SycSec成都信息工程大学2019CTF-前五道WEB题writeup

一、WEB

(1)一起来撸猫

flag藏在标签的注释内  <!--这是注释-->

(2)你看见过我的菜刀么

eval漏洞 利用蚁剑连接 连接密码就是要post传的参数

连接成功后在网站根目录发现了flag

(3)BurpSuiiiiiit!!!

附件下载地址：链接：https://share.weiyun.com/5WD42Vt 密码：zp5sy9 备用链接:http://geek.sycsec.com:44444/static/file/Burp.zip

下载后发现压缩包内是一个Extender.jar文件 利用BurpSuit的extender模块导入这个jar文件 发现flag

(4)性感潇文清，在线算卦：动作快点才能算到好卦。

F12发现关键信息 利用条件竞争解题

<!--$savepath = "uploads/" . sha1($_SERVER['REMOTE_ADDR']) . "/";
    if (!is_dir($savepath)) {
        $oldmask = umask(0);
        mkdir($savepath);
        umask($oldmask);
    }
    if ((@$_GET['u']) && (@$_GET['p'])) {
        $content = '***************';
        file_put_contents("$savepath" . sha1($_GET['u']), $content);
        $msg = 'Ding!你的算卦结果就在这儿啦！ ' . $savepath . htmlspecialchars(sha1($_GET['u'])) . "";
        echo $msg;
        usleep(100000);
        @$content = "you are too slow";
        file_put_contents("$savepath" . sha1($_GET['u']), $content);
    }

试试条件竞争吧？
-->

提交admin admin测试  发现uploads/*** 这个地址可以直接访问 告诉我们太慢了

而且uploads/后面的***会根据提交的不同的u和p参数而变化 所以我们这里就提交相同u和p参数保证uploads/***不变

利用Burpsuit不断提交表单攻击服务器

配置一下攻击类型 选择Sniper （狙击手） 使用单一的Payload组。对每个设置标记的参数分别进行爆破，攻击请求规模为标记数量与Payload数量的乘积

Sniper模式只用一个单一的payload组，所以我构造了一个数行都是admin的txt字典 导入即可      开始攻击吧

既然不断提交表单攻击我们做到了，随后就要不断访问upload/***这个地址 看看它有什么特殊的输出 这里利用python编写脚本

import requests
url = "http://148.70.59.198:42534/uploads/68f70768da4697f43a2978c5e8864065ee0d8e07/d033e22ae348aeb5660fc2140aec35850c4da997"
while 1:
  r = requests.get(url)
  print(r.text)

发现flag

(5)Easysql: 最近我做了一个小网站，我把flag放在里面了，不过我没有把登陆密码告诉任何人，所以你们是拿不到flag的！

SQL注入即可 也可以使用简单的万能密码： admin/admin'||'1