CTFHub Web题学习笔记(Web前置技能+信息泄露题解writeup)
阅读原文时间:2022年05月14日阅读:1

今天CTFHub正式上线了,https://www.ctfhub.com/#/index,之前有看到这个平台,不过没在上面做题,技能树还是很新颖的,不足的是有的方向的题目还没有题目,CTF比赛时间显示也挺好的,这样就不用担心错过比赛了。

先做签到题,访问博客就可以拿到。

Web前置技能,

可以看到大部分题目都还没有补充完成。

HTTP协议第一题:请求方式

一般来说我们比较常用的是GET和POST方法

开启题目

可以看到是需要我们使用CTFHUB方法访问该网址,burpsuite里面修改请求方法好像只能修改成POST和GET,没有自定义修改的,所以我们使用Linux下面的curl命令命令行访问该网址,并自定义请求方法为CTFHUB

也可以在windows上下载curl命令,-v是详细信息 -X是指定请求方法

注意,访问的时候在网址后面不要忘记/index.php了,否则会提示不允许访问的

可以看到已经拿到flag了

第二题302跳转,使用burpsuite

点击进去之后可以看到有一个链接,下意识点击抓包

抓取之后repeater,可以看到flag出现了,同时相应状态码是302,证明是重定向了,但是burpsuite里面默认不重定向,直接就能拿到flag

第三题 cookie

cookie是我们访问网站的时候证明自己身份的凭证

想要抓到cookie可以用抓包工具或者F12,这里我还是使用burpsuite

可以看到告诉我们身份是gurst,但是admin才能获得flag

可以看到cookie里面admin=0,很容易我们能想到将admin改为1,

垂直越权漏洞,对于cookie的审查不够严格,获得flag

第四题你 基础认证

这道题比之前几道题要难一点点

首先是基本认证这个知识点,但是题目已经给出了相关链接,我们看一看:https://zh.wikipedia.org/wiki/HTTP%E5%9F%BA%E6%9C%AC%E8%AE%A4%E8%AF%81

可以看到这里是需要我们传递一个base64之后的用户名和密码 格式是 用户名:密码,然后将其base64加密,放在Basic之后

我们开启环境,

点击click之后

可以看到需要我们输入用户名和密码,并且可以知道用户名是admin,随便输一下可知输入错了之后会重复弹出该窗口让我们输入

当然题目还有一个附件,我们下载下来看

很明显是密码字典,所以可以猜到这道题的目的是让我们按照基础认证的加密方式即base64,爆破密码获取flag

于是写一个小脚本将密码和admin组合起来之后base64加密保存为新的脚本

import base64

f=open('10_million_password_list_top_100.txt','r')
spring=open('test123456.txt','w')
lines=f.readlines()
for line in lines:
Authorization="admin:"+line.strip('\n')
Authorizationbs64=base64.b64encode(Authorization)
print Authorizationbs64
spring.write(Authorizationbs64)
spring.write("\n")

f.close()
spring.close()

  

接着点击click,在burpsuite里面抓包,使用intruder模块爆破

x就是我们的爆破字典,注意前面需要添加

Authorization: Basic

  

这个是按照已知信息放置的,然后就可以爆破啦

可以看到返回包长度里面有一个是394,跟其他的不同,查看其响应包

获得flag,得到了flag最后还是解密一下,看看密码是多少

admin:abc123

哈哈哈,这个密码猜几次可能也可以成功吧

第五题 响应包源代码

贪吃蛇游戏,绿色加长度,棕色游戏结束

既然是响应包源码,我们就直接查看源代码吧

获得flag

WEB前置技能就做完了

接下来是信息泄露

第一题:目录遍历

目录遍历漏洞,可以通过谷歌语法批量发现,如:intitle:Index of intext:Parent Directory

在flag_in_here/2/1文件夹下发现flag.txt

点击获得flag

第二题PHPINFO

这个算是低危的信息泄露,能够泄露一部分服务器的配置,比如说禁用了哪些函数。

直接在界面搜索flag吧

接着是备份文件下载

里面有四个小分支

网站源码:

题目已经给出了足够多的提示了

当然可以一个个试,在真实环境中我们一般使用扫描工具扫描是否有备份文件(御剑等)

这里凭直觉猜测www.zip

发现txt文件,不过里面是

我差点以为是隐写MISC题目了,找了好久

然后以为不会做的时候,在网址后面添加了那个txt文件的名字访问,获得flag:(

第二题bak文件

bak文件也是备份文件泄露之一,在实际场景中也经常遇到

可知flag应该在index.php的备份文件里面,于是访问index.php.bak

下载获得flag

第三题 VIM缓存

这里的知识点是:

参考博客:https://www.cnblogs.com/leixiao-/p/9748685.html

vim会自动生成的备份文件以及临时文件

临时文件是在编辑文本时就会创建的文件,如果程序正常退出,临时文件自动删除,如果意外退出就会保留,文件名为  .filename.swp,(第一次产生的交换文件名为“.filename.txt.swp”;再次意外退出后,将会产生名为“.filename.txt.swo”的交换文件;而第三次产生的交换文件则为“.filename.txt.swn”)

