题目:
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4658&page=2
Writeup:
攻防世界-web-Cat(XCTF 4th-WHCTF-2017)_Sea_Sand息禅-CSDN博客
[CTF题目总结-web篇]攻防世界:Cat_T2hunz1-CSDN博客
知识点:
1.输入字符 get传递在网址中显示为%__ 为URL编码,URL编码中ascii字符的边界是%7F,输入大于此的%__可获得报错。
2.Django框架报错中可能存在数据库信息,找DATABASE
3.PHP通常使用cURL库与作为客户端与服务器通信,在cURL库的CURLOPT_POSTFILEDS选项中可以找到突破口,借此我们可以爆出数据库内容。GET传入@加文件路径,读取文件内容。
题目:
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=5434&page=2
Writeup:
攻防世界 web高手进阶区 9分题 favorite_number_闵行小鱼塘-CSDN博客
攻防世界favorite_number_yjj哈哈哈的博客-CSDN博客
知识点:
1.POST传递数组 stuff[0]=admin
2.PHP数组溢出漏洞:数组中键值为0的元素与键值为4294967296的元素是同一个
3.绕过黑名单:使用跨行绕过 %0a 后接命令
4.命令ls 目录 可看指定目录
5.Linux系统 存储文件或文件夹的区域为索引节点inode, ls -i 查看
6.用tac绕过cat黑名单,从最后一行开始显示
7.用inode查找并显示文件 tac `find / -inum ____` inode对应必须是文件!不能是文件夹!
题目:
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4685&page=2
Writeup:
攻防世界Lottery&彩票系统 - LEOGG - 博客园
攻防世界Web lottery_hhh-CSDN博客_攻防世界lottery
攻防世界Web 高手进阶区:Lottery_feng的博客-CSDN博客
知识点:
1.扫目录robots.txt,提示.git获取源码
2.PHP弱类型比较:==的比较形式为弱类型,两端类型不一致时,会自动转换为同类型再比较。PHP中,当转换为 boolean 时,以下值被认为是 FALSE :布尔值 FALSE、本身整型值 0(零)、浮点型值 0.0(零)、空字符串,以及字符串 “0”、不包括任何元素的数组(注意,一旦包含元素,就算包含的元素只是一个空数组,也是true)、不包括任何成员变量的对象(仅 PHP 4.0 适用)、特殊类型 NULL(包括尚未赋值的变量)、从空标记生成的 SimpleXML 对象、所有其它值都被认为是 TRUE (包括任何资源)。所以 ture==任何非零数字 返回true。
题目:
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4809&page=2
Writeup:
攻防世界-web:FlatScience - 顺时针--+ - 博客园
攻防世界web进阶区FlatScience详解 - 云+社区 - 腾讯云
知识点:
1.看源码提示<!-- TODO: Remove ?debug-Parameter! --> 添加debug参数
2.SQLite注入:
sqlite_master表中type/name/tbl_name/rootpage/sql记录着用户创建表时的相关信息
注入语句 1' union select 1,name from sqlite_master --+ //查询表名
1' union select 1,group_concat(sql) from sqlite_master --+ //查询建表时语句
3.sha1密文难以解密,根据提示,密文为文章中单词+Salz后进行sha1加密,解密方法为爬取所有文章中单词,依此+Salz后加密,判断是否与users表中admin对应加密后密码一致,枚举得到答案。
题目:
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4921&page=2
Writeup:
XCTF-ics-07(floatval函数特性+Linux目录结构特性) - Hel10 - 博客园
攻防世界 ics-07 题_H9_dawn的博客-CSDN博客
知识点:
1. SESSION无法伪造,必须根据代码流程改变SESSION的值。
2. floatval()函数将变量转换为浮点数,遇到字符时停止截取,返回值是一个数字。
PHP中 !== 意为不全等,即类型不同或值不同均true;!=意为不等,即类型转换后值不同为true,类型不同转换值相等为false,如$a=1,$b=‘1’,$a != $b不成立但是$a !== $b成立。题目中:
if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9')floatval函数返回为数字,与'1'永远是满足 !== 所以只需考虑如何满足最后一位为9并正常查询id即可。因为sql查询语句中传入变量中碰见字符也会停止截取(好像是),所以此处传入1-9满足if,1和9之间有字符即可。
3.上传文件,绕过正则匹配。通常用1.php/.
preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)
4.chdir更改了代码执行目录,访问时要访问此目录下的代码指定的目录。
5.POST上传一句话木马时,<?php,?>与代码之间要有空格!
题目:
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4683&page=2
Writeup:
攻防世界-web-Confusion1(python模板注入SSTI、沙箱逃逸) - zhengna - 博客园
知识点:
1.根据提示得知网页搭建有python参与,优先考虑SSTI漏洞,尝试{{7*7}},看返回结果判断。
2.运用常用模板注入被过滤,尝试request。
原payload:(使用<type 'file'>引用读取文件)
{{''.__class__.__mro__[2].__subclasses__()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt').read()}}request payload:
{{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read即把各方法传给a,b,c,d,并用request调用。
题目:
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4768&page=2
Writeup:
攻防世界:web Bug_Zeker62的博客-CSDN博客
知识点:
1.登陆页面渗透,尝试找回密码,重置密码,抓取数据包分析,更改或获取管理员密码。
2.登陆后的请求数据头中,可能包含md5形式的加密认证字符串,可能为UID与用户名的组合,如UID:username.
3.XFF头绕过:127.0.0.1(最简单,不要想太多……
4.看见filemanager,估计与文件上传有关,upload
5.上传木马时,如果对内容进行php检测,使用
<script language="php">alert(@eval($_POST['cmd']))</script>文件名改为php4