BaseCTF-web-Week1

2024-08-25 15:52
文章标签 web week1 basectf

本文主要是介绍BaseCTF-web-Week1,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

写在前面:

题目类型还是比较全,也都是基础题型,适合刚入门 CTF 的萌新学习,我之前在学校实验室预备队招新赛中也有出过一些类似的基础题,欢迎大家参考。

SNERT预备队招新CTF体验赛-Web(SWCTF)icon-default.png?t=N7T8https://myon6.blog.csdn.net/article/details/133501612

 

 1、 HTTP 是什么呀

注意两个点:

(1)要求传入的 %00 需要先进行 url 编码后再传入,否则会被当做 url 编码直接转成空了;

(2)请求头需要添加 Content-Type: application/x-www-form-urlencoded 因为是 post 请求。

解 base64:

拿到 flag:BaseCTF{88e16242-bd8e-4886-8a51-cf2bcae1a226}

2、喵喵喵´•ﻌ•`

没有做任何过滤,直接 rce

当前目录未见 flag,看看根目录:

?DT=system('ls /');

读取 flag:

?DT=system('tac /flag');

拿到 flag:BaseCTF{7d34864d-ca1b-421b-8719-ecae8e681754} 

3、md5绕过欸

都采用数组绕过,payload:

?name[]=1&name2[]=1
post:password[]=2&password2[]=2

弱比较还可以采用一些特殊的字符串绕过,加密后以 0e 开头的,PHP 会当作科学计数法来处理,也就是 0 的 n 次方,得到的值比较的时候都相同,payload:

?name=240610708&name2[]=1
post:password=MAUXXQC&password2[]=2

拿到 flag:BaseCTF{c83310db-382f-4819-8fca-1c4e2b488281}

4、 A Dark Room

F12 看源码

拿到 flag:BaseCTF{c7f4e58b-0e7d-42a2-b85a-64c09c88a6c7}

5、upload

未作任何过滤,直接传一句话木马

右键我们上传的文件,复制地址 

访问是空白,说明解析成功

调用:

?cmd=system("ls /");

读取 flag: 

?cmd=system("tac /flag");

拿到 flag:BaseCTF{2c4de865-6ac2-4ca0-a673-cb284549521e}

6、Aura 酱的礼物

看到代码似曾相识

很像我之前出过的一个题哈哈哈,这个题的原型来自于一道很久远的 CTF 比赛的题,感兴趣的可以看看题目三 :myon123_easy_phpicon-default.png?t=N7T8https://myon6.blog.csdn.net/article/details/137141104#3%E3%80%81myon123_easy_php

下面我们继续说这道题的解法,代码审计:

先看第一部分

$pen = $_POST['pen'];
if (file_get_contents($pen) !== 'Aura')
{die('这是 Aura 的礼物,你不是 Aura!');
}

看到 file_get_contents 我们就应该想到文件包含,需要上伪协议(萌新学到后面会有的条件反射)

现在页面回显的就是:这是 Aura 的礼物,你不是 Aura!,我们让它消失:

一般我们用的是 php://input ,然后 post 再写入对应数据,但是这里它 pen 需要 post 请求提交,因此我们使用另一个伪协议 data://,其实和 php://input 是一样的,让用户可以控制输入流,当它与文件包含函数结合时,用户输入的 data:// 流就会被当作 php 文件执行。

payload:

pen=data://text/plain,Aura

可以看到已经来到了第二个 die() 函数,也就是说我们已经成功绕过了第一个条件判断。

继续看第二个:

$challenge = $_POST['challenge'];
if (strpos($challenge, 'http://jasmineaura.github.io') !== 0)
{die('这不是 Aura 的博客!');
}

strpos() 函数用于查找字符串在另一字符串中第一次出现的位置,其返回值是字符串在另一字符串中第一次出现的位置,注意字符串位置是从 0 开始的,如果没有找到字符串则返回 FALSE。

这里要求不能等于 0 ,也就是说在传入的 $challenge 里需要找到 'http://jasmineaura.github.io',并且位置是开头,才会是返回的 0。