因为这里已经告诉我们是index.php了,所以其意外退出而保留的临时文件是 .index.php.swp

.index.php.swp

  注意前面的点不要落下了

得到flag

第四题:.DS_Store

题目已经提示了,于是我们直接下载该文件

下载之后搜索f开头的文件

可以看到这是txt文件,我们往前将整个文件名搜集为5e58cacb03eb652fa1c89746b59f6a60.txt,因为.DS_Store是MAC该目录下所有文件的清单,所以我们直接访问

得到flag

回到上一层目录的第四题 Git泄露

第一题 Log日志文件

这个在真实环境中也经常见到

刚才去吃饭了,继续编辑。

我们可以使用GitHack进行.git泄露的利用,工具下载地址:https://github.com/BugScanTeam/GitHack

我这里是windows10环境,使用是需要将git环境安装在环境变量里。

安装了git后, 在当前文件夹右键打开git bash环境

就会将泄露的部分下载在dist文件夹下。

我们在此位置检查git提交历史记录log(同时因为题目也是Log,所以突破点想到日志信息)

可以看到add flag之后又将其移除了,所以我们只需要检查当前文件和上一次提交文件的不同之处即可

使用git diff 命令

获得flag

第二题 Stash

同样先使用GitHack将git clone到本地,然后查看

stash这个知识点我不知道,去查了一下资料:

git stash

能够将所有未提交的修改(工作区和暂存区)保存至堆栈中,用于后续恢复当前工作目录。

查看当前堆栈中保存的未提交的修改 使用git stash list

可以看到add flag这个工作也被保存在了堆栈中,所以只需要知道如何恢复就可以了

使用git stash apply

恢复了一个txt文件,查看之

获得flag

第三题 index

同样先将其clone到本地

因为题目是index,所以我们考虑到git的index暂存区文件,这里我参考了这篇博客:https://www.cnblogs.com/panbingwen/p/10736915.html

我们先使用git ls-files查看暂存区里面有哪些文件

当然,index在文件夹里面存在,我们也可以直接打开,不过是乱码

所以我们还是在git 的bash环境中进行操作

接着我们想要查看27741192706094.txt文件内容

首先,我们需要查看27741192706094.txt文件对应的Blob对象,如下:

git ls-files -s -- 27741192706094.txt 或者直接 git ls-files -s

得到:

然后通过Blob对象,查询27741192706094.txt.txt里面的内容:

git cat-file -p 441a2

得到flag

.git泄露题目做完,返回上一层级

信息泄露第五题 svn泄露

svn泄露,svn我们首先下载wc.db文件,主要知识点:

当svn使用了checkout命令后就会生成.svn文件,里面存储着备份信息。svn信息泄露漏洞主要利用了里面的entrist文件,通过.svn/entrist可以下载里面的所有代码,但是只能作用在svn1.6之前的版本;第二个是作用在svn1.7后的版本,svn1.7后的版本引入一个名为wc.db的数据库数据存放文件来管理文件,通过访问.svn/wc.db可以下载到本地。

这里是svn1.7之后的版本,我们下载wc.db文件,/.svn/wc.db

使用SQLiteStudio打开,发现flag_1831822206.txt文件,访问之

访问的时候是404,应该是被删除了,我们使用dvcs-ripper工具:https://github.com/kost/dvcs-ripper

做题目有始有终,把最后两个题目的题解写了

在linux的环境下使用,以及我们需要先下载svn环境,还有perl环境,不然会运行不了dvcs-ripper

然后我们使用

perl rip-svn.pl -u http://challenge-8cad6507cc3f2aca.sandbox.ctfhub.com:10080/.svn/

命令来clone svn文件

我们需要使用ls -al才可以看到隐藏的文件夹.svn

cd进去再ls -al

因为之前我们已经尝试了wc.db数据库里面的文件了,但是发现flag.txt已经被删除了,所以我们到缓存文件夹pristine文件夹里面去寻找flag

在87文件夹里面获取flag

信息泄露最后一题:HG泄露

这道题目还是使用dvcs-ripper工具:https://github.com/kost/dvcs-ripper

使用

perl rip-hg.pl -u http://challenge-0ecf6f106f3a58be.sandbox.ctfhub.com:10080/.hg/

本地生成了.hg隐藏文件夹

然后再.hg文件夹里面找啊找

有一个flag的txt文件,但是不能cat查看,因为知道了名字,所以我们尝试在网址上进行访问

http://challenge-0ecf6f106f3a58be.sandbox.ctfhub.com:10080/flag_64335441.txt

获得flag

整体来说还是很有意思的题目,技能树的题目方式也很新颖,后续的题目做了之后接着出题解吧,奥利给,一起成为信息泄露低危漏洞小子