目录
[SWPUCTF 2022 新生赛]奇妙的MD5
[GDOUCTF 2023]受不了一点
[LitCTF 2023]作业管理系统
注入点一:文件上传
注入点二:创建文件直接写一句话木马
注入点三:获取数据库备份文件
[LitCTF 2023]1zjs
[SWPUCTF 2022 新生赛]奇妙的MD5
or 对应的16进制:276f7227
ffifdyop字符串,MD5加密之后会变成276f7227 36c95d99e921722cf9ed621c
字符串前几位刚好是 ‘ or ‘6
输入ffifdyop,进入下一关 查看源代码
GET传参x,y二者值不相等,但MD5加密后相等
==弱比较,使用0e、[]数组绕过都可以
?x=QNKCDZO&y=240610708
?x[]=1&y[]=2 进入下一关,POST传参wqh、dsy二者值不相等,但MD5加密后相等,===强比较 使用[]绕过
[GDOUCTF 2023]受不了一点
<?php
// 设置错误报告级别为0,即关闭错误报告
error_reporting(0);
// 设置HTTP头部信息,指定内容类型为HTML,字符编码为UTF-8
header("Content-type:text/html;charset=utf-8");
// 检查是否存在POST请求中的'gdou'和'ctf'参数
if(isset($_POST['gdou'])&&isset($_POST['ctf'])){
// 获取POST请求中的'ctf'参数值并存储到变量$b中
$b=$_POST['ctf'];
// 获取POST请求中的'gdou'参数值并存储到变量$a中
$a=$_POST['gdou'];
// 检查'gdou'和'ctf'参数值是否不相等,并且它们的MD5哈希值相等
if($_POST['gdou']!=$_POST['ctf'] && md5($a)===md5($b)){
// 检查是否设置了名为'cookie'的Cookie
if(isset($_COOKIE['cookie'])){
// 检查Cookie的值是否等于'j0k3r'
if ($_COOKIE['cookie']=='j0k3r'){
// 检查是否存在GET请求中的'aaa'和'bbb'参数
if(isset($_GET['aaa']) && isset($_GET['bbb'])){
// 获取GET请求中的'aaa'和'bbb'参数值
$aaa=$_GET['aaa'];
$bbb=$_GET['bbb'];
// 检查'aaa'和'bbb'是否都等于114514,但不相等
if($aaa==114514 && $bbb==114514 && $aaa!=$bbb){
// 设置两个变量,用于后续的条件判断
$give = 'cancanwordflag';
$get ='hacker!';
// 检查是否存在GET请求中的'flag'参数和POST请求中的'flag'参数
if(isset($_GET['flag']) && isset($_POST['flag'])){
// 如果存在,则输出'cancanwordflag'并终止脚本执行
die($give);
}
// 如果POST或GET请求中的'flag'参数等于'flag',则输出'hacker!'并终止脚本执行
if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
die($get);
}
// 遍历所有的POST参数,并将它们作为变量赋值
foreach ($_POST as $key => $value) {
$$key = $value;
}
// 遍历所有的GET参数,并将它们作为变量赋值
foreach ($_GET as $key => $value) {
$$key = $$value;
}
// 尝试输出变量$flag的值
echo $flag;
}else{
// 如果不满足条件,输出"洗洗睡吧"
echo "洗洗睡吧";
}
}else{
// 如果不满足Cookie的条件,输出"行不行啊细狗"
echo "行不行啊细狗";
}
}
}
else {
// 如果不满足MD5哈希值相等的条件,输出"菜菜"
echo '菜菜';
}
}else{
// 如果不存在POST请求中的'gdou'和'ctf'参数,输出"就这?"
echo "就这?";
}
}else{
// 如果不存在POST请求中的'gdou'和'ctf'参数,输出"别来沾边"
echo "别来沾边";
}
?>第一层:POST传参 gdou[]=1&ctf[]=2,(===强比较,[]数组绕过)
第二层:传入cookie cookie=j0k3r
第三层:GET传参 ?aaa=114514&bbb=114514a 返回flag
字符串的弱比较,可以用114514a(字符串)来绕过,解析后仍为114514(整型)
字符串弱类型比较时只会截取前面的部分
第四层:flag传入空值 flag= ,返回$give = 'cancanwordflag';
[LitCTF 2023]作业管理系统
查看源代码发现提示 默认账户admin admin
登录进来发现有很多注入点
注入点一:文件上传
直接上传成功了,连接蚁剑在根目录下找到flag
注意路径
注入点二:创建文件直接写一句话木马
创建文件2.php保存后,同样的连接蚁剑在根目录下找到flag
注入点三:获取数据库备份文件
输入想要获取的数据库名称,使用万能密码1’ or ‘1’=’1爆破
正常情况下 点击备份,然后在网站根目录访问 mysql.zip 就可以下载
此处不知道为什么报错了
注入点四:ftp 远程文件上传
[LitCTF 2023]1zjs
F12查看源码,在/dist/index.umd.js中发现一个关于flag的路径
访问,发现JSfuck编码
解码得flag(自己去一下[])
因为Sfuck也是一种JS代码,F12打开的控制台里可以直接运行js代码