那就直接将内容传给它,这样查出来返回值就是 0:

pen=data://text/plain,Aura&challenge=http://jasmineaura.github.io

来到第三部分:

$blog_content = file_get_contents($challenge);
if (strpos($blog_content, '已经收到Kengwang的礼物啦') === false)
{die('请去博客里面写下感想哦~');
}

这里会读取 $challenge 这个文件,准确来说这里的 $challenge 是一个文件的位置(路径),然后将读到的内容存入字符串 $blog_content 里,再次使用 strpos 函数查找,要求在内容里能找到 '已经收到Kengwang的礼物啦',因为如果找不到就会返回 false。

这里肯定不能再用 data:// 协议了,因为前面要求 $challenge 的开头必须是 'http://jasmineaura.github.io',那么怎么搞呢?我现在才明白这道题考点和我前面说的那道题不一样,这个我也是第一次遇到,看了它的 wp ,使用 @ 截断,将 @ 前的内容当做用户名,说实话我没太理解:

strpos($blog_content, '已经收到Kengwang的礼物啦') === false 这个检测怎么过的呢?

(后面用服务器测试后就明白了,以及 @ 的用法也有详细解释,往后看)

pen=data://text/plain,Aura&challenge=http://jasmineaura.github.io@127.0.0.1

最后就是 include 文件包含,也是直接上伪协议就好了,这里用 php://filter 读文件源码。

payload:

pen=data://text/plain,Aura&challenge=http://jasmineaura.github.io@127.0.0.1&gift=php://filter/read=convert.base64-encode/resource=flag.php

我本来是想换编码方式输出,但是没成功,那就再 base64 解码吧 

拿到 flag:BaseCTF{e2d5fe59-5bba-4a3b-a255-fe04a99f0198}

下面换服务器试试:

pen=data://text/plain,Aura&challenge=http://jasmineaura.github.io@服务器ip地址&gift=php://filter/read=convert.base64-encode/resource=flag.php

当将 127.0.0.1 换成服务器 ip 地址后,发现就打不通了,说明它这里题目的设置就是只要改成读本地就能直接过,wp里也说了考虑到新生没有服务器。

为什么打不通了,因为压根就没过这个判断:

strpos($blog_content, '已经收到Kengwang的礼物啦') === false

随便在服务器启一个 web 服务,在网站目录下随便写一个文件:

我这里叫 1.txt,写这个东西干啥?给 file_get_contents 去读取。

1.txt 的内容如下:

也就是题目代码要求能查找到的内容

访问一下,没什么问题

构造 payload:

pen=data://text/plain,Aura&challenge=http://jasmineaura.github.io@服务器ip地址/1.txt&gift=php://filter/read=convert.base64-encode/resource=flag.php

读取 flag.php 成功 

这个考点其实是 SSRF 了,我就说为什么传了 challenge=http://jasmineaura.github.io 请求耗时都变长了,因为它会去访问 http://jasmineaura.github.io 这个网站,所以现在也就更好理解前面说的 @ 截断的意思了,前面 http://jasmineaura.github.io@ 中的 jasmineaura.github.io 会被当做一个用户名信息,实际最后去访问的网站是我们服务器的ip地址,读取文件也就是我们写入的。

比如我们访问百度这个网站,我们可以这样输地址:

http://jasmineaura.github.io@baidu.com/

或者 

http://Myon@baidu.com/

回显出来的结果依旧是百度的页面 

在 URL 中,@ 符号前面的部分通常表示用户信息(例如用户名和密码),这种用法曾经用于需要在 URL 中嵌入用户名和密码的情况,但是由于安全原因,这种方式已逐渐被淘汰,现代浏览器大多不再支持直接从 URL 中提取用户名和密码进行身份验证。

BaseCTF-web-Week1 的题目讲解至此结束,希望看完对你学习 CTF 有帮助。

期待大家的关注与支持!

