BUUCTF解题web十一道_非关系型数据库

概述[2019极客大挑战]EASYSQL到页面里发现是一个登录框回想注入思路，先判断注入类型，然后尝试登陆绕过使用万能密码username=’or1=1or‘1’=‘1’#&password=asd[2019极客大挑战]HAVEFUN打开页面发现是一只猫猫，点了两下拖了两下发现没什么然后老规矩F12查看有没有提示 [2019极客大挑战]EASYsql

到页面里发现是一个登录框
回想注入思路，先判断注入类型，然后尝试登陆绕过

使用万能密码username=’ or 1=1 or ‘1’=‘1’# &password=asd

[2019极客大挑战]HAVEFUN

打开页面发现是一只猫猫，点了两下拖了两下发现没什么

然后老规矩F12查看有没有提示信息

发现有这么一段代码，可以对页面传参cat，传cat='dog’就执行了一段代码，不知道是什么，尝试了一下直接出了flag…

[SUCTF]EASYsql

进入发现是一个查询框

尝试判断注入类型的时候，发现页面一直给我回显NONONO.这里猜测是有关键字过滤，于是乎就试了试，发现过滤了and,or,union,",order,flag,from,information应该有很多字段，但是常见的注释符没有过滤还有大小写也一视同仁然后就正常查询一下看看回显，放入1，发现还是一，放入其他数字还是一样，但是当1#或者2#时都显示前面的数字

**尝试database()#**爆出数据库名

然后我又尝试输入bool字段，发现false回显0，true回显1
至此做出大胆猜测

尝试输入1=2，页面回显

也就是说相当于是一个布尔盲注

https://blog.csdn.net/qq_43619533/article/details/103434935（没思路了参见博客）

说联想到select 输入数据||flag from Flag(这个表名用show tables查看)

这里应该是根据题目描述猜测出来的，描述说到输入正确的flag就会显示flag，所以才有后面这个||后的东西

||在这里起到or的作用

内置的SQL语句为 sql = " select ".sql = “select “. sql=“select”.post[‘query’].”||flag from Flag”;
如果$post[‘query’]的数据为*,1，SQL语句就变成了select *,1||flag from Flag，也就是select *,1 from Flag，也就是直接查询出了Flag表中的所有内容

妙啊

[ACTF2020 新生赛]Include1

根据这个标题首先就能知道这是一道文件包含题

看这个tip是包含的flag.PHP这个文件

尝试目录扫描，直接回429(太多请求)状态码，阻止扫描行为

使用伪协议，构造payload的时候发现页面对敏感字符有过滤

经过测试，页面过滤PHP://input和data://，也不能用大小写绕过，不能写入shell但是没有过滤filter，使用filter查看页面源码，构造payload
?file=PHP://filter/read=convert.base64-encode/resource=flag.PHP

base64进行解码得到flag。

可以的

[极客大挑战 2019]Secret file根据这个题目名称然后想到的是目录扫描，隐藏文件

得，没有扫出来

然后根据这个“隐藏”一词，在页面里找找黑黢黢的字或者直接看页面源码找找隐藏字段

有这么个链接

点进去

点一下这个secret看看发生什么

又出来个这东西，说我们没看清，找了找页面里啥也没有，返回去看secret那个页面，看看链接属性

发现它用的是当前目录的action文件，我们直接尝试一下进入它

最终还是跳转到end页面，查看进程

action出来一个302跳转，我们需要看一下这个页面到底有什么东西

用burp拦截，然后repeater放包，看看这个302页面响应

有个secr3t.PHP文件，访问一下

又出现这样的页面，看来还得绕过限制

要向页面传file参数，并且不能用PHP://input和PHP://data，那就试一下filter咯构造payload:?file=PHP://filter/read=convert.base64-encode/resource=flag.PHP

得到flag

绕啊~

[极客大挑战 2019]lovesql

用sqlMAP是没有灵魂的

熟悉的页面，上次就是用万能密码过的，这次看看还成不成

' or 1=1 or '1'='1' #密码记得随便填一下

发现可以？？

那就尝试一下手工注入？

经测试有三个显示位' union select 1,2,3 #

database()=‘geek’table= geek l0ve1ysq1column= ID username password
最后

最后一个就是flag

没有过滤，就是万能密码还有常规注入

[ACTF2020 新生赛]Exec

页面很熟悉，这里考查命令执行

要熟练掌握管道符的应用还有windows或者linux下的常见命令

判断位置 127.0.0.1 || pwd

路径穿越

发现这个flag不是一个目录，是一个文件

127.0.0.1 || cat ../../../flag

初级命令执行

[GXYCTF2019]Ping Ping Ping

从题目来看还是要考查命令执行的
但是这道题有过滤的,我弄了老半天才理解这个是什么意思

这个意思就是不能特殊标点符

这个就是不让你用空格
尝试空格绕过

那我们就不用空格了，直接挤在一起
/?ip=127.0.0.1||pwd

能行√
ls

flag是关键字
发现弄不成，还是得用空格，想办法绕一下，查一查空格绕过

https://www.cnblogs.com/wangtanzhi/p/12246386.HTML(参照)

emm，绕过成功

学到了啊

[极客大挑战 2019]Knife

白给的shell，连就完了，然后flag在根目录下，找找就有了

神奇的shell啊

[护网杯 2018]easy_tornado

下面来到我们熟悉的easytornado

三个页面分别有这么些内容，

flag在/fllllllllllllag里，访问这个文件存在模板注入点

https://www.tornadoweb.org/en/stable/ 这是tornado的官网

render是tornado框架里面的一个函数，render是渲染函数，你可以通过这个函数渲染你的template模板，你可以通过render函数，向你的xxxx.HTML传参

查阅手册是一个需要耐心的过程

在tornado框架里有一个get_secure_cookie函数可以获取已经设置的cookie的值

通过调用self.application.settings来输出值
然后找相关信息

self.application.settings有一个alias(别名)叫requesthandler.settings

https://www.cnblogs.com/chalan630/p/12609470.HTML（参见）

handler指向的处理当前这个页面的RequestHandler对象， RequestHandler.settings指向self.application.settings，因此handler.settings指向RequestHandler.application.settings。

利用模板注入msg={{handler.settings}}

/file?filename=/fllllllllllllag&filehash=8ece6e1ebb84a1280755edb1c51ba39c

得出flag

对代码的分析能力和关键信息获取好重要

[极客大挑战 2019]http

进来发现一个很友好的页面，然后不知道标题是什么意思

看了看没有什么头绪，就F12打开看看有什么东西
点来点去的时候发现了这个

* 氛围这两个字指向了一个页面

把点击属性改了或者直接进文件到这个amazing页面了就

emm，不是来自https://Syssecret.com，是什么意思，拿着这个网址访问了一下没反应

思考突然就悟了啊，意思是我的referer不对是吧，我没有从指定的网址跳过来，才有这么一句，紧接着就试试referer伪造

执行之后