WEB1 比較數字大小
看一下源代碼:發現 輸入的值只能為3 那么就改大一點吧
得到flag
WEb2
首先先看一下那個代碼吧
發現是一個strcmp 函數 只需要傳遞一個password 過去那么構造為 password[]=abc就可以繞過了
本地誘惑
點進去看了一下
首先還是看一下源代碼
發現了flag
你能跨過去嗎?
首先進行URL解碼 去除不必要的字符,截取一段base64解碼獲得:alert("key:/%nsfocusXSStest%/")<
將key填入后提交獲得flag
一切都是套路
看到提示了。好像有個文件忘記刪了
請ping我的ip 看你能Ping通嗎?
看了一下是一個命令執行
Please give me username and password!
繼續更新
昨天是打紅帽杯耽誤了,紅帽杯線下的AWD 實在是大佬太多了!!!!!!!!
然后沒時間去寫WP ,就叫老虎發了一份給我。下面的這些是china.H.L.B 的WP 發給大家看看吧
你能繞過嗎?
隨便點一個,如下圖所示;
把id=2,修改成6668952,如下圖所示;
發現id后沒有過濾,所以嘗試文件包含漏洞,讀取包含flag的文件,如下圖所示;
這個是base64的弄到一個頁面
web02
題目鏈接中文字中有本機鏈接,所以抓包修改http請求頭,如下圖所示;
Client-IP:127.0.0.1
點擊Intercept is on 放包,如下圖所示;
查看網頁,如下圖所示;
SQL注入的藝術
點擊個人信息,如下圖所示;
把鏈接放入sqlmap,嘗試注入,如下圖所示;
發現是寬字符注入並且提示有WAF,所以更嘗試繞過WAF,如下圖所示;
sqlmap -u “http://118.190.152.202:8015/index.php?id=1“ —tamper unmagicquotes.py —batch -v 3 —level 3 –dump
試試看
打開鏈接,如下圖所示;
在img=的地方,測試是否有文件包含漏洞,如下所示;
發現有文件包含漏洞,如圖形所示;
A. payload,如圖下所示;
B. 證明存在的文件包含漏洞,如圖下所示;
(4) 構造payload,如圖下所示;
(5) 打開網頁后是空白,如圖下所示;
(6) 打開網頁源碼,如圖下所示;
Collide
打開鏈接發現是代碼審計題目,如下圖所示;
(2) 審計源碼后,使用HashPump攻擊;
(3) 安裝HashPump;
A.方法一:
git clone https://github.com/bwall/HashPump.git
apt-get install g++ libssl-dev
cd HashPump
make
make install
B.方法二:
pip install hashpumpy
(4) 運行HashPump並且將x替換成%后用hacbar urldecode,如下圖所示;
(5) 運行hackbar,如下圖所示;
(6) 用burp截包改md5值,如下圖所示;
Only admin can see flag
(1) 打開題目鏈接,發現只有一個登錄對話框。如下圖所示;
(2) 查看源碼,發現有一個index.txt的提示,如下圖所示;
(3) 打開index.txt,審計源碼,發現是CBC反轉漏洞,如下圖所示;
(4) 下面介紹一下CBC字節翻轉攻擊的原理,如下圖所示;
(5) 如上圖所示,CBC加密的原理圖;
A. Plaintext:待加密的數據。
B. IV:用於隨機化加密的比特塊,保證即使對相同明文多次加密,也可以得到不同的密文。
C. Ciphertext:加密后的數據。
D. 在這里重要的一點是,CBC工作於一個固定長度的比特組,將其稱之為塊。在本文中,我們將使用包含16字節的塊。
(6) 整個加密的過程簡單說來就是;
A.首先將明文分組(常見的以16字節為一組),位數不足的使用特殊字符填充。
B.生成一個隨機的初始化向量(IV)和一個密鑰。
C.將IV和第一組明文異或。
D.用密鑰對C中xor后產生的密文加密。
E.用D中產生的密文對第二組明文進行xor操作。
F.用密鑰對E中產生的密文加密。
G.重復E-G,到最后一組明文。
H.將IV和加密后的密文拼接在一起,得到最終的密文。
從第一塊開始,首先與一個初始向量iv異或(iv只在第一處作用),然后把異或的結果配合key進行加密,得到第一塊的密文,並且把加密的結果與下一塊的明文進行異或,一直這樣進行下去。因此這種模式最重要的特點就是:
