ctf之WEB练习一 - 渗透测试中心
2021-12-15 17:40:08 Author: www.cnblogs.com(查看原文) 阅读量:22 收藏

一、查找备份文件

1.通过https://github.com/maurosoria/dirsearch进行目录扫描

2.最终获得index.php.bk备份文件,然后下载下来查看源码,即可获得flag

flag为:Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}

二、隐藏在cookie中的flag

1.通过抓包工具对IP访问进行抓取http头部信息,发现cookie中包含信息:

Cookie: look-here=cookie.php

2.然后访问网址:http://220.249.52.133:41440/cookie.php,显示文字提示See the http response,说明flag有可能在响应包中

4.最终flag为:cyberpeace{71de0ba3c98781d7f78c4af6e5b684be}

三、隐藏在按钮下的flag

1.打开网址,http://220.249.52.133:52359/,发现按钮灰色,提示不能使用,这时候通过f12进行元素审核

2.删除 disabled="" ,然后点击按钮即可获得flag

3.最终flag为:cyberpeace{e61ed8f7f37f036a89f6d3c5622bb8e9}

四、弱密码获得flag

1.打开网址:

2.输入用户名admin,123456,即可登录到系统,并获得flag

3.最终flag为:cyberpeace{a136364c15e239b4f32b99d2d23e42ce}

三、简单的文件包含审计获得flag

<?php
show_source(__FILE__);
include("config.php");
$a[email protected]$_GET['a'];
$b[email protected]$_GET['b'];
if($a==and $a){
    echo $flag1;
}
if(is_numeric($b)){
    exit();
}
if($b>1234){
    echo $flag2;
}
?>

这段php代码的意思是,通过get方法得到a和b的值,然后如果$a==0 并且$a为真,得到flag1,如果b是整数或者数字字符串,就退出,然后如果$b>1234就得到flag2.

基础知识:(掌握php弱类型比较)

php中其中两种比较符号:
==:先将字符串类型转化成相同,再比较
===:先判断两种字符串的类型是否相等,再比较
字符串和数字比较使用==时,字符串会先转换为数字类型再比较
var_dump('a' == 0);//true,此时a字符串类型转化成数字,因为a字符串开头中没有找到数字,所以转换为0
var_dump('123a' == 123);//true,这里'123a'会被转换为123
var_dump('a123' == 123);//false,因为php中有这样一个规定:字符串的开始部分决定了它的值,如果该字符串以合法的数字开始,则使用该数字至和它连续的最后一个数字结束,否则其比较时整体值为0。
var_dump('root' == 0);
var_dump('22r22oot' == 22);  //true,先将字符串22r22oot转化成和0同等类型即数字型,因为字符串开始有合法数值,则取其连续的合法数值22,r后面的22因为与开始的合法数值不连续,所以不取它的值,22==22,所以成立。
var_dump('root22' == 0);  
var_dump('0e170' == '0e180');
var_dump(0 === 'root');
var_dump ("0e830400451993494058024219903391" == "0e830400451993494058024219904444");

字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值为0

1.打开页面,进行代码审计,发现同时满足 $a==0 和 $a 时,显示flag1。

2.php中的弱类型比较会使’abc’ == 0为真,所以输入a=c时,可得到flag1,如图所示。(abc可换成任意字符)。

http://220.249.52.133:53517/index.php?a=abc

3.is_numeric() 函数会判断如果是数字和数字字符串则返回 TRUE,否则返回 FALSE,且php中弱类型比较时,会使(‘1234a’ == 1234)为真,所以当输入a=abc&b=1235a,可得到flag2,如图所示。

