XCTF攻防世界web进阶练习_ 5_bug

最新推荐文章于 2025-03-23 10:22:16 发布
最新推荐文章于 2025-03-23 10:22:16 发布
阅读量1.4k 收藏 1
点赞数 2
分类专栏: ctf_web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/silence1_/article/details/101172103
版权

XCTF攻防世界web进阶练习—bug

题目

题目名字是bug
进入题目是一个登录界面
在这里插入图片描述
这里提供了注册和找回密码的功能,简单测试了一下sql注入,无果。
联想到题目名字是bug,应该和网站逻辑问题有关。
注册一个账号,这里我注册为admins password
在这里插入图片描述
注册好之后当然是登录啦,登录进去之后有几个功能。其中值的注意的是manage和change pwd
在这里插入图片描述
发现manage要管理员权限,change pwd又只能修改当前用户密码。所以目光聚集到外面的找回密码的功能上。

操作过程中时刻注意使用burpsuite查看收发包的情况。
也可以先顺利操作一遍,之后再回去查看burp的http history。
在这里插入图片描述
简单看一下就知道这里将重置密码分成了两步,第一步进行认证,第二步是密码的修改。找到了解题的关键。这里只要重放第二步就可以修改admin的密码
在这里插入图片描述
之后使用我们重置的密码登录admin账号
在这里插入图片描述
成功登录!来到manage页面,F12发现

在这里插入图片描述
传参数module和do。
do随便传一个1。返回action is not correct
在这里插入图片描述

注意到前面参数是filemanage,这里do只有靠猜了。。。
文件管理相关的操作无非就是文件的增删改查了。
尝试了download,read,write等之后发现当do为upload时返回一个上传页面。。
在这里插入图片描述
先上传一张图片,用burp重放。
简单测试一下发现,当上传内容中有<?php时会报错在这里插入图片描述
所以这里使用php的脚本表达形式

<script language='php'>
phpinfo();
</script>

修改后go 在这里插入图片描述
再修改文件后缀,尝试常见的可当做php解析的后缀
php3,php5,php7,pht,phtml等等。
当后缀为php5时,成功返回flag
在这里插入图片描述

