[Neepuctf2021]wp

最新推荐文章于 2022-07-19 20:19:35 发布
最新推荐文章于 2022-07-19 20:19:35 发布
阅读量377 收藏 3
点赞数 3
分类专栏: 比赛wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51078229/article/details/117171789
版权
本文详细记录了Neepuctf2021比赛中的一些难点,包括如何在限制条件下绕过过滤实现SQL注入,利用git泄露和PHP特性攻破系统,通过session反序列化读取文件并执行命令,以及最终的验证码爆破与权限提升过程。通过这些实例,展示了比赛中的安全挑战和解决方案。
摘要由CSDN通过智能技术生成

一个比较小众的比赛,是别学校的招新赛,不过也对外开放
记录一点有点难度的题

随便注2.0

是原题“[强网杯 2019]随便注”的变式,过滤的很多

return preg_match("/select|update|delete|drop|insert|where|rename|set|handler|char|\*| |	|\./i",$inject);

空格都可以用%0a绕过,但是rename被ban了,改名不能用了,set被过滤,预处理语句的set也不能用了,handle也不能用了,网上流传的这三个方法都不行了

看了wp才知道是这样绕过
用prepare与concat结合绕过
select用逗号,隔开

0';PREPARE%0cricky%0cfrom%0cconcat('sel','ect%0cflag%0cfrom%0c`@Neepu2021招新赛`');EXECUTE%0cricky;%23

有懈可击

  • git泄露
  • php特性,点和空格传值的时候会转化成下划线

f12看到测试账号,登入进后台
在这里插入图片描述
扫描后台有git泄露
找到了一个index.txt
在这里插入图片描述

里面唯一的php代码
在这里插入图片描述
传一个值给neepu_debug.mode,然后会执行这个命令

但是出现问题,php中,传值的时候,如果键名有点.,那么就会转化成下划线_
文档
在这里插入图片描述

绕过方法:
使用一个中括号,让他以为是数组
比如这题就可以这样绕过

?neepu[debug.mode=system('cat /flag');

Serialize

  • 任意文件读取
  • session反序列化
  • session_upload配合session反序列化

看他的请求里面有一个/functions/file.php?file=可以读取文件,这波直接拿到许多网页的源码

<?php
/**
 *	@author: Ricky
 *	@function: Read file
 *	@return string
 *	@param $filename string
 *  @param $dirname string
 **/

header('content-type:image/jpeg');
$filename = $_GET['file'];
$dirname = '/var/www/html/';
if(!preg_match('/^\/|\/$|\.\//', $filename)){
   