这篇关于BaseCTF-web-Week1的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1105986

相关文章

Java Web指的是什么

Java Web指的是使用Java技术进行Web开发的一种方式。Java在Web开发领域有着广泛的应用,主要通过Java EE(Enterprise Edition)平台来实现。  主要特点和技术包括: 1. Servlets和JSP:     Servlets 是Java编写的服务器端程序,用于处理客户端请求和生成动态网页内容。     JSP(JavaServer Pages)

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

EasyPlayer.js网页H5 Web js播放器能力合集

最近遇到一个需求,要求做一款播放器,发现能力上跟EasyPlayer.js基本一致,满足要求: 需求 功性能 分类 需求描述 功能 预览 分屏模式 单分屏(单屏/全屏) 多分屏(2*2) 多分屏(3*3) 多分屏(4*4) 播放控制 播放(单个或全部) 暂停(暂停时展示最后一帧画面) 停止(单个或全部) 声音控制(开关/音量调节) 主辅码流切换 辅助功能 屏

9.8javaweb项目总结

1.主界面用户信息显示 登录成功后,将用户信息存储在记录在 localStorage中,然后进入界面之前通过js来渲染主界面 存储用户信息 将用户信息渲染在主界面上,并且头像设置跳转,到个人资料界面 这里数据库中还没有设置相关信息 2.模糊查找 检测输入框是否有变更,有的话调用方法,进行查找 发送检测请求,然后接收的时候设置最多显示四个类似的搜索结果

JavaWeb【day09】--(Mybatis)

1. Mybatis基础操作 学习完mybatis入门后,我们继续学习mybatis基础操作。 1.1 需求 需求说明: 根据资料中提供的《tlias智能学习辅助系统》页面原型及需求,完成员工管理的需求开发。 通过分析以上的页面原型和需求,我们确定了功能列表: 查询 根据主键ID查询 条件查询 新增 更新 删除 根据主键ID删除 根据主键ID批量删除

利用Django框架快速构建Web应用:从零到上线

随着互联网的发展,Web应用的需求日益增长,而Django作为一个高级的Python Web框架,以其强大的功能和灵活的架构,成为了众多开发者的选择。本文将指导你如何从零开始使用Django框架构建一个简单的Web应用,并将其部署到线上,让世界看到你的作品。 Django简介 Django是由Adrian Holovaty和Simon Willison于2005年开发的一个开源框架,旨在简

web群集--nginx配置文件location匹配符的优先级顺序详解及验证

文章目录 前言优先级顺序优先级顺序(详解)1. 精确匹配(Exact Match)2. 正则表达式匹配(Regex Match)3. 前缀匹配(Prefix Match) 匹配规则的综合应用验证优先级 前言 location的作用 在 NGINX 中,location 指令用于定义如何处理特定的请求 URI。由于网站往往需要不同的处理方式来适应各种请求,NGINX 提供了多种匹

构建高性能WEB之HTTP首部优化

0x00 前言 在讨论浏览器优化之前,首先我们先分析下从客户端发起一个HTTP请求到用户接收到响应之间,都发生了什么?知己知彼,才能百战不殆。这也是作为一个WEB开发者,为什么一定要深入学习TCP/IP等网络知识。 0x01 到底发生什么了? 当用户发起一个HTTP请求时,首先客户端将与服务端之间建立TCP连接,成功建立连接后,服务端将对请求进行处理,并对客户端做出响应,响应内容一般包括响应

(javaweb)mysql---DDL

一.数据模型,数据库操作 1.二维表:有行有列 2. 3.客户端连接数据库,发送sql语句给DBMS(数据库管理系统),DBMS创建--以文件夹显示 二.表结构操作--创建 database和schema含义一样。 这样就显示出了之前的内容。

云原生之高性能web服务器学习(持续更新中)

高性能web服务器 1 Web服务器的基础介绍1.1 Web服务介绍1.1.1 Apache介绍1.1.2 Nginx-高性能的 Web 服务端 2 Nginx架构与安装2.1 Nginx概述2.1.1 Nginx 功能介绍2.1.2 基础特性2.1.3 Web 服务相关的功能 2.2 Nginx 架构和进程2.2.1 架构2.2.2 Ngnix进程结构 2.3 Nginx 模块介绍2.4