CTF论剑场web解题

2023-10-18 04:20
文章标签 web ctf 解题 论剑

本文主要是介绍CTF论剑场web解题,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

web1

分析代码,是Extract()函数引起的变量覆盖漏洞,搜索关于变量覆盖漏洞的知识。(一下是我参考的几篇文章)

https://blog.51cto.com/12332766/2120865 比较通俗易懂易懂,与题目类型相似
https://www.cnblogs.com/bmjoker/p/9025351.html 一系列关于变量覆盖漏洞的题目

在这里插入图片描述
刚开始得知出现flag的条件是a=c(php中$表示定义一个变量),逐步推上去,发现吧的值是ssADEsssss,所以在网址栏中使得a=ssADEsssss.
在这里插入图片描述
有一丝奇怪,看完题解后,换成"?a&b=ssADEsssss"
在这里插入图片描述
大佬给出的解释是“有b才会有c”,依旧钻牛角尖的我
尝试了:
a&b&c=ssADEsssss;
a&c=ssADEsssss;
a&b=s;
a&c=s;
这些都可以得出flag,而没有a的如:b&c=s就无法得出flag。
总结来讲,这段代码的实质是将a和c等值,从而得出flag。


web2

在这里插入图片描述
三秒之内。。。。手速没有那么快,而且每一次刷新都有新的式子出现,所以题目肯定不是为了让你死算。
参考大佬的博客,利用python脚本跑出flag

import re 
import requests
​
s = requests.Session()  
url = '题目的URL'
r = s.get(url)
r.encoding = 'utf-8' 
print(r.text)
num = re.findall(re.compile(r'<br/>\s+(.*?)</p>'), r.text)[0]  
print(num)
r = s.post(url, data={'result': eval(num)})      
print(r.text) 

在这里插入图片描述
看到这个题目让我想到了很久之前的bugku的一道web题,那道题比较简单,把最大长度改成答案长度,计算出答案输入就好了(计算比较简单)。


web3

在这里插入图片描述

在这里插入图片描述
看到页面的第一反应是文件上传题,先上传一个图片试试。
在这里插入图片描述
url:
在这里插入图片描述
尝试利用图片一句话木马做文件上传绕过:
在文件夹中建立三个文件:
1.普通的符合上传格式要求的图片
2.内容是cmd的bat文件
3.内容是一句话木马的PHP文件
在这里插入图片描述
打开a.bat文件进入dos命令,输入copy tu.png/b+25.php tu25.png文件夹中就形成了一个内含一句话木马的png图片。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
*注:不能直接用记事本打开后添加一句话木马,会造成文件损坏 *
打开蚁剑准备连接进行文件绕过,但是看到url跟上次做的文件上传题目格式不太一样,是我孤陋寡闻?尝试一下吧。
URL:http://http://123.206.31.85:10003/index.php?file=php://filter/read=convert.base64-decode/resource=uploads/tu25.png

在这里插入图片描述
上传失败,不知道是我URL有问题还是本来就不行。文件上传是一个挺重要的知识点,涵盖了很多东西,需要花很长时间去理解吸收。
看了大佬的writeup说,从URL看出是一道文件包含的题目
在这里插入图片描述

payload:http://123.206.31.85:10003/?op=php://filter/convert.base64-encode/resource=flag

web 4

在这里插入图片描述
在这里插入图片描述

知识点:sql注入——万能密码
账号:admin
密码:’ or ‘1’='1或’or 1=1#

原理:用户进行用户名和密码验证时,网站需要查询数据库。查询数据库就是执行SQL语句。
用户登录时,后台执行的数据库查询操作(SQL语句)是:
【Select user_id,user_type,email From users Where user_id=’用户名’ And password=’密码’】。
2.由于网站后台在进行数据库查询的时候没有对单引号进行过滤,当输入用户名【admin】和万能密码【2’or’1】时,执行的SQL语句为:
【Select user_id,user_type,email From users Where user_id=’admin’ And password=’2’or’1’】。
3.由于SQL语句中逻辑运算符具有优先级,【=】优先于【and】,【and】优先于【or】,且适用传递性。因此,此SQL语句在后台解析时,分成两句:
【Select user_id,user_type,email From users Where user_id=’admin’ And password=’2’】和【’1’】,两句bool值进行逻辑or运算,恒为TRUE。
SQL语句的查询结果为TRUE,就意味着认证成功,也可以登录到系统中。

输入用户名【admin】,密码【2’or’1】,即可登录成功。(加粗部分为切入点,其他随意填写)

username=' or ''='&password=' or ''=' 解析:select * from admin where username=''=''and password=''=''
即(username='')='' 等价于 null=null导致输出所有内容

一篇关于sql注入——万能密码的文章:https://cloud.tencent.com/developer/article/1076691


web 5

在这里插入图片描述
网址有点奇怪,跟别人题解中的网址也不一样。


web 6

在这里插入图片描述
刚开始使用万能密码尝试登录,之后发现需要本地登录。bp抓包之后改一下请求头。
在这里插入图片描述
send to repeater,左边添加红线框中的内容,go
在这里插入图片描述

X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。
在 Nginx 所处服务器上访问,无论直连还是走 Nginx 代理,Remote Address 都是 127.0.0.1
Remote Address是nginx与客户端进行TCP连接过程中,获得的客户端真实地址. 无法伪造