攻防世界web进阶bug
gongjingege的博客
08-07 296
打开靶场,出现登录框,SQL注入无果,老老实实注册 注册成功,登录 点击manage,显示要admin管理员 考虑在findpwd里先修改自己的账号,bp抓包,改掉admin的密码 bp抓包 username改成admin,密码随便 可以看到修改成功 管理员新密码登录 再次点击manage emmmm继续改 bp抓包,X-Forwarded-For:127.0.0.1 这个时候从源代码里看到,又给了个新的路径,do=??? filename想到增删改查,多试几次,是upload 上传文件,是一句话
攻防世界 web高手进阶区 9分题 Web_python_flask_sql_injection
闵行小鱼塘
10-12 1163
继续ctf的旅程,开始攻防世界web高手进阶区的9分题,本文是Web_python_flask_sql_injection的writeup
攻防世界web进阶区之bug
qq_45756971的博客
08-05 483
题目如图所示:打开题目所给链接,会发现一个登陆界面我们先注册 然后登陆,成功点击manage会发现弹出对话框我们返回登录界面还发现一个fiadwd找回密码界面,输入信息,修改密码是用burp抓包抓包修改账户密码重置管理员密码成功。登录账号。再点击manage又弹出一个对话框所以我们在抓的包中添加一个 X-Forwarded-For: 127.0.0.1,发现传参:index.php?module=filemanage&do=???,我们根据题目猜测是upload,传参试试先传参成功,我们选择一个p
[学习笔记]攻防世界-bug
qq_58742026的博客
03-23 605
逻辑漏洞,文件上传
xctf攻防世界 Web高手进阶bug
l8947943的博客
01-02 1146
1. 进入环境,查看内容 我们先注册一个玩玩,然后登录如图: 一个个点一遍,发现manage有问题,如图: 明白了,暗示我们需要拿到admin权限,然后再搞事情 2. 开始分析 如何拿到admin?在用户页面发现有个change pwd,如图: 我们抓包试试,看看内容,发现并没有提供有效的修改user信息,如图: 也就是默认这个页面锁定了登录用户,不允许修改user的用户名,于是继续尝试 我们发现主页还有个Findpwd 填写完响应的信息后,如图: 点击reset抓包,看看内容:
XCTF 攻防世界 web 高手进阶
qq_44657899的博客
12-04 3220
command_execution 题目描述:小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。 题目相关知识点: 一,windows系统有哪些命令行拼接符。 A&B 简单的拼接,A与B同时执行。 A&&B A执行成功,则执行B。 A|B A命令的输出作为B命令的输入执行。 A||B 若A命令执行失败,则执行B命令。 二,fi...
XCTF攻防世界web进阶练习_ 5_mfw
silence1_的博客
05-02 3539
XCTF攻防世界web进阶练习—mfw 题目 题目为mfw,没有任何提示。 直接打开题目,是一个网站 大概浏览一下其中的内容,看到其中url变化其实只是get的参数的变化 查看它的源码,看到有一个?page=flag,flag应该在这个页面里面 但是进入这个页面发现是空的 注意到有这样一个页面,说道用到了Git方法,想到是否可能和Git源码泄露有关 于是试一下http://111.198.2...
XCTF 攻防世界WEB 高手进阶区mfw
weixin_45844670的博客
09-03 385
进入环境,看到about界面用到的技术git 第一时间可以想到git泄露 使用githack扫描一下 python GitHack,py 网址/.git 可以看到index.php 和templates文件夹,templates文件夹是存放网页模板信息的 都已经显示在网页中 可惜flag.php没有内容 查看index.php 发现有猫腻 <?php if (isset($_GET['page'])) { $page = $_GET['page']; } else { $page = "ho
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
[XCTF]攻防世界Web_python_template_injection模板注入
qq_37301470的博客
11-20 3642
模板注入 在url后访问地址/{{7*7}} 返回49 于是是模板注入 payload: http://111.200.241.244:52204/{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls').read()") }}{% e
攻防世界 Crypto进阶 Handicraft_RSA
qtL0ng的博客
06-02 1423
1、题目 #!/usr/bin/python from Crypto.Util.number import * from Crypto.PublicKey import RSA from secret import s, FLAG def gen_prime(s): while True: r = getPrime(s) #生成一个素数r R = [r] #将r转换为列表 t = int(5 * s / 2) + 1 for i i
XCTF-WEB进阶区php_rce
Lorezon的博客
03-15 345
打开题目出现网页: 在网上查了TinkPHP的漏洞复现,得到payload如下: ?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20%27system("cat%20../../../flag");%27 漏洞复现具体...
XCTF web bug
H4ppyD0g的博客
09-06 416
注册后登陆,发现有manage,点击一下,说不是管理员,没有权限,那就得想办法获得管理员权限 退出,回到登录界面,点击Findpwd 输入信息后第二步就可以直接修改密码了。这个时候用burpsuite抓包,把user改成admin就可以把admin改成想要的密码。 登录admin,再点击manage,ip不允许,修改XFF头为127.0.0.1可以访问。 在网页源代码中发现传参,把do设为uplo...
攻防世界 WEB bug
qq_41696858的博客
08-26 395
这题又是登录注册找回密码的,很像sql注入,但是注了半天也没注出来,好吧,是思路单一了 这题的关键点其实在找回密码页面,他所要求的信息有三个:用户名:admin,出生年月日和地址 其实注册登录之后发现在personnel页面是显示这个信息的,于是就尝试是否存在水平越权 emmmm。。。是存在的,burpsuite抓包,cookie里有个md5值,经过检验是uid:用户名的md5值 同时url里面的uid也要改为1,这样就成功得到了更改admin密码的三个信息,注销,登录admin账号,点击manage,显示
攻防世界 BUG 题 WP
qq_43622442的博客
03-06 540
攻防世界 BUG 题 WP 1.打开链接,只是一个简单的登录框: 2.测试弱口令和万能密码失败,尝试二次注入,发现单引号被转义了: 3.那我先用自己创建的号进去看一下有些什么: 4.这个manage需要管理员才能点,然后看到personal那里可以看一些个人信息,还有个uid,看看有没有越权,然而并没有= = 5.突然想起来超级好用的找回密码功能我还没测试= =先用自己创建的号跑一遍流程,发...