入a=abc&b=1235a,可得到flag2,如图所示。

http://220.249.52.133:53517/index.php?a=abc&b=12345f


四、post与get方式的flag

1.构造get方式访问

http://220.249.52.133:48752/index.php?a=1

2.然后按照页面提示,通过firefox中插件hackbar提交post数据,b=2,即可获得flag

五、http头部伪绕过限制访问获得flag

基础知识:

xff是告诉服务器当前请求者的最终ip的http请求头字段
通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip

referer就是告诉服务器当前访问者是从哪个url地址跳转到自己的,跟xff一样,referer也可直接修改

1.打开网址http://220.249.52.133:54968/,提示必须是源ip为123.123.123.123才能访问

2.通过抓包,在http头部添加xff伪造请求头,X-Forwarded-For: 123.123.123.123,然后访问,发现响应页面中包含,需要请求头为必须来自https://www.google.com访问,这里需要添加上,referer: https://www.google.com,然后访问可获得flag

最终获得flag:

cyberpeace{f116fe3f881eef96edaaf3159a3131f8}

六、远程命令执行获取flag

基础知识:

 windows或linux下:

    command1 && command2 先执行command1,如果为真,再执行command2。

 command1 | command2 只执行command2。

 command1 & command2 先执行command2后执行command1。

 command1 || command2 先执行command1,如果为假,再执行command2

1.输入IP地址,这里最好127.0.0.1,如果出现回显,则存在命令执行

2.通过在后门加上命令:127.0.0.1|  find   /  -name    flag.txt  的文件目录,其目录为:/home/flag.txt

3.使用命令127.0.0.1| cat /home/flag.txt,查看flag.txt的flag

最终获得flag:

cyberpeace{400f6c86f9dd25994afb930d13cc28b8}

JS代码获得flag

进入环境后我们遇到了输入密码,于是我们随便输入一个密码,点击确定

进行代码审计,发现不论输入什么都会跳到假密码,真密码位于 fromCharCode

执行流程:

一、首先定义了一个dechiffre函数,咱先不管,因为还没有调用

注:先将\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30十六进制数转换成字符串,python下print即可,或网址:https://www.bejson.com/convert/ox2str/

输出结果55,56,54,79,115,69,114,116,107,49,50

二、执行String["fromCharCode"](dechiffre("55,56,54,79,115,69,114,116,107,49,50

"));

三、调用了dechiffre,执行dechiffre函数

String["fromCharCode"](dechiffre("55,56,54,79,115,69,114,116,107,49,50

"));

(1)先将"55,56,54,79,115,69,114,116,107,49,50

"带入dechiffre函数执行,即dechiffre(pass_enc)=dechiffre("55,56,54,79,115,69,114,116,107,49,50

")

(2)接着我们看到了pass变量,暂时先放着

(3)因为pass_enc="55,56,54,79,115,69,114,116,107,49,50"

将pass_enc字符串分割成字符串数组,赋值给tab参数,所以:

tab=[55,56,54,79,115,69,114,116,107,49,50]   注:tab此时是字符串数组!!!

(3)随后也对pass分割

tab2=[70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65]

(4)变量赋值代码分析:var i,j,k,l=0,m,n,o,p = "";i = 0;j = tab.length;

一开始i,j,k,m,n,o,没有赋值,为undefined,其它参数l=0,p="",后来i被赋值=0,j被赋值为11

(5)第九行此时n被赋值为0,所以k=11+0+0,最后等于11    注:这里的(l)其中是英文字母l,不是数字1

(6)第十行中,n=18

(7)第一个for循环,精简一下代码:

for(i = 0; i < (18); i++ )

{o = tab[i-l];p += String.fromCharCode((o = tab2[i]));

    if(i == 5)break;}

解释:前面的o=tab[i-1]是无用的,因为后面会被o=tab2[i]的值重新覆盖

第一次循环:o=tab[0];p=p+String.fromCharCode((o = tab2[0])

=>o=70;p=""+String.fromCharCode(70)=>p=英文字母F

第二次...

第三次...

第四次...

第五次...