(7) 前一塊的密文用來產生后一塊的密文,如下圖所示;
(8) 這是解密過程,解密的過程其實只要理解了加密,反過來看解密過程就也很簡單了,同樣的,前一塊密文參與下一塊密文的還原。
A.從密文中提取出IV,然后將密文分組。
B.使用密鑰對第一組的密文解密,然后和IV進行xor得到明文。
C.使用密鑰對第二組密文解密,然后和2中的密文xor得到明文。
D.重復B-C,直到最后一組密文。
(9) 這幅圖是我們進行翻轉攻擊的原理圖:
這里可以注意到前一塊Ciphertext用來產生下一塊明文,如果我們改變前一塊Ciphertext中的一個字節,然后和下一塊解密后的密文xor,就可以得到一個不同的明文,而這個明文是我們可以控制的。利用這一點,我們就欺騙服務端或者繞過過濾器。
(10) 在登錄對話框隨意輸入一個帳號和密碼並且使用bp抓包,如下圖所示;
(11) 查看返回包,如下圖所示;
(12) 使用腳本進行反轉,如下圖所示;
(13) bp中的cookie中設置iv和翻轉后的cipher並且把post值清空后提交,如下圖所示;
(14) 返回結果如下圖所示;
(15) 服務器提示反序列化失敗,但是其實我們這個時候只要對這個進行base64解碼就會發現,我們的username已經變成了admin;原因是在我們為了修改mdmin為admin的時候,是通過修改第一塊數據來修改的,所以第一個塊數據被破壞了。因為程序中要求username要等於admin所以不能利用文章里的說的填充字符。 又因為是第一個塊數據被破壞,第一個塊數據是和IV有關,所以只要將在CBC字符翻轉攻擊,得到新的IV就可以修復第一塊數據。如下圖所示;
(16) 把得到的數值替換iv,cipher不動然后提交。如下圖所示;
PHP是世界上最好的語言
這個其實可以掃描的。也可以用0e 繞過
(1) 打開鏈接發現是代碼審計,如下圖所示;
(2) 使用掃描器掃描,發現有no_md5.php文件。如下圖所示;
(3) 審計題目所給的源碼,發現是文件包含。如下圖所示;
(4) 所以這樣構造語句,如下圖所示:
/no_md5.php?a=GLOBALS
Only Admin
(2) 使用掃描器掃描一下,發現了備份文件。如下圖所示;
(3) 把備份文件解壓縮,如下圖所示;
(4) 打開config.php發現了需要審計的代碼,如下圖所示;
(5) 在登錄對話框的email地方輸入’ or 1#並且隨意輸入password,如下圖所示;
(6) 點擊login,如下圖所示;
(7) 運行腳本寫入cookie中,如下圖所示;
(8) 腳本運行后會在cookie中增加一條如下圖所示;
(9) 打開審核元素,如下圖所示;
為什么這么簡單啊
(1) 打開鏈接發現是一個闖關,如下圖所示;
(2) 看到了這倆個要素,如下圖所示;
’
(3) 這點就類似於DDCTF 2018里邊的web題目了,使用BurpSuite抓包並且修改HTTP頭,如下圖所示;
(4) 點擊GO,得到的返回結果如下圖所示;
(5) 得到第二關地址並且發現需要輸入密碼才可以獲取flag,如下圖所示;
(6) 點擊鼠標右鍵選擇查看網頁源代碼,如下圖所示;
'
(7) 點擊源代碼中的./password.js,如下圖所示;
(8) 發現一段base64代碼,如下圖所示;
(9) 進行base64解密,如下圖所示;
(10) 輸入密碼並且點擊獲取flag,如下圖所示;
Sqli
(1) 打開鏈接發現是一個登陸對話框,如下圖所示;
(2) 使用BurpSuite抓包,如下圖所示;
(3) 在登錄對話框的username輸入:-1’ OR (1=1*) or ‘,password輸入x,如下圖所示;
(4) 把抓包內容保存成TXT,如下圖所示;
(5) 使用sqlmap注入,如下圖所示;
A. 注入命令語句,如下圖所示;
B. 注入結果,如下圖所示;
有種你來繞
(1) 打開鏈接發現是一個登陸對話框,如下圖所示;
(2) 使用BurpSuite抓包並且登錄嘗試,如下圖所示;
(3) 通過返回結果得到用戶名是admin,如下圖所示;
(4) 使用BurpSuite抓包並且進行注入,如下圖所示;
(5) 返回結果如下圖所示:
(6) 使用腳本跑密碼,如下圖所示;
(7) 得到password密碼為:nishishabi1438
(8) 使用帳號密碼登錄,如下圖所示;
(9) 輸入flag獲取flag,如下圖所示;
