库配置文件

我们尝试读取配置文件,web.xml:
在这里插入图片描述
发现一个疑似flag存放的目录,,,
进行读取,发现一串base64的字符串:
在这里插入图片描述
进行解码得到flag:
在这里插入图片描述
emmmm,这能说这道题目是真的坑,,,,
首先你的了解java搭建的目录结构,其次还有传递方式的转变!
所以web真的太难了啊!!!!!!

BUUCTF WEB [0CTF 2016]piapiapia

打开页面是一个登录页面,还有一个可爱的小猫,,,越看越有意思,,,
在这里插入图片描述
尝试登陆,失败,,,,,查看源码,,,,无果
查看robots.txt没有,发现存在源码泄露,,www.zip,下载下来可看见文件目录:
在这里插入图片描述
看到class.php就感觉存在序列化,,,,都查看一下源码
class.php中基本都是数据库增加修改语句,,,发现存在过滤函数:
在这里插入图片描述
config.php中应该是存放着flag:
在这里插入图片描述
发现profile.php中存在文件读取,还有反序列化:
在这里插入图片描述
到这里我们应该知道要做啥了,就是需要我们通过这里来进行读取config.php中的内容
不过我们该如何控制$profile[‘photo’]中的内容为config.php呢???

再看看update.php中内容:
在这里插入图片描述
发现在这里我们好像能够控制$profile[‘photo’]中的内容!!!
其实这道题目是利用php反序列化长度变化尾部字符串逃逸漏洞,,,,
首先来看看反序列化的规则,构造如下代码:

$b = 'a:4:{s:5:"phone";s:5:"admin";s:5:"email";s:10:"123@qq.com";s:8:"nickname";s:0:"";s:5:"photo";s:10:"config.php";}";s:5:"photo";s:39:"upload/202cb962ac59075b964b07152d234b70";}';
$a = unserialize($b);
var_dump($a);

输出结果:
array(4) {
   
   
  ["phone"]=>
  string(5) "admin"
  ["email"]=>
  string(10) "123@qq.com"
  ["nickname"]=>
  string(0) ""
  ["photo"]=>
  string(10) "config.php"
}

会发现;}之后的都没有起作用!!而且还有一点,,,
PHP反序列化中值的字符读取多少其实是由表示长度的数字控制的
只要整个字符串的前一部分能够成功反序列化,那么就能够序列化成功!!!
如下代码:

$b = 'a:2:{i:0;s:5:"phone";i:1;s:8:"admin123";}123"}';
$a = unserialize($b);
var_dump($a);

输出结果:
array(2) {
   
   
  [0]=>
  string(5) "phone"
  [1]=>
  string(8) "admin123"
}

知道这些东西就好办了呀,我们可以构造nickname为数组,然后我们再构造photo为:";}s:5:"photo";s:10:"config.php";}
这样我们所构造的payload就变成了如下:

$b = 'a:4:{s:5:"phone";s:5:"admin";s:5:"email";s:10:"123@qq.com";s:8:"nickname";a:1:{i:0;s:0:"";}s:5:"photo";s:10:"config.php";}";}s:5:"photo";s:39:"upload/202cb962ac59075b964b07152d234b70";}';
$a = unserialize($b);
var_dump($a);

输出结果:
array(4) {
   
   
  ["phone"]=>
  string(5) "admin"
  ["email"]=>
  string(10) "123@qq.com"
  ["nickname"]=>
  array(1) {
   
   
    [0]=>
    string(0) ""
  }
  ["photo"]=>
  string(10) "config.php"
}

可以清楚看见photo变成了config.php!!!而且nickname变成数组还可以绕过如下过滤:
在这里插入图片描述
但是我们传输的时候长度是不变的怎么办??其实我们可以看见class.php中的那里会把where变成hacker
这样我们就可以多一个字符出来利用!!构造34个where,刚好可以把";}s:5:"photo";s:10:"config.php";}挤出来
使之能够执行!!!到这里就可以去做题目了!!!!
已知有个注册页面,先注册一个用户,,注册完需要我们更新信息,,,直接抓包:
在这里插入图片描述
然后直接构造:
在这里插入图片描述
之后访问profile.php可以看见:
在这里插入图片描述
解码得到flag:

