云曦WEB

2023 春季学期开学考

flag在哪？

打开环境

会有一个弹窗

然后有6张照片在后面

看下源代码

不让按，直接ctrl u

那就view-source:

传个参吧

打开环境

简单传参不多说

Boom！

打开环境

一眼弱口令不多说

结果没有，看下网页源代码

这里找到了密码

这里也是不知道之前的学号怎么构成，也是没有搞了

easy_include

打开环境

输入一个1

使用php伪协议读取一下index.php

php://filter/read=convert.base64-encode/resource=index.php

看下flag.php

php://filter/read=convert.base64-encode/resource=flag.php

easy_rce

打开环境

这里就是一个简单的命令注入

127.0.0.1;ls

直接cat

127.0.0.1;cat flag.php

easy_php

打开环境

这里先解释一下intval

这里如果是字符串提取开头连续的数字部分

浮点就是提取整数

之后就是简单的md5弱比较绕过和弱比较绕过

这里需要直接使用数组绕过

因为之后需要a不等于2023但需要a是一个数组

且这个数组的第一个值是2023

构造payload

?0[0]=2023&1[0]=1

easy_sql

打开环境

直接万能密码看看

应该是存在过滤

不管怎么输入都是一个德性

看看是不是弱口令爆破

也是找到了

登录下看看

里面没东西

应该是布尔盲注

还是post型的

这里直接使用脚本看看

这里可以发现，在爆表的时候

发生错误

无法爆出表

所以我们可以将我们爆破的语句和对应的关键字是否在响应里面找出来

将payload和布尔值都打印出来

可以看出来这里是一个都不行，说明我们的payload是有问题的

而我们之前测试万能密码的时候就存在问题

之前测试admin'#不行的时候是环境存在问题当时测试什么都无法登录只有界面能登录

这里再次注入一下看看

这里这个是成功的

在进行测试

这里这个无法登录，按照正常情况来说是可以进行登录的，但是这里不能登录应该是被过滤了一些东西

可以去脚本里面看看

之前数据库名是可以爆出来的

里面也有=和1

可能是or的问题

我们已经知道了数据库长度是10灵活改一下payload就可以使用看看是不是or的问题

登录进去了，看来不是or的问题，那剩下的就是空格

之前做在爆不出表的时候就卡住了，师兄告诉我过滤式空格被替换为空了

恍然大悟

这里可以测试一下如果我不空格删掉这个sql语句能不能运行

可以看见这个sql语句是可以运行的

这里也是验证了空格被过滤了替换为空

所以我们可以在我们爆破表的那里加一个空格过滤/**/

这里再运行看看

可以看见这里得到了两张表

之后的应该也是因为空格被替换为空所以无法运行

依然绕过

这里教一个小技巧

如果直接在搜索栏搜索无法替换特定位置的文字

这里选中文字然后按下ctrl h

会有这样一个框

然后那个三条横线就是选定区域替换

替换右边那里一个是替换一个另一个是替换全部

再运行代码

这里发现爆破bighacker这个表找不到flag

还少一个字段，再爆一下下一个字段

找到

easy_upload

打开环境

上传一个php看看

抓包改下mine类型

上传成功

直接传参来找flag

还是拿蚁剑找

2023 春季学期期末考

sign