刚开始如果没有添加,go出来的是IP小方框小方框,而现在改变后变成了please try again。
尝试改密码,还是错误的。将response拖到最下面,发现了一串base64编码,解码得test123在这里插入图片描述
在这里插入图片描述
可能是密码吧,将pass改成test123,go
在这里插入图片描述


web 7

在这里插入图片描述
不管是随意登录还是注册之后在登录都是可以直接登录的,并且出现提示权限不够的界面。根据题目提示小饼干,想到了cookie,bp抓包一下,看cookie值
在这里插入图片描述
由图可知,u和r,应该对应的用户名和密码,字符串前面都是一样的,后面的数据不一样

u=351e766803 21232f297a57a5a743894a0e4a801fc3
r= 351e766803 d63c7ede8cb1e1c8db5e51c63fd47cff

将后面的字符串进行md5加密(https://www.somd5.com/)
在这里插入图片描述
在这里插入图片描述

cookie欺骗

cookie的欺骗是用户在登录的时候极为容易被他人获取权限,植入浏览器中,从而访问到后台。
先简要认识一下cookie,cookie机制是在浏览网页的时候,服务器将你的登录信息,浏览信息等发送给客户端并保存一定的时间。当你下一次访问这个网站的时候,就能读取上一次你的记录。例如自动登录等。很多的网站都是由cookie来辨认登录者的信息。它可以起到登录验证的作用,从而存在了漏洞,可以绕过验证直接登录到后台。

本文参考文章:
https://blog.csdn.net/godhhh/article/details/81335729 https://blog.csdn.net/paradise3011/article/details/82752347

这篇关于CTF论剑场web解题的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/230150

相关文章

手把手教你idea中创建一个javaweb(webapp)项目详细图文教程

《手把手教你idea中创建一个javaweb(webapp)项目详细图文教程》:本文主要介绍如何使用IntelliJIDEA创建一个Maven项目,并配置Tomcat服务器进行运行,过程包括创建... 1.启动idea2.创建项目模板点击项目-新建项目-选择maven,显示如下页面输入项目名称,选择

Java Web指的是什么

Java Web指的是使用Java技术进行Web开发的一种方式。Java在Web开发领域有着广泛的应用,主要通过Java EE(Enterprise Edition)平台来实现。  主要特点和技术包括: 1. Servlets和JSP:     Servlets 是Java编写的服务器端程序,用于处理客户端请求和生成动态网页内容。     JSP(JavaServer Pages)

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

EasyPlayer.js网页H5 Web js播放器能力合集

最近遇到一个需求,要求做一款播放器,发现能力上跟EasyPlayer.js基本一致,满足要求: 需求 功性能 分类 需求描述 功能 预览 分屏模式 单分屏(单屏/全屏) 多分屏(2*2) 多分屏(3*3) 多分屏(4*4) 播放控制 播放(单个或全部) 暂停(暂停时展示最后一帧画面) 停止(单个或全部) 声音控制(开关/音量调节) 主辅码流切换 辅助功能 屏

9.8javaweb项目总结

1.主界面用户信息显示 登录成功后,将用户信息存储在记录在 localStorage中,然后进入界面之前通过js来渲染主界面 存储用户信息 将用户信息渲染在主界面上,并且头像设置跳转,到个人资料界面 这里数据库中还没有设置相关信息 2.模糊查找 检测输入框是否有变更,有的话调用方法,进行查找 发送检测请求,然后接收的时候设置最多显示四个类似的搜索结果

JavaWeb【day09】--(Mybatis)

1. Mybatis基础操作 学习完mybatis入门后,我们继续学习mybatis基础操作。 1.1 需求 需求说明: 根据资料中提供的《tlias智能学习辅助系统》页面原型及需求,完成员工管理的需求开发。 通过分析以上的页面原型和需求,我们确定了功能列表: 查询 根据主键ID查询 条件查询 新增 更新 删除 根据主键ID删除 根据主键ID批量删除

利用Django框架快速构建Web应用:从零到上线

随着互联网的发展,Web应用的需求日益增长,而Django作为一个高级的Python Web框架,以其强大的功能和灵活的架构,成为了众多开发者的选择。本文将指导你如何从零开始使用Django框架构建一个简单的Web应用,并将其部署到线上,让世界看到你的作品。 Django简介 Django是由Adrian Holovaty和Simon Willison于2005年开发的一个开源框架,旨在简

web群集--nginx配置文件location匹配符的优先级顺序详解及验证

文章目录 前言优先级顺序优先级顺序(详解)1. 精确匹配(Exact Match)2. 正则表达式匹配(Regex Match)3. 前缀匹配(Prefix Match) 匹配规则的综合应用验证优先级 前言 location的作用 在 NGINX 中,location 指令用于定义如何处理特定的请求 URI。由于网站往往需要不同的处理方式来适应各种请求,NGINX 提供了多种匹

构建高性能WEB之HTTP首部优化

0x00 前言 在讨论浏览器优化之前,首先我们先分析下从客户端发起一个HTTP请求到用户接收到响应之间,都发生了什么?知己知彼,才能百战不殆。这也是作为一个WEB开发者,为什么一定要深入学习TCP/IP等网络知识。 0x01 到底发生什么了? 当用户发起一个HTTP请求时,首先客户端将与服务端之间建立TCP连接,成功建立连接后,服务端将对请求进行处理,并对客户端做出响应,响应内容一般包括响应

(javaweb)mysql---DDL

一.数据模型,数据库操作 1.二维表:有行有列 2. 3.客户端连接数据库,发送sql语句给DBMS(数据库管理系统),DBMS创建--以文件夹显示 二.表结构操作--创建 database和schema含义一样。 这样就显示出了之前的内容。