[BT]BUUCTF刷题第2天(3.20)

Bluetuan_aaa2024-03-21 7:02

第2天(共5题)

Web

[ACTF2020 新生赛]Exec

Payload:target=127.0.0.1;cat /flag
分号;在许多shell中用作命令分隔符,意味着在执行完前一个命令(这里是设置target变量)后,接着执行cat /flag命令。


[GXYCTF2019]Ping Ping Ping

Paayload:

bash 复制代码 
http://4caf85f2-dc7a-47ae-a50f-683bb207ece6.node5.buuoj.cn:81?ip=1;cat$IFS$9`ls`

反引号的「优先级」很高,会先执行反引号中的命令,而后在将执行的「结果」结果配合其他命令执行,也就是说,执行的语句时下面这样:
?ip=1;cat flag.php index.php

根据提示,是要在url后面加上/?ip=参数值来进行解题,这道题类似上道题都是需要执行多个命令获取flag,但是多了过滤。

初始Payload:?ip=1;ls

发现能够返回目录下的文件:flag.php index.php

加上访问文件:?ip=1;cat flag.php

发现网站过滤空格

绕过空格的几种方式:

  1. ${IFS}
  2. IFS9 $9可改成其他数字
  3. <
  4. <> 重定向符
  5. {cat,flag.php} 用逗号,实现了空格功能

本题中IFS9可行

绕过空格:?ip=1;cat$IFS$9flag.php

发现过滤flag字样

绕过flag的几种方式:

  1. 编码绕过关键词。
  2. 变量拼接绕过关键词。(?ip=1;b=ag;catIFS9fl$b.php)
  3. 反引号执行绕过关键词

以上三种方式均可以显示文件内容

flag藏在注释

[强网杯 2019]随便注

Payload:

sql 复制代码 
?inject=0';handler `1919810931114514` open;handler `1919810931114514` read first; -- a

使用0' or True -- a查询表中所有数据

0后面的`用于结束前面的SQL语句,True使查询语句为真,--是SQL里的注释,a为注释的一部分

源码过滤了select、update、delete、drop、insert、where等关键字,因此本题考点为堆叠注入(即通过分号将多条SQL语句一起执行)

初始Payload:

sql 复制代码 
?inject=0';show tables; -- a

这里直接查询所有表,发现了1919810931114514和word表,由于select被过滤了,show命令又不能查看表中的数据,因此需要使用「handler 命令」来查看表中的数据

添加查询表中数据的Payload:

sql 复制代码 
?inject=0';handler `1919810931114514` open;handler `1919810931114514` read first; -- a

注意表名用反引号括起

得到flag

[SUCTF 2019]EasySQL

Payload:
1;set sql_mod=PIPES_AS_CONCAT;select 1

SQL_MOD:是MySQL支持的基本语法、校验规则
其中设置PIPES_AS_CONCAT之后会将||认为字符串的连接符,而不是或运算符,这时||符号就像concat函数一样。

网站漏洞代码:

sql 复制代码 
select $_POST['query'] || flag from Flag;

使用1;set sql_mod=PIPES_AS_CONCAT;select 1后输出数据是1列和flag列的组合

其他Payload:
*,1

*代表所有列,逗号作为分割,1加上查询语句的|| flag会得到1这个值,然后语句会一起查询所有列和1列的数据并返回

[极客大挑战 2019]Secret File

Payload:
?file=php://filter/read=convert.base64-encode/resource=flag.php

这里可能是因为我加了Chrome的显示插件,所以我能直接看到下面的超链接文字(本来应该是看不到的,不过源代码中的<a id="master" href="./Archive_room.php"也能看出来),点击跳转至Archive_room.php

注意这里的源代码里面的超链接是<a id="master" href="./action.php",点击SECRET

发现结束但是没有找到flag,而且这个结束页面的链接是end.php,原本是action.php,说明可能有跳转,在Archive_room.php页面进行抓包发现注释

访问这个页面得到提示,说明访问flag.php可以得到flag,这段代码看似过滤file参数值,其实没什么用,直接?file=flag.php

提示找到了但没完全找到,考虑伪协议,将其改为?file=php://filter/read=convert.base64-encode/resource=flag.php

将得到的数据进行解码得到flag

相关推荐
wyiyiyi17 分钟前
【数据结构+算法】进栈顺序推算、卡特兰数与逆波兰表达式
汇编·数据结构·笔记·算法
久违 °24 分钟前
【安全开发】Nuclei源码分析-任务执行流程(三)
安全·网络安全·go
kpli9035 分钟前
OceanBase数据库SQL调优
数据库·sql·oceanbase
white-persist37 分钟前
汇编代码详细解释:汇编语言如何转化为对应的C语言,怎么转化为对应的C代码?
java·c语言·前端·网络·汇编·安全·网络安全
Larry_Yanan42 分钟前
QML学习笔记(五十二)QML与C++交互:数据转换——时间和日期
开发语言·c++·笔记·qt·学习·ui·交互
Koma-forever43 分钟前
Oracle SQL Developer设置打开表的时候如何是新窗口中打开
数据库·sql·oracle
TL滕1 小时前
从0开始学算法——第二天(时间、空间复杂度)
数据结构·笔记·学习·算法
kblj55551 小时前
学习Linux——网络基础管理
linux·网络·学习
天狗下凡1 小时前
【OpenGL学习】第1课: 概念与流程理解
学习
黑岚樱梦1 小时前
计算机网络第六章学习
学习·计算机网络
热门推荐
01GitHub 镜像站点02综合整理:pdf预览显示:你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以看其内容,如何解决以正常预览文件03UV安装并设置国内源04Linux下V2Ray安装配置指南05npm使用国内淘宝镜像的方法06安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)07《大数据技术原理与应用》实验报告三 熟悉HBase常用操作08NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南09BongoCat - 跨平台键盘猫动画工具10GitLab 零基础入门指南:从安装到项目管理全流程