    $file = file_get_contents($dirname.$filename);
    echo $file;
} else{
   
    die('Read fail :(');
}

index.php

<?php
error_reporting(0);
include "config/backdoor.php";
ini_set('session.serialize_handler','php');
session_start();
class neepu {
最低0.47元/天 解锁文章
huamanggg
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
UNCTF2021WP.pdf
12-10
UNCTF2021WP.pdf
Neepu ctf wp
lucky_boyQAQ的博客
05-25 850
Neepu ctf wp 拿了个第一,AK了re,哈哈哈还是可以。 ID:The_Itach1 总排名: 1 分数: 8347 re OLLEH 有点可惜,本来可以一血的,被NEEPU给迷惑了,哈哈哈。 ida看,流程,动调比较快 动调绕过得到 MD5加密一下,故flag为 Neepu{a4db343d5faf70bc4fb88dd8d4dc86de} easyre 开始分析是分析exe文件,然后看了里面的一些字符串,什么.net之类的,后来发现flag在dll里面。 用dSspy打开dll,找到
过滤select|update|delete|drop|insert|where的注入 [ 强网杯 2019]随便注
lonmar的博客
04-08 4660
转载于 攻防世界WP https://adworld.xctf.org.cn/task/writeup?type=web&id=5417&number=3&grade=1&page=1 题目链接https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=541...
Neepuctf】Crypto部分writeup
a5555678744的博客
05-24 861
Crypto方向 1.RSA 先看一下代码,分析一下逻辑,要想得到flag,不仅要知道n的分解方式,还需要知道e是多少,那么把目标分解为两步,而这两者都和encode(p,q,e)有关。 分析到encode(p,q,e)里面,发现这个函数里面,S是e的模逆,(m*e-1)%(p+1)==0 那么就知道一定要先搞定m和e就可以搞定p了 求e的过程 这是明显的padding Oracle攻击可以用富兰克林算法搞定 注意以下脚本并非python脚本而是sagemath脚本,需要在sag.
ctf刷题之web buuctf
dwrnxjlove的博客
07-10 427
ctf刷题之webbuuctf 目录ctf刷题之webbuuctfWarmUp WarmUp 打开题目之后是一个表情,从页面上没有看出什么东西,于是查看网页源代码,发现里面有一个注释掉的source.php东西,必须好奇的进去看看: 进入之后是一段php代码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) {
BUU sql注入-[强网杯 2019]随便注
Ivyyyyyy1的博客
10-15 1716
一、题目 一进来先看看能否用构造单引号闭合: 发现提示报错,可以操作了 二、解题 方法一:handler命令打开 先查列数,这里是输入2没报错,但输入3报错了,所以是2列 试试联合查询: 回显信息是 return preg_match("/select|update|delete|drop|insert|where|\./i",$inject); $inject是我们在输入框中提交的变量名,preg_match()在这里的作用是检测关键字,猜测会被...
UNCTF2021 部分wp.pdf
12-10
UNCTF2021 部分 WP 解题报告 本文档对 UNCTF2021 部分 WP 进行了详细的解题报告,涵盖了 WEB、PHP、MYSQL、CRYPTO 等方面的知识点。 1. Fuzz_md5Get 和 Post 传参绕过 在 UNCTF2021 的 WEB 部分中,我们遇到了一...
2021年指挥官杯能源互联网主动防御安全技能大赛晋级赛真题 wp 解题思路
08-17
2021年指挥官杯能源互联网主动防御安全技能大赛晋级赛真题 WP 解题思路 本资源为2021年指挥官杯能源互联网主动防御安全技能大赛晋级赛真题的 WP 解题思路,涵盖了四个题目,分别为蓝01-取证、蓝02-取证、蓝03-取证...
封面应用WP7
04-02
这是封面应用WP7源码,也是Windows Phone 7封面应的一个实例,可以实现项目演示影片效果,和一些书籍等封面效果,该界面不但可以实现左右滚动,而且效果很不错,喜欢wp开发的朋友可以下载学习一下。
Wp.rar_wp
最新发布
09-14
标题中的"Wp.rar_wp"可能是指一个名为"Wp"的RAR压缩文件,后缀"_wp"可能是用户为了标记或区分该文件而添加的自定义标识。这个压缩包内容与但丁滤波器设计有关,是一种在信号处理领域广泛应用的技术。 在描述中提到...
NepCTF 2022 MISC <签到题>(极限套娃)
GSflyy的博客
07-19 2680
即便身处困境,也别倒在黎明之前
记一次菜鸡的低级折腾--WordPress get Webshell(后台文件编辑插马)
weixin_30908941的博客
03-13 1053
挺简单的一个测试站,开始思路错了,一直去网上找WordPress的漏洞,看有没有什么能利用的,未果,因为这个测试站有些地方并不完善,有的漏洞利用不了,菜鸡的我连弱口令都没猜对,没知识就是这么悲哀。 下面记录一下全过程。。。。 1、wpscan扫描(毫无卵用的步骤) 扫描到主题:twentyseventeen 但是并没有插件: 扫描一下主...
[NEEPU Sec 2021 公开赛]WP
woshilnp的博客
05-26 853
[NEEPU Sec 2021 公开赛]WP 前言: 这哪是新生赛呀,web方向题目难度还是特别高的,但是复现之后感觉质量真的挺高的,这里记录下感觉有点意思的题目 随便注2.0 这里过滤了上传用了的字符: return preg_match("/select|update|delete|drop|insert|where|rename|set|handler|char|\*| | |\./i",$inject); 但还是先注出一些有用的数据先把: 0%27;show%0ddatabases;%23 0%2
php中的invoke,PHP中__invoke()方法详解
weixin_26901145的博客
03-19 361
__invoke(),调用函数的方式调用一个对象时的回应方法作用:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。注意:本特性只在 PHP 5.3.0 及以上版本有效。直接上代码:...
2021黑盾杯CTF部分WP
qq_45149716的博客
12-05 5041
一、 Signin 通过观察附件得到附件为一个文本 全由01组成 根据以往的经验来是这个应该是是通过PIL库将01转换为像素点来构造二维码 from PIL import Image MAX = 500 pic = Image.new("RGB", (MAX, MAX)) str="1111...1111" #文档太大所以省略了文档内容" i = 0 for y in range(0, MAX): for x in range(0, MAX): if str[i] == '1':
2021NSCTF RE WP
weixin_45803474的博客
07-31 622
题目 链接:https://pan.baidu.com/s/1yt4LNXsk6kdfnaVjT4AsNQ 提取码:py32 ViolentScript.apk 做法一 AndroidKiller搜索flag{定位主函数 一般题目字符串中没有flag时 从smali->com中找 apk中original存放的是配置信息,res存放资源文件(图片视频之类),smali存放字节码文件,其中Android和Androidx为安卓库文件,com中存放的是用户自定义的包 查看java源码 package c
ZJPC2021CTF web wp
xxxiaojian的博客
06-07 623
一、phpinfo 签到题啦,没啥好说的,30个同学都做出来了 打开环境直接拉到最下面就有flag 或者 f12 注释里有 flag 再或者 Ctrl + f 搜索 flag 二、ez反序列化 先上源码 <?php show_source(__FILE__); include("flag.php"); session_start(); $requset = array_merge($_GET, $_POST, $_SESSION,$_COOKIE); if(isset($re
东南大学CTF之源码中的乾坤
何彬的博客
05-21 1596
题目: 打开页面,出来一个flag is here,在哪呢,右击源代码 怎么提交都不过,什么意思呢,看了Notice后才知道,flag是here,2333~,醉了,提交吧
NepCTF2021一些web题目的总结与复现
feng的博客
03-23 3849
前言 参加了今年的NepCTF,题目质量很好,就是周末事情比较多,而且只会php,没有全身心去做,
2021指挥官杯能源互联网安全大赛解题攻略:取证与分析
"这篇文档是关于2021年指挥官杯能源互联网主动防御安全技能大赛晋级赛的解题思路,主要包括三个题目:蓝01-取证、蓝02-取证和蓝03-取证。参赛者需要进行恶意软件分析、文件解压与密码获取、URL解码和命令解析等操作...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huamanggg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值