攻防世界(web)高手进阶
doraemon12345的博客
12-01 243
1.baby_web 打开题目,题目描述提示想想初始页面,打开是1.php, 改成index.php,开发者模式,选择在网络模块打开看到index.php,查找发现flag flag{very_baby_web} 2.Training-WWW-Robots 看到题目想到robots.txt,尝试一下果然,看到fl0g.php 打开fl0g.php,拿到flag cyberpeace{27ec35e088ca35fa208f904330c15aad} 3.warmup 打开题目是个滑稽的表情,f12发现sou
bug-xctf
怪味巧克力的博客
06-04 392
0x01 进入页面,发现有登陆界面,有注册,有找回密码。我们先试试,所以这里我们先注册一个用户 注册成功,那么我们登陆看看有没有什么值得关注的地方 看我箭头标的地方,第一个提示我们的用户是123,然后还有其他的几个功能,这几个其他的功能都可以进,唯独第二个Manage无法进去,提示信息如下 所以,我们不是admin用户,那么如何登陆admin用户呢?首先注册肯定不行,因为账号已存在,那么我们怎么搞到admin的密码呢?还有一个功能我们忽略了,那就是找回密码,我们进去看看 到这里,思路就是我们进
攻防世界Web高手进阶
xuhc25的博客
05-07 522
攻防世界Web高手进阶区 文章目录1、aNNaNNaNNaN-Batman 1、aNNaNNaNNaN-Batman 题目: 下载下来得到附件,解压。 用txt打开 发现是一个JavaScript脚本。 看着有些乱码,试看看弹窗内容,把末尾的eval改成alert,然后后缀改为html。 双击浏览器打开,就能看到弹出内容。 这回看到是正经的代码了,整理得到如下代码。 function $(){ var e=document.getElementByld("c").value; if(e.
攻防世界-web高手进阶
zji
04-25 6883
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
攻防世界web新手unserialize3
最新发布
04-03
### PHP `unserialize` 函数的安全漏洞及其攻防技巧 #### 背景介绍 PHP 的 `unserialize()` 函数用于反序列化字符串并将其转换为相应的对象或数组。然而,在某些情况下,如果输入数据未经过严格验证,则可能导致安全问题。例如,当恶意用户能够控制传入的数据时,可能触发特定类中的魔术方法(如 `__wakeup()` 或 `__destruct()`),从而执行任意代码。 在实际应用中,开发者通常会忽略对用户提交数据的校验,这使得攻击者有机会通过精心构造的 payload 来利用这些漏洞[^2]。 #### 漏洞原理分析 考虑以下场景:程序允许外部用户提供已序列化的字符串作为参数,并直接调用了 `unserialize()` 方法处理该参数。假设存在如下定义的一个简单类: ```php class Example { public $data; public function __construct($value) { $this->data = $value; } public function __wakeup() { if ($this->data === 'trigger') { system('ls'); // 执行系统命令 } } } ``` 如果攻击者可以提供类似于下面这样的序列化字符串: ```plaintext O:7:"Example":1:{s:4:"data";s:7:"trigger";} ``` 那么一旦被反序列化,就会激活 `__wakeup()` 魔术方法内的逻辑,进而引发潜在危害行为的发生[^3]。 #### 实战案例解析 针对上述提到的情况,这里给出一个具体的实例说明如何防范此类风险。假设有这样一个 URL 请求包含了未经过滤便进入业务流程的部分: ``` ?code=O%3A8%3A"xctf"%3A1%3A%7Bs%3A4%3A"flag"%3Bb%3A1%3B%7D ``` 此时服务器端接收到此请求后如果没有做任何防护措施的话,就极有可能因为调用到了不恰当的对象属性而导致异常退出等问题出现。因此我们需要采取一定手段加以规避,比如引入白名单机制或者重写相关敏感操作等等方式来增强系统的安全性。 另外值得注意的是,在一些特殊条件下即使看似无害的操作也可能隐藏着巨大威胁。比如说SQL注入测试过程中经常使用的ORDER BY语句片段组合而成的大数值试探法虽然表面上看不出来有什么明显错误之处,但实际上却反映了数据库结构设计上的不合理性以及查询构建过程缺乏足够的鲁棒性的事实情况;而这种情况同样适用于其他类型的渗透尝试当中去发现更多深层次隐患所在[^4]。 #### 编程实践建议 为了有效防止因不当使用 `unserialize()` 导致的各种安全事故的发生,可以从以下几个方面入手改进现有代码质量水平: - **输入验证**: 对所有来自客户端的数据进行全面细致地检查确认其合法性后再进一步加工运算; - **最小权限原则**: 确保运行环境下的各个组件都只拥有完成各自任务所必需最低限度的权利范围即可满足日常需求而不至于造成不必要的麻烦困扰; - **更新依赖库版本**: 及时跟踪官方发布的补丁信息并将项目组内部正在维护的产品升级到最新稳定状态以减少遭受未知零日漏洞袭击的可能性几率降低至可接受范围内为止。 ```php // 输入验证示例 function safe_unserialize($serialized_data){ if (is_string($serialized_data)) { @ini_set('unserialize_callback_func', '__php_incomplete_class'); try{ return unserialize(trim(stripslashes($serialized_data))); }catch(Exception $e){ error_log("Unserialization failed:".$e->getMessage()); return false ; } }else{ return null ; } } $unsafe_input=$_POST['code']; $safe_output=safe_unserialize($unsafe_input); if(!$safe_output){die('Invalid input detected!');} print_r($safe_output); ``` ### 结论总结 综上所述可以看出,合理运用好编程语言自带的功能特性固然重要,但是更加不可忽视的是围绕它们周边建立起一套完善可靠的防御体系框架才是长久之计。只有这样才能真正意义上做到既提高了工作效率又保障了整体网络空间生态健康持续发展下去的目标追求方向不变偏离轨道之外越走越远直至最终实现理想愿景成果落地开花结果圆满成功结束全文叙述内容部分到这里告一段落谢谢大家耐心阅读完毕以上全部材料资料参考资料链接地址列表如下所示供有兴趣的朋友自行查阅学习参考借鉴吸收转化提升自我综合能力素质修养层次境界高度宽度广度深度厚度等方面均有不同程度的进步成长收获满满值得期待未来无限美好前景光明灿烂辉煌无比壮观壮丽宏伟浩瀚辽阔宽广博大精深奥妙无穷尽矣哉乎也焉耳矣!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值