首页/资讯中心/详情

SQCTF-web

SQCTF-web
📅 发布时间:2026/6/20 0:38:42

SQCTF-web

  • 小小查询系统
  • Upload_Level1
  • Upload_Level2
  • baby_rce
  • 无参之舞
  • 千查万别
  • eeaassyy
  • ez-include
  • 内部威胁情报监控平台
  • ez-sqli
  • 黑客终端
  • PHP的XXE
  • PHP的后门
  • CTF商城
  • Easy_SQLi
  • EasyMD5
  • 雏形系统
  • 简单越权
  • include01
  • include02
  • include03
  • wrappers01
  • wrappers02
  • wrappers03
  • Loose_Auth
  • Cut_OFF

小小查询系统

image
/proc/1/environ是 Linux 系统中的一个特殊文件,它包含了系统中 第一个进程(PID 1)的环境变量

Upload_Level1

image
文件上传,随便上传一个一句话木马
image
上传成功,使用哥斯拉进行连接
image
image

Upload_Level2

image

上传一句话木马,哥斯拉连接
image
image

babyrce

image
SHA1哈希碰撞使用数组进行绕过,sha1(array()) 返回 null,所以 null == null 成立,然后post赋值为payload=TYctf::getKey来调用类函数
image

无参之舞

image
查看源代码,发现用户名为sqctf,发到bp进行弱口令的爆破,发现密码为1q2w3e4r,进行登录
image
题目为无参之舞所以一般的如system('ls')等带参数的函数就不能够利用了,因此得使用带无参数的系统函数
image
localeconv()

返回本地化信息数组

关键:返回的数组中包含 ["decimal_point"] => "."

current(localeconv())

current() 取数组第一个元素的值

结果就是字符串 "."(当前目录)

scandir('.')

扫描当前目录的所有文件和文件夹

var_dump(scandir('.'))

输出目录内容的详细信息

echo

输出结果
然后使用echo file_get_contents('f1ag.php');
image

千查万别

image
先随便输入一个1吧
image
查看到有一个doc的注入点,我们可以查看进程的所有文件
/proc/1/environ 是 Linux 系统中的一个特殊文件,它包含了系统中 第一个进程(PID 1)的环境变量
/proc 文件系统
1 是系统中第一个进程的PID
/proc/1/environ
这个文件包含了 PID 1 进程的所有环境变量
image

eeaassyy

image
发现右键和F12被禁用了,只能点击浏览器的右上角的...来找到开发者工具来查看源代码
image

ez-include

这是一道文件包含题,文件包含也是可以执行命令的
image
使用data伪协议,已纯文本
data://[MIME类型],[数据]?=system('cat /f*');?>
?=:PHP 短标签,相当于 ?php echo ... ?>

内部威胁情报监控平台

image
我们依次对http://127.0.0.1进行端口分析(20,80,443,445,1433,3306,3389,8080)发现无任何回响,应该是将127.0.0.1过滤了,将其换成http://localhost:8080发现有回响,查看文件
image

ez-sqli

image
直接抓包将其纯为txt文件
使用sqlmap进行爆破
python sqlmap.py -r "C:\Users\27074\Desktop\123.txt" -p username,password --batch --dbs
image
发现是一个假的,在重新刷新一下,flag出现了
image

黑客终端

查看目录,发现有flag,直接读取
image

PHP的XXE

打开是一个phpinfo的页面,由于题目是xee,我们可以访问/simplexml_load_string.php
image

<?xml version="1.0" encoding="UTF-8"?> *<!DOCTYPE foo [ *<!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <user> <name>&xxe;</name> <age>25</age> </user>
注意*要删去
image

PHP的后门

image
提醒我们要注意php的版本,利用bp抓包
image
网上查可知,当 User-Agent 头中包含 "zerodium" 字符串时,会执行 zerodium 后面的PHP代码,但是要双写User-Agentt
image

CTF商城

EasyMD5

image
上传相同的pdf文件,发现提示文件内容要是不同的且md5要相同

常用的以0e开头的md5和原值:
s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675

image

Easy_SQLi

image
题目都说是sql了那么无需多言,直接bp,然后纯为txt,放到sqlmap爆破
image

雏形系统

简单越权

根据提示进行登录发现得是admin才能获得flag
修改用户名
image

include01

无需多言直接文件包含
image

include02

无需多言,双写绕过
image

include03

wrappers01

题目说了伪协议
image

wrappers02

image

wrappers03

限制只能使用php://input
image
image

Loose_Auth

无需多言
image

Cut_OFF

看题目猜测是用%00切断
image
尝试了一下发现还真是%00截断
image
文件包含flag.php
image