SDUT_CTF_WEB题目writeup

平台链接http://sctf.sdutislab.cn/challenges

闲的没事做了做实验室自己搭的平台，把web题目writeup放出来

签到题

右键查看源代码

芝麻开门

输入口令：zhimakaimen 那就输呗 结果发现 zhimakaimen是11位，但是输入框最大允许输入10位

f12改一下前端验证把最后一个n输进去，flag就出来了

层层递进

看源代码之后，iframe奇怪！

那些属性都是0，于是当然要点链接进去看看了，每次都点第一个iframe里的链接，最后进了一个404.html的链接



就到了这里，完全被这个故事吸引了，而key还是没找到。。

不得不说眼瞎了，这堆我看起来没用的js。。我已经不想说话了



根据提示与右键源码，可以知道用\来使单引号闭合

关键是username=\&password=or 1=1%23 （%23表示#，直接#不行。。。不知道为什么要url编码后才可以)

这样子 sql语句就变成了

SELECT * FROM users WHERE name=’\’ AND pass=’ or 1= 1#’;(表示被闭合掉了）

这样就可以得到flag了：

nctf{sql_injection_is_interesting}

变态的JS

运行题目的代码，得到1bc29b36f623ba82aaf6724fd3b16718.php

回去构造链接（http://teamxlc.sinaapp.com/web3/b0b0ad119f425408fc3d45253137d33d/1bc29b36f623ba82aaf6724fd3b16718.php）

提示tip在脑袋（head）里，那看头咯，返回包里有tip，提示history of bash

不知道什么玩意，百度咯，可以看看（http://blog.csdn.net/pan_tian/article/details/7715436）

用法就是http://teamxlc.sinaapp.com/web3/b0b0ad119f425408fc3d45253137d33d/.bash_history

打开提示一个zip文件，下载就好了

http://teamxlc.sinaapp.com/web3/flagbak.zip

flag is:nctf{bash_history_means_what}

黑进去

存在md5加密

username: 1’ and 1=2 union select ‘c4ca4238a0b923820dcc509a6f75849b’ – -

password: 1

拿到flag

交作业吧

西普文件上传原题

The Ducks

变量覆盖

post传参时传入thepassword_123=123&pass=123

得到flag

写题解写到这发现都是南邮ctf的题，下面的题解只是本实验室内部出题题解

来自谷歌的你

改http头：referer:google

得到flag

慢点再慢点

发现什么都没有，抓包看看，发现还是什么都没有

这是看一下题目地址

http://118.89.168.43:8001/web/web1001

但我们打开时成为http://118.89.168.43:8001/web/web1001/no_key.php

有可能是个301跳转

用burp修改跳转到源地址



发现txt文件，打开拿到flag

永真式注入

SQL联合查询

用户名：1’ and 1=2 union select 1– -

密码：1

畸形化SQL语句

发现上来屁话一大堆，意思就是说有过滤

如果php代码不熟的话，可以在本地搭建环境，测试到底如何过滤





发现所有关键字全部被过滤掉了

这时想就可以用套接字的一种方式

$input=”1’ anandd 1=2 ununionion seselectlect ‘123”;



语句就正常了



不要忘记把前端限制去掉，不然输入框为只读，而且最大输入长度为1

我的初恋

这个出题者总是以极强的故事性把我们带入其中（屁话还是一大堆）

php strcmp函数漏洞，传递数组绕过验证， 抓包



strcmp漏洞细节自行百度

特制浏览器

一看题面就知道是改http头，不过这里有个坑点



改UA头时 改为SDUT-CTF-Browser， 最后.exe不要加

去掉引号的注入

这个题还以为是什么php函数漏洞，结果就是一个宽字节注入



gbk编码的宽字节注入，payload构造如下

http://118.89.168.43:8001/web/sql1004/login.php?usr=1%df%27%20union%20select%201–%20-&pwd=1

宽字节注入自行百度

无空格SQL注入

根据题目意思和题面所给出的代码，可以判定就是一个用其他字符代替空格完成注入的一个题

可以参照我的这篇文章完成题目

payload构造如下



flag就出现了

UNION_Plus

老套路了

payload：

id: 1 union select ‘c4ca4238a0b923820dcc509a6f75849b’, 2

password: 1

其中c4ca4238a0b923820dcc509a6f75849b是密输入密码1的md5值

代码审计1

发现又是php函数的漏洞，百度查下资料，数组可以绕过

到底是不是注入？

进去发现需要id参数，那就传进去



题目给的很清晰，flag位置全都告诉了

做了几次尝试，除了有具体的sql语句之外什么都没有

我猜是基于时间的盲注

http://www.mingzhegao.com.cn/ctf_test/login.php?id=1%27%20and%20sleep(5)–%20-

果然存在延时，也就是说存在时间盲注漏洞

算了，不想手注了，直接sqlmap开跑吧



存在注入点

这个题最后又加了个判断UA头，如果是sqlmap就结束，所以sqlmap如果不加–random-agent随机头的参数压根跑不出来

注入

一开始进去，啥啊，什么都注不出来，看来后台判断写的很死

还有个注册按钮，那就注册试试吧

注册进去之后



发现一个点 这个系统在找和你有相同手机号人的username

在用233的手机号重新注册一个看看



果然，那这就算有个注入点了

重新注册在手机号里构造payload

发现有验证，只能为数字，以前做过一个题，绕过数字，转为16进制







用户数据库版本都出来了

再搞出表名和列名



表名有两个，flag和user

很明显flag在表flag中

点击一百万次

发现是一段js代码做的伪动态网页，尝试着点几次，再结合题目，明白了出题人的目的，点击100万次后，flag就会出来。右键审一下源码看看有什么别的东西



这段js脚本包含的信息量已经足够做这个题目了，它将你点击的次数存储在clicks这个变量里，只要这个变量的值超过一百万，这个题目就game over。

两种做法：

一：找个暴力点击模拟器，启动，让它一直运行，点击超过一百万次就会出flag

二：控制台直接给clicks变量赋值，使他比一百万大。

登录入口在哪

http://118.89.168.43:8001/web/web1006/robots.txt

http://118.89.168.43:8001/web/web1006//D56B699830E77BA53855679CB1D252DA/login.php

php序列化练习

相似题解已经给出来了，教学题