windows
打开https://www.xp.cn/download.html/下载小皮面板,双击安装即可
将靶场文件解压复制到www目录下即可
Macos
打开http://www.xsrvs.com/下载MxSrvs
安装完成后,点击启动nginx和php
将靶场解压放在MxSrvs程序下的www目录中
浏览器访问http://127.0.0.1/Mimikyu/即可
pass01
提示:where is flag,我们尝试查看源代码,无法使用右键,我们在url前面输入:view-source:查询到flag
pass02
提示:Homepage,通过抓包在返回包中获取到flag
pass03
提示:请用GET方式提交一个名为1,值为1的变量
在url后面加上:?1=1即可
pass04
打开url什么都没有,进行目录扫描,发现robots.txt文件,目录扫描工具链接:https://github.com/lemonlove7/dirsearch_bypass403
访问f1ag_1s_h3re.php得到flag
pass05
提示:index.php的备份文件名是什么?
进行目录扫描发现www.zip
解压得到index.php,打开得到flag
pass06
使用burp进行抓包,在cookie中得到cookie.php
访问cookie.php提示See Response
抓包在Response 中华得到flag
pass07
提示为什么这个按钮不能按呀??
f12定位到如下图的地方
将disabled进行删除,回车,点击flag,得到flag
pass08
提示:ip地址必须为123.123.123.123
进行抓包,在请求头中加入X-Forwarded-For:123.123.123.123,重放得到
返回数据必须来自https://www.google.com
在头部上加上上Referer伪造
Referer:https://www.google.com 得到flag
pass09
通过阅读源代码知道:目标是绕过给定的条件来输出 $flag1 和 $flag2
获取 $flag1
将 $a 设置为 '0e1234',这是一个不规范的数值科学计数法表示。在 PHP 进行松散类型的数值比较时,它会把此字符串解释为 float(0),因为“0”乘以任何指数仍然是“0”。实际上,我们成功绕过了 $a==0 and $a 的条件,因为 0==0 为 true,同时 '0e1234' 在 PHP 中被解析为 float(0)
获取 $flag2
绕过检查 if(is_numeric($b)),可以传递一个字符串前缀并确保判断 $b > 1234 为真。例如,可以在 b 参数中传递一个字符串 '1235e',这将满足给定条件并显示 $flag2。在 URL 中添加 ?b=1235e 以满足条件
进行拼接,成功获取flag
pass10
访问得到一个登陆页面
尝试弱口令爆破和sql注入
尝试弱口令爆破
输入账号密码使用burp进行抓包,右键发送interder
设置如下
载入爆破用户名字典
载入爆破密码字典
start 开始爆破
成功得到账号密码admin/1234567
输入账号密码进行登录得到flag
pass11
提示你会使用webshell吗?<?php @eval($_POST['shell']);?>
这里用蚁剑webshell工具进行连接
工具下载链接:https://github.com/AntSwordProject/antSword
连接上后右键选择文件管理,在当前目录发现flag
pass12
通过阅读源码,发现题目允许输入 IP 地址或域名,然后服务器对其执行 ping 测试。用户输入的值将被直接传递到 shell_exec 函数,因此存在命令注入的风险。
这个题目,可以在输入框中输入一个有害的命令,强制服务器执行不安全的操作。尝试在输入框中输入值:baidu.com;ls
服务器将执行命令:ping -c 2 baidu.com; ls
分号分隔了两个命令,第一个命令是 ping -c 2 baidu.com,第二个命令是 ls。这意味着在执行 ping 请求后,服务器将发送当前目录的文件。
使用cat flag.txt获取flag
靶场下载链接
链接: https://pan.baidu.com/s/1nqnXohzJGfIBcENgICI46A 提取码: qvnx --来自百度网盘
原文始发于微信公众号(鹏组安全):新手快速入门CTF靶场及题解(文末附下载链接)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论