• web2

打开链接,一大堆表情

查看源代码

得到 flag

  • 文件上传测试

打开链接

选择 1 个 jpg 文件进行上传,用 burp 抓包改包

将 php 改为 jpg,发包

得到 flag

  • 计算器

在方框中输入 28,但是只能输入 1 个数字

F12 查看一下元素

这里的最长长度为 1,将它修改为 2,输入 28,点击验证

得到 flag

  • web基础$_GET

给参数 what 传值 flag

访问 http://120.24.86.145:8002/get/?what=flag

得到 flag

web基础$_POST

打开链接

POST 方式传一个 值为 flag 的参数 what,就能得到 flag

  • 矛盾

is_numeric() 判断参数 num 是否是一个数字,如果不是数字,则输出 $num 的值,如果 $num 的值等于 1,输出 flag

可以用科学计数法来表示 1

构造 http://120.24.86.145:8002/get/index1.php?num=1*e*0.1

得到 flag

  • web3

打开链接

一片空白,右键查看源代码

解码一下

得到 flag

  • sql 注入

打开链接

查询key表,id=1的string字段

加个单引号,没有什么变化,右键查看源代码

用宽字节注入

经查询,有 2 个字段数

查数据库,http://103.238.227.13:10083/?id=1%df%27%20union%20select%201,database()%23

然后直接查询key表的string字段,http://103.238.227.13:10083/?id=1%df%27%20union%20select%201,string%20from%20sql5.key%20--%20

得到 flag

  • 域名解析

修改 /etc/hosts 文件

┌─[root@sch01ar]─[~]
└──╼ #vim /etc/hosts

添加一条 120.24.86.145 flag.bugku.com

添加完后,打开 flag.bugku.com

得到 flag

  • SQL注入1

打开链接

//过滤sql
$array = array('table','union','and','or','load_file','create','delete','select','update','sleep','alter','drop','truncate','from','max','min','order','limit');
foreach ($array as $value)
{
if (substr_count($id, $value) > 0)
{
exit('包含敏感关键字!'.$value);
}
} //xss过滤
$id = strip_tags($id); $query = "SELECT * FROM temp WHERE id={$id} LIMIT 1";

用 %00 绕过过滤,http://103.238.227.13:10087/?id=-1%20un%00ion%20se%00lect%201,database()

然后直接查 key 表下的 id=1 的hash 字段,http://103.238.227.13:10087/?id=-1%20un%00ion%20se%00lect%201,hash%20fr%00om%20sql3.key

得到 flag

也可以利用代码中 xss 过滤来绕过

构造:http://103.238.227.13:10087/?id=-1 u<a>nion sel<a>ect 1,hash fr<a>om .key

  • 你必须让他停下

打开链接,链接会一直刷新

当图片为 10.jpg 的时候,会出现图片

用 burp 查看返回包

当图片为 10.jpg 的时候,会出现 flag,不一定每次都出现

得到 flag

  • 变量1

var_dump() 打印该参数,用全局变量 GLOBALS 可以打印出全部变量的值

得到 flag

  • web5

右键查看源代码

右键查看元素,把这些字符复制到控制台,回车

全为大写就是 flag 了

  • 头等舱

什么都没有,查看源码也没有,抓包看看

直接发包

在返回包中得到 flag

  • 网站被黑

打开链接是一个黑页,题目是网站被黑,可能存在后门

猜了一个 1.php 不对,又猜了一个 shell.php

发现一个大马

猜了几个密码都没对,用 burp 爆破一下

爆出了一个 hack,输入

得到 flag

  • WEB4

右键查看源代码

被 url 编码的 js 代码

进行 url 解码

进行拼接得到,67d709b2b54aa2aa648cf6e87a7114f1

输入,得到 flag

  • flag在index里

点击

可能存在文件包含,读一下 index.php 文件看看

http://120.24.86.145:8005/post/index.php?file=php://filter/read=convert.base64-encode/resource=index.php

读出一串 base64 密文,解密一下

得到 flag

  • 输入密码查看flag

用 burp 爆破

爆出来了,查看返回包

得到 flag

  • 点击一百万次

要点击 1000000 次才能得到 flag

右键查看源代码

如果 clicks >= 1000000,就会 POST 发送 clicks

直接 POST clicks 的值为 1000000

得到 flag

  • 备份是个好习惯

试了一下 index.php~,404

再试了 index.php.bak

下载下来

<?php
/**
* Created by PhpStorm.
* User: Norse
* Date: 2017/8/6
* Time: 20:22
*/ include_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'], '?');
$str = substr($str,1);
$str = str_replace('key','',$str);
parse_str($str);
echo md5($key1); echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){
echo $flag."取得flag";
}
?>

$_SERVER['REQUEST_URI'] 获取域名后面的值,包括“/”

$str = strstr($_SERVER['REQUEST_URI'], '?'); 为域名后的值,“?” 后的值,也就是参数,包括“?”

$str = substr($str,1);  为获取“?”后的值,不包括“?”