<?php
$config['hostname'] = '127.0.0.1';
$config['username'] = 'root';
$config['password'] = 'qwertyuiop';
$config['database'] = 'challenges';
$flag = 'flag{9ce293cc-273b-4d97-ba44-036a5cde57e0}';
?>

BUUCTF WEB [CISCN2019 华北赛区 Day1 Web1]Dropbox

打开页面需要登陆,OK,先注册一个直接登陆,发现有个文件上传:
在这里插入图片描述
尝试上传shell,上传成功但是没有显示,而且路径也不知道:
在这里插入图片描述
上传图片有显示,,,,,还有个删除和下载,删除就直接删除了,下载就是直接下载文件,,,,
下载文件直接抓包!!发现存在任意文件下载:
在这里插入图片描述
把能下载的文件全部都下载下来看看,,,,
class.php:

<?php
error_reporting(0);
$dbaddr = "127.0.0.1";
$dbuser = "root";
$dbpass = "root";
$dbname = "dropbox";
$db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);

class User {
   
   
    public $db;

    public function __construct() {
   
   
        global $db;
        $this->db = $db;
    }

    public function user_exist($username) {
   
   
        $stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->store_result();
        $count = $stmt->num_rows;
        if ($count === 0) {
   
   
            return false;
        }
        return true;
    }

    public function add_user($username, $password) {
   
   
        if ($this->user_exist($username)) {
   
   
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");
        $stmt->bind_param("ss", $username, $password);
        $stmt->execute();
        return true;
    }