所以,这个for循环,最后的p为(尽管没有输出出来,这里我们知道就好)FAUX P

(8)第二个for循环,精简一下代码:

for(i = 0; i < 18; i++ ){

o = tab[i-l];

    if(i > 5 && i < 17)

        p += String.fromCharCode((o = tab2[i]));

}

解释:这里的for循环和上面的差不多,注意这里的p值由于第一次for循环执行后现在已经是FAUX P了

加上第一次for循环的p值,最后的p为FAUX PASSWORD HAH

(9)p += String.fromCharCode(tab2[17]);

因为tab2=[70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65]

所以:p=FAUX PASSWORD HAH + A

因此,最后的p为FAUX PASSWORD HAHA

(10)pass = p;return pass;

 即 pass = FAUX PASSWORD HAHA;return FAUX PASSWORD HAHA;

 最后函数输出为FAUX PASSWORD HAHA

三、dechiffre函数执行完成后,继续执行其它的代码

h = window.prompt('Enter password');

    alert( dechiffre(h) );

h=你输入弹框内的内容

之后alert弹出dechiffre(h)的值,由前面所有的代码可知,代码里p的值与tab无关,因为最终都会被tab2的值替代,所以我们无论输入什么,也就是pass_enc=h,无论输入的这个h等于什么,不管tab能否被分割成字符串数组,是否存在,都只会利用到tab2。通俗点讲,有关tab的参数与值都可以视为没有,因此,pass_enc参数是什么也就没有意义了

四、最后,结论就是,无论我们在弹框中输入什么值,都只会返回FAUX PASSWORD HAHA

我就猜想,会不会String["fromCharCode"](dechiffre("\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"));这个语法错误,并且没有没计算出来的是不是最后正确的值,也就是flag~

于是,我不用它这么无论pass_enc参数输入什么都显示FAUX PASSWORD HAHA的函数,咱也抛弃它一回,自己重新写代码执行它

<!DOCTYPE html>

<html>

<head>

<meta charset="utf-8">

</head>

<body>

<script>

    var n=String.fromCharCode(55,56,54,79,115,69,114,116,107,49,50);

    document.write(n);

</script>

</body>

</html>

最后结果为:786OsErtk12

通过python脚本将十六进制转成asic编码

a = [55,56,54,79,115,69,114,116,107,49,50]
c = ""
for i in a:
    b = chr(i)
    c = c + b
print(c)

最终获得flag:Cyberpeace{786OsErtk12}

一、文件包含(修改全局变量)

题目:

<?php
include "flag.php";
$a = @$_REQUEST['hello'];
if(!preg_match('/^\w*$/',$a )){
  die('ERROR');
}
eval("var_dump($$a);");
show_source(__FILE__);
?>

writeup:

代码分析:

include "flag.php";
$a = @$_REQUEST['hello'];
if(!preg_match('/^\w*$/',$a )){//正则表达式^匹配一行的开头,$表示结束。\w表示匹配包括下划线的任何单词字符,等价于'[A-Za-z0-9_]'。*号:匹配前面的子表达式零次或多次。
  die('ERROR');
}
eval("var_dump($$a);");//var_dump — 打印变量的相关信息
show_source(__FILE__);//__FILE__当前运行文件的完整路径和文件名。
?>

这个代码的作用是如果匹配正则表达式/^\w*$/,就打印变量$$a
$a是hello,$$a是六位变量$hello
由于$a在函数中,所以函数之外无法访问。如果要访问,将hello修改为超全局变量GLOBALS。
在URL后加?hello=GLOBALS,将参数hello修改为Globals
实际执行语句:

eval("var_dump($$a);")--->eval("var_dump($hello);")--->eval("var_dump($GLOBALS);")

$GLOBALS的作用:引用全局作用域中可用的全部变量。
这样就会打印出当前定义的所有变量,也包括 include 的文件中的变量,flag 也存在在这些变量中。

2.我们通过URL进行传参

http://a7a380bd2f5c4ae3add25a7a518afc17fba46d89981f45fd.changame.ichunqiu.com/index.php?hello=GLOBALS

最终得到flag:

flag{146918ba-01c6-47a3-bc16-0761da476df8}


文章来源: http://www.cnblogs.com/backlion/p/15693620.html
如有侵权请联系:admin#unsafe.sh