$str = str_replace('key','',$str); 如果有 key,把 key 替换成空,可以用 kekeyy 来绕过

parse_str() 函数会把查询字符串解析到变量中

如果 key1 和 key2 的 md5 值相等,且 key1 的值不等于 key2 的值,才会得到 flag

可以用数组来实现,因为 md5() 不能加密数组,所以会返回 null

index.php?kekeyy1[]=a&kekeyy2[]=b

得到 flag

BugkuCTF WEB的更多相关文章

  1. BugkuCTF web基础$_POST

    前言 写了这么久的web题,算是把它基础部分都刷完了一遍,以下的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每道题的题解都以单独一篇文章的形式发表,感谢大家一直以来的支持和理 ...

  2. BugkuCTF web基础$_GET

    前言 写了这么久的web题,算是把它基础部分都刷完了一遍,以下的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每道题的题解都以单独一篇文章的形式发表,感谢大家一直以来的支持和理 ...

  3. bugkuctf web区 sql2

    来了!终于做出来(虽然是在大佬帮助下,提前感谢大佬) 在看wp之后发现这是一道典型的.DS_Store源码泄露,其他类型的web源码泄露:https://www.secpulse.com/archiv ...

  4. bugkuctf web区 多次

    首先看到以下url : 发现这是一个基于布尔类型的盲注. true: false: 根据这两种类型可以进行注入.废话不多说,直接进行尝试. 构造 url = index.php?id=1' or 1= ...

  5. BugkuCTF 你必须让他停下

    前言 写了这么久的web题,算是把它基础部分都刷完了一遍,以下的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每道题的题解都以单独一篇文章的形式发表,感谢大家一直以来的支持和理 ...

  6. BugkuCTF SQL注入1

    前言 写了这么久的web题,算是把它基础部分都刷完了一遍,以下的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每道题的题解都以单独一篇文章的形式发表,感谢大家一直以来的支持和理 ...

  7. BugkuCTF 域名解析

    前言 写了这么久的web题,算是把它基础部分都刷完了一遍,以下的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每道题的题解都以单独一篇文章的形式发表,感谢大家一直以来的支持和理 ...

  8. BugkuCTF sql注入

    前言 写了这么久的web题,算是把它基础部分都刷完了一遍,以下的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每道题的题解都以单独一篇文章的形式发表,感谢大家一直以来的支持和理 ...

  9. BugkuCTF web3

    前言 写了这么久的web题,算是把它基础部分都刷完了一遍,以下的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每道题的题解都以单独一篇文章的形式发表,感谢大家一直以来的支持和理 ...

随机推荐

  1. android开发环境:使用Android Studio搭建Android集成开发环境(图文教程)

    开发环境情况: 物理机版本:Win 7旗舰版(64位) Java SDK版本:jdk1.8.0_25(64位) Android SDK版本:Android 7.1(API 25) Android St ...

  2. appium自动化测试(五)

    1. 页面封装——理性判断 2. basepage——定位表达式的判断——要加上移动端的,加上上下左右滑动封装.toast可以封装.webview切换操作 3. 页面当中,所有元素定位——更换——移动 ...

  3. git网站

    https://backlog.com/git-tutorial/cn/   ------------------------------------------------------------- ...

  4. 使用MouseWithoutBordersSetup共享鼠标键盘教程

    1.下载MouseWithoutBordersSetup软件 2.需要共享鼠标键盘的电脑都要安装[注:这些电脑在同一个局域网] 3.运行软件后,图标上右键—>Settings 注意大红框的地方, ...

  5. IDL语言开发规范

    一.支持的类型 1.IDL支持常见的基本类型,常量,枚举,容器,结构体,服务.不支持多态和重载,参数.返回值不能为空,各个基本类型的标识如下: bool:对应java的boolean,布尔类型(tru ...

  6. Spring:org.springframework.beans.factory.CannotLoadBeanClassException: Cannot find class

    很长时间没有使用Spring,Hibernate,Struts2等一些框架了,现在使用起来还是有点陌生,今天刚弄就在Tomcat在启动的时候是报的这个错误: org.springframework.b ...

  7. android官网被封掉了,只好用这个网站进谷歌了!嘎嘎

         http://developer.android.com/sdk/index.html    这个可以进去,但是必须是搜狐 .360,uc都不用特意FQ     http://173.1 ...

  8. 转: Photon 3.4 Changed Logs ..

    最新版了.修了很多bug. Photon 3.4 http://doc.exitgames.com/en/onpremise/current/reference/version-history/pho ...

  9. opencv 识别答题卡

    参考这个网站,然后自己 找了张图片试了一下 http://blog.csdn.net/cp562090732/article/details/47804003 // test.cpp : 定义控制台应 ...

  10. Unity3D开发之Matrix4x4矩阵变换

    在Unity开发中时常会用到Matrix4x4矩阵来变换场景中对象的位置.旋转和缩放.但是很多人都不太理解这儿Matrix4x4变换矩阵.通过DX中的变换矩阵我来讲一讲在unity中这个变换矩阵是怎么 ...