    public function verify_user($username, $password) {
   
   
        if (!$this->user_exist($username)) {
   
   
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db-
最低0.47元/天 解锁文章

200万优质内容无限畅学
BUUCTF——Web
2201_75331136的博客
07-11 1239
启动靶机,出现这个用户登录页面 随便输入一个用户名和密码,通过网址可以判断出该请求方式使用万能密码测试是否存在SQL注入漏洞登录后便可查看到flagflag为:启动靶机,出现以下页面 查看源代码尝试在网址后面加上?cat=dog出现以下存在flag的页面flag为:启动靶机,出现以下页面查看源代码source.php 应该是后端的源码,这代码审计了 源码中 给出了 两个文件,还有一个 hint.php,这里给出了flag的位置 得到flagflag为:启动靶机,出现以下界面点击tips跳转到flag.ph
BUUCTF杂项笔记(1~12)
wlmt666的博客
10-26 435
待补充待补充图片隐写解决办法:安装stegsolve工具,使用逐帧查看解决目。要注意里面并不是hello而是he11o(是1),输错几次才发现。刚开始以为是宽高隐写,后来发现只需要查看图片信息即可。还是使用上面的工具。扫码进去没发现玄机。png基本思路:更改宽高或者看有无隐藏文件。考虑里面隐藏有文件夹。用winhex打开发现确实有一个可疑文件。binwalk扫描一波,发现了可疑文件 4number.txt可以使用foremos提取,更加精准。
buuctf目Fakebook
m0_65853019的博客
06-28 818
使用御剑扫描域名得到flag的位置,得到flag.php在服务器根目录下,从前面的报错内容上看服务器根目录为/var/www/html,所以构造的blog为file:///var/www/html/flag.php。则data字段的值为file:///var/www/html/flag.php序列化后的结果,又因为blog被限制为url形式,所以不能通过join方式。页面显示:有login和join两个按钮,join应该是注册,输入数据后老是提示blog is not valid,是数字型注入,验证得到。
buuctf web+basic
最新发布
2301_76767854的博客
06-18 320
打开靶站,发现需要登陆,尝试用弱口令爆破,账号admin,判断时候存在注入,密码用“1‘or’1‘=’1”,发现登陆成功,得到flag。打开靶站,发现以下界面,尝试用弱口令爆破,输入admin,password,显示密码错误为4位数字,说明账号正确,密码错误。它说和flag在ffffllllaaaagggg里,判断其应是一个文件,构造file。先判断是字符型注入还是数字性注入,发现输入字符无响应,输入数字有以下回应。打开hint.php,发现flag不在这里。打开靶站,发现是一只小猫。
BUUCTF-web
m0_65853019的博客
03-26 920
ffffllllaaaagggg,打开文件之后发现没有什么关键信息,应该是键入的路径不对,但是我们不清楚它的具体位置,所以用5次../返回,即键入source.php?file=php://filter/read=convert.base64-encode/resource=flag.php,打开文件后得到伪代码,使用工具进行解码得到源代码,即。从带有GET 方法的表单发送的信息,对任何人都是可见的(会显示在浏览器的地址栏),并且对发送的信息量也有限制(最多 100 个字符)127.0.0.1;
BUUCTF(web记录一)
nareku的博客
04-16 9313
前言 涨知识的一天 打开一看是简单计算器,随便输入看看 发现字母输入不了,查看源码 发现是在calc.php里面计算的,而且提示说存在Waf,这些字母应该就是Waf过滤的,访问calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' '
BUUCTF WEB
qq_43633585的博客
09-28 508
warmup 目描述 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_.
BUUCTF-web
weixin_43896504的博客
07-21 533
BUUCTF
BUUCTF-Web方向1~5wp
m0_74786138的博客
01-24 754
公众号:泷羽Sec-track。
Buuctf Web
weixin_68029979的博客
04-24 2091
写在前面, 本人小白一枚,记录一下web过程,大部分为个人理解可能有些地方写的不够明确还请见谅。当然由于刚入手web,所以有些会没有思路,这时会参考其他大佬的解过程。本文会一直更新,由于是第一次写博客,所以并不知道一篇能写多少,不管怎样会一直更新的。在解中,可能并没有说清除为什么是这样,什么要这样,其实大部分我也不知道是为什么,但就是这样做,由上所说我是个小白。如果在文中,出现了只有目没有解的情况,是因为我还没有学习与之相关的知识,所以先跳过了,但总会写的。
BUUCTF-WEB菜菜的之路
Pr0m1se1n的博客
07-30 864
