BugkuCTF WEB

时间:2022-12-24 05:06:53
  • web2

BugkuCTF WEB

打开链接,一大堆表情

BugkuCTF WEB

查看源代码

BugkuCTF WEB

得到 flag

  • 文件上传测试

BugkuCTF WEB

打开链接

BugkuCTF WEB

选择 1 个 jpg 文件进行上传,用 burp 抓包改包

BugkuCTF WEB

将 php 改为 jpg,发包

BugkuCTF WEB

得到 flag

  • 计算器

BugkuCTF WEB

在方框中输入 28,但是只能输入 1 个数字

F12 查看一下元素

BugkuCTF WEB

这里的最长长度为 1,将它修改为 2,输入 28,点击验证

BugkuCTF WEB

得到 flag

  • web基础$_GET

BugkuCTF WEB

给参数 what 传值 flag

访问 http://120.24.86.145:8002/get/?what=flag

BugkuCTF WEB

得到 flag

web基础$_POST

BugkuCTF WEB

打开链接

BugkuCTF WEB

POST 方式传一个 值为 flag 的参数 what,就能得到 flag

BugkuCTF WEB

  • 矛盾

BugkuCTF WEB

is_numeric() 判断参数 num 是否是一个数字,如果不是数字,则输出 $num 的值,如果 $num 的值等于 1,输出 flag

可以用科学计数法来表示 1

构造 http://120.24.86.145:8002/get/index1.php?num=1*e*0.1

BugkuCTF WEB

得到 flag

  • web3

BugkuCTF WEB

打开链接

BugkuCTF WEB

一片空白,右键查看源代码

BugkuCTF WEB

解码一下

BugkuCTF WEB

得到 flag

  • sql 注入

BugkuCTF WEB

打开链接

BugkuCTF WEB

查询key表,id=1的string字段

加个单引号,没有什么变化,右键查看源代码

BugkuCTF WEB

用宽字节注入

BugkuCTF WEB

经查询,有 2 个字段数

查数据库,http://103.238.227.13:10083/?id=1%df%27%20union%20select%201,database()%23

BugkuCTF WEB

然后直接查询key表的string字段,http://103.238.227.13:10083/?id=1%df%27%20union%20select%201,string%20from%20sql5.key%20--%20

BugkuCTF WEB

得到 flag

  • 域名解析

BugkuCTF WEB

修改 /etc/hosts 文件

┌─[root@sch01ar]─[~]
└──╼ #vim /etc/hosts

添加一条 120.24.86.145 flag.bugku.com

BugkuCTF WEB

添加完后,打开 flag.bugku.com

BugkuCTF WEB

得到 flag

  • SQL注入1

BugkuCTF WEB

打开链接

//过滤sql
$array = array('table','union','and','or','load_file','create','delete','select','update','sleep','alter','drop','truncate','from','max','min','order','limit');
foreach ($array as $value)
{
if (substr_count($id, $value) > 0)
{
exit('包含敏感关键字!'.$value);
}
} //xss过滤
$id = strip_tags($id); $query = "SELECT * FROM temp WHERE id={$id} LIMIT 1";

用 %00 绕过过滤,http://103.238.227.13:10087/?id=-1%20un%00ion%20se%00lect%201,database()

BugkuCTF WEB

然后直接查 key 表下的 id=1 的hash 字段,http://103.238.227.13:10087/?id=-1%20un%00ion%20se%00lect%201,hash%20fr%00om%20sql3.key

BugkuCTF WEB

得到 flag

也可以利用代码中 xss 过滤来绕过

构造:http://103.238.227.13:10087/?id=-1 u<a>nion sel<a>ect 1,hash fr<a>om .key

  • 你必须让他停下

打开链接,链接会一直刷新

BugkuCTF WEB

当图片为 10.jpg 的时候,会出现图片

BugkuCTF WEB

用 burp 查看返回包

当图片为 10.jpg 的时候,会出现 flag,不一定每次都出现

BugkuCTF WEB

得到 flag

  • 变量1

BugkuCTF WEB

var_dump() 打印该参数,用全局变量 GLOBALS 可以打印出全部变量的值

BugkuCTF WEB

得到 flag

  • web5

BugkuCTF WEB

右键查看源代码

BugkuCTF WEB

右键查看元素,把这些字符复制到控制台,回车

BugkuCTF WEB

全为大写就是 flag 了

  • 头等舱

BugkuCTF WEB

什么都没有,查看源码也没有,抓包看看

直接发包

BugkuCTF WEB

在返回包中得到 flag

  • 网站被黑

BugkuCTF WEB

打开链接是一个黑页,题目是网站被黑,可能存在后门

猜了一个 1.php 不对,又猜了一个 shell.php
BugkuCTF WEB

发现一个大马

猜了几个密码都没对,用 burp 爆破一下

BugkuCTF WEB

爆出了一个 hack,输入

BugkuCTF WEB

得到 flag

  • WEB4

BugkuCTF WEB

右键查看源代码

BugkuCTF WEB

被 url 编码的 js 代码

进行 url 解码

进行拼接得到,67d709b2b54aa2aa648cf6e87a7114f1

BugkuCTF WEB

输入,得到 flag

  • flag在index里

BugkuCTF WEB

点击

BugkuCTF WEB

可能存在文件包含,读一下 index.php 文件看看

http://120.24.86.145:8005/post/index.php?file=php://filter/read=convert.base64-encode/resource=index.php

读出一串 base64 密文,解密一下

BugkuCTF WEB

得到 flag

  • 输入密码查看flag

BugkuCTF WEB

用 burp 爆破

BugkuCTF WEB

爆出来了,查看返回包

BugkuCTF WEB

得到 flag

  • 点击一百万次

BugkuCTF WEB

要点击 1000000 次才能得到 flag

右键查看源代码

BugkuCTF WEB

如果 clicks >= 1000000,就会 POST 发送 clicks

BugkuCTF WEB

直接 POST clicks 的值为 1000000

BugkuCTF WEB

得到 flag

  • 备份是个好习惯

BugkuCTF WEB

试了一下 index.php~,404

再试了 index.php.bak

BugkuCTF WEB

下载下来

<?php
/**
* Created by PhpStorm.
* User: Norse
* Date: 2017/8/6
* Time: 20:22
*/ include_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'], '?');
$str = substr($str,1);
$str = str_replace('key','',$str);
parse_str($str);
echo md5($key1); echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){
echo $flag."取得flag";
}
?>

$_SERVER['REQUEST_URI'] 获取域名后面的值,包括“/”

$str = strstr($_SERVER['REQUEST_URI'], '?'); 为域名后的值,“?” 后的值,也就是参数,包括“?”

$str = substr($str,1);  为获取“?”后的值,不包括“?”

$str = str_replace('key','',$str); 如果有 key,把 key 替换成空,可以用 kekeyy 来绕过

parse_str() 函数会把查询字符串解析到变量中

如果 key1 和 key2 的 md5 值相等,且 key1 的值不等于 key2 的值,才会得到 flag

可以用数组来实现,因为 md5() 不能加密数组,所以会返回 null

index.php?kekeyy1[]=a&kekeyy2[]=b

BugkuCTF WEB

得到 flag