BUUCTF平台太棒了,很值得学习鸭!!! 一. GXYCTF 禁止套娃 溜达了一圈,没什么发现。 尝试用dirmap扫目录,发现存在 /.git 浏览器直接访问出现会403 禁止访问。考虑是git源码泄露(常见的源码泄露有.git和.svn) 使用GitHack下载成功 ./index.php 以下是源码: <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_mat
BUUCTF--web
zhhhb1005的博客
04-10 1600
目录 [极客大挑战 2019]EasySQL [极客大挑战 2019]Havefun [极客大挑战 2019]Secret File [极客大挑战 2019]LoveSQL [极客大挑战 2019]EasySQL 打开目发现需要输入用户名和密码,因为刚刚看了万能密码,所以可以尝试使用万能密码绕过,得出flag。 [极客大挑战 2019]Havefun 点击网页进去以后发现是一只小猫,没有任何线索,所以就可以考虑查看源代码,发现一段php语句,是一个简单的get传值。 .
BUUCTF web(一)
m0_46616663的博客
10-19 2109
[强网杯 2019]随便注 方法一 查询的过程中发现有过滤 尝试以下报错注入,用到了extractvalue() 简单讲一下extractvalue()。语法:extractvalue(目标xml文档,xml路径),路径为/xx/xx/…,如果路径非法就会报错并且返回非法内容,所以我们正可以借此查询到目标内容,用concat()拼接‘/’也是一样的,但是拼接‘~’就不合法了: 1’ and extractvalue(1,concat(~’,database()))# 最长32位哈,超过32用subst
Web】纯萌新的BUUCTF日记Day1
uuzeray的博客
04-06 1372
刚学会F12看源码,每天做个一页,吃嘛嘛香。
BUUCTFweb部分
dogeace的博客
12-06 899
前一段时间没有发现比较基础的的平台去做,直到上个星期我发现了一个比较基础的平台供我,所以就继续更新wp了。废话不多说现在开始写解。 目名称[SUCTF 2019]EasySQL一级目录一级目录一级目录 [SUCTF 2019]EasySQL 先进入目 因为目的名称已经提示是SQL注入了,所以我们先进行尝试1’ or 1 = 1;# 提交发现 我当时的第一反应是布尔盲注所以我尝试了一下判断数据库的名称构造如下的payload 1' or (ascii(substr(database(),1,
BUUCTF中**web**总结合集(正在更新中)
m0_64169451的博客
05-04 1302
buuctfweb练习总结
BUUCTF web()
热门推荐
Lemon's blog
10-16 1万+
前言:最近参加了一场CTF比赛,菜的一批,接下来多练习web、MISC、密码学,多思考,提高一下自己做的思路,以及代码审计、编写脚本的能力。 [HCTF 2018]WarmUp 查看源码,发现<!--source.php-->,打开发现源码 <?php highlight_file(__FILE__); if (! empty($_REQUEST['file...
buuctfweb
01-17
### BUUCTF Web 类型练习 #### 网站源码备份文件泄露和PHP反序列化 在BUUCTF平台上,有一道涉及网站源码备份文件泄露和PHP反序列化的目。这类目通常要求参赛者找到并利用服务器上存在的`.bak`或其他形式的备份文件来获取敏感信息或代码逻辑[^1]。 ```php // 示例:查找并读取备份文件 <?php $file = "backup_file.bak"; if (file_exists($file)) { echo file_get_contents($file); } ?> ``` #### Twig模板注入漏洞 另一个常见的Web安全问是模板引擎中的变量插值功能被滥用所引发的安全隐患。具体来说,在某些情况下,攻击者可以通过向HTTP请求中添加特定头部(如`X-Forwarded-For`),使得服务端渲染页面时执行恶意代码片段。例如: ```twig {{7*8}} ``` 这段代码会在页面加载过程中计算乘法表达式的值,并将其显示出来。如果应用程序允许用户输入影响此上下文的数据,则可能存在严重的安全隐患[^2]。 #### 文件包含漏洞 通过巧妙地构造命令字符串绕过过滤机制从而实现任意文件读取也是CTF竞赛中经常遇到的一种技巧。比如下面的例子展示了如何使用不同的方法去尝试访问名为`flag.php`的目标文件内容[^3]: ```bash # 方法一 cat<flag.php # 方法二 cat${IFS}flag.php # 方法三 cat$IFS$9flag.php ``` 这些技术不仅考验选手们对Linux Shell语法的理解程度,同时也考察他们能否灵活运用各种环境变量以及特殊字符组合达成目的。 #### 零基础入门学习路线 对于完全没有接触过网络安全领域的新手而言,可以从以下几个方面入手逐步建立起扎实的知识体系: - **基础知识积累**:掌握计算机网络原理、操作系统基本概念等必备理论; - **工具技能培养**:熟悉常用的渗透测试框架与自动化脚本编写能力; - **实践操作经验**:积极参与在线平台提供的各类挑战赛项目,不断巩固所学知识点; 综上所述,BUUCTF提供了一个很好的机会让爱好者们在一个相对友好且可控环境中锻炼自己的技术水平。无论是初学者还是有一定经验的人都能找到适合自己水平层次的任务来进行针对性训练[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值