HNCTF 2022 week1 题解

最新推荐文章于 2024-07-10 08:51:49 发布

AZ_aa

最新推荐文章于 2024-07-10 08:51:49 发布

阅读量394

点赞数 6

文章标签：安全

本文链接：https://blog.csdn.net/m0_74057302/article/details/138187697

版权

文章讲述了在HNCTF2022Week1的比赛中，参与者发现并利用了PHP的文件包含漏洞、2048.js中的得分逻辑、HTML中的Cookie处理、手机号输入限制以及简单的文件上传漏洞。挑战者需理解并利用这些技术来获取旗子flag.

摘要由CSDN通过智能技术生成

自由才是生活主旋律。

[HNCTF 2022 Week1] Interesting_include

<?php
//WEB手要懂得搜索
//flag in ./flag.php

if(isset($_GET['filter'])){
    $file = $_GET['filter'];
    if(!preg_match("/flag/i", $file)){
        die("error");
    }
    include($file);
}else{
    highlight_file(__FILE__);
}

看似非常像过滤flag，实则啥都没过滤。

直接用php伪协议读就行

文件包含:文件包含漏洞学习（一）_文件包含漏洞防御-CSDN博客

/?filter=php://filter/convert.base64-encode/resource=flag.php

[HNCTF 2022 Week1]2048

在源码中发现了2048.js

找到了如果分数>20000得到的结果，把他输出到控制台中。

flag{53160c888e25c3f828b23e316a7ae083}

[HNCTF 2022 Week1]easy_html

一眼Cookie

找到了./f14g.php

总所周知手机号是11位的，但是在前端限制最大为10位，那我们就把他改成11

[HNCTF 2022 Week1]What is Web

直接访问flag.php

啥也没有。

然后就对着源码挨个搜

[HNCTF 2022 Week1]easy_upload

先随便上传一个文件

没想到直接成功了

用蚁剑连就行

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

AZ_aa

关注关注

6
点赞
踩
5

收藏

觉得还不错? 一键收藏
2
评论
HNCTF 2022 week1 题解

自由才是生活主旋律。
复制链接

扫一扫

xdoj-week1-题解

05-12

【XDOJ-week1-题解】是针对2018年XDOJ（西安电子科技大学在线评测系统）第一周训练赛的题目解答集。这个压缩包文件包含了参赛者或教练对这一周比赛中的编程题目的详细解析，旨在帮助学习者理解和解决竞赛中的算法...

Week8题解1

08-08

Week8题解7-1：贪心算法，把每个活动按结束时间排序，如果开始时间大于上一个的结束时间数目就加一7-2：先找出能走的范围里的最大值，再从这个最大值对应的下标

2 条评论您还未登录，请先登录后发表或查看评论

[HNCTF 2022 Week1]Interesting_include

kuzemax的博客

04-21

191

HNCTF 2022 week1 web方向题解

m0_74160536的博客

08-01

679

简单说一下file伪协议，也是引用的别人博客（https://blog.csdn.net/qq_37466661/article/details/126203437）但正常情况下，我们输入php?filter=flag.php，只会发现一片空白，这时就需要用到php伪协议了，而这道题使用的就是file伪协议。检查-网络-刷新网页，只有两个网络响应，不过另一个是图标，不用管，打开cookie，提示去/f14g.php，跳转。打开环境，是一个小游戏，目标是2000分，不用管，小游戏题基本都是找js代码。

NSSCTF中的Vim yyds、Interesting_include、[HUBUCTF 2022 新生赛]checkin、EZ WEB、泄露的伪装、hate eat snake、ez_ez_php

2401_82388450的博客

05-21

748

1.复习了vim缓存文件的解题方法2.学习到了true和非空、非零字符串比较都是为true，了解到了php弱比较的一种解题方式3.了解到了Flask 框架以及在bp中发送PUT请求。

[HNCTF 2022 Week1]NSSCTF Interesting_include

2302_81393479的博客

02-12

425

看题目分类得知可以直接用伪协议解出，根据注释内容得知flag在flag.php中，代码得知要get一个filter变量，若没有flag关键字，则error。resource=<要过滤的数据流> read=<读链的筛选列表>

[HNCTF 2022 Week1]web方向wp

Leaf_initial的博客

07-07

460

f12查看源代码可以看出游戏的分数是score修改score的值得到flag。

2022HNCTF-web

bossDDYY的博客

10-30

3188

应该和http协议有关想要什么肯定flag说我们不是admin 看看cookie修改cookie继续修改 x-forwarded-for [Week1]2048 分析题目描述你能达到20000分吗？应该是要求我们玩到20000分F12查看脚本直接输入在控制台输入 [Week1]easy_html 分析输入框限制了11位 f12修改html属性或者直接post参数 [Week1]Interesting_include 分析题目描述：web手要懂得搜索应该要借助浏览器一眼伪协议base64解码 [

week7题解1

08-08

题解7-1 创建一个结构体，把单词和对应的方式存进去，当输入一个单词时，就遍历查找，有则输出，没有则输出eh7-2用递归的做法，首先输入一个字符，如果不是‘[

2022美赛B题题解-水电共享赛题题解.zip

01-21

【2022美赛B题 - 水电共享赛题题解】美赛，全称为美国数学建模竞赛（MCM/ICM），是一项国际性的数学竞赛，旨在鼓励学生应用数学和计算机科学解决实际问题。2022年的美赛B题，即“水电共享”，是一个涉及到水资源...

HNCTF——web方向部分题解

m0_60715541的博客

11-01

1519

这是这次分享的题解的清单，主要是web的，等我啥时候有时间更新一波杂项的题解。

[HNCTF 2022 Week1]Interesting_http

kuzemax的博客

04-21

276

[BJDCTF 2020]easy_md5、[HNCTF 2022 Week1]Interesting_include、[GDOUCTF 2023]泄露的伪装

2401_82985722的博客

05-14

701

hint 是Oracle 提供的一种SQL语法，它允许用户在SQL语句中插入相关的语法，从而影响SQL的执行方式。php://filter/convert.base64-encode/resource=文件路径。=b，但是它们的MD5值相等，且此处为（==）弱比较类型。使用dirsearch扫描，发现状态码为200的/www.rar目录，url下载压缩包。但是它们的MD5值相等，且此处为（===）强比较类型，使用数组绕过。这也是or 1 = 1 的由来，所以在这里要尝试构造带or的参数。

HNCTF 2022 Week1 easyoverflow

2301_79793667的博客

12-19

539

存在危险函数gets，填满数组v4后填充v5，当v5！=0时，自动弹出flag，所以要用变量覆写。、先进行nc连接，发现输入一些东西后会被弹出程序。检查一下附件位数，用相应位数ida打开。首先开启环境，下载附件。

HNCTF 2022 Week1 web方向

konpure的博客

04-10

217

进题代码如下，直接php伪协议读取。

移动互联安全扩展要求测评项

最新发布

hakksjss的博客

07-10

1100

应为无线接入设备的安装选择合理位置，避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当，易被攻击者利用，特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击，因此要选择合理的位置安装无线接入设备。

usaco2022金组题解

05-10

USACO2022金组是国际在线判题系统USACO的最高级别，题目难度较高，在该比赛中取得好成绩是一项巨大的成就。以下是对该比赛的一些题目解析。第一题：“交通计划” 题目要求：给定一个n个节点的有向图，每条边有一个长度，希望添加最少的边使得所有节点连通，求最小生成树的权值和。解析：该题可以使用Kruskal算法求解，将每条边按权值从小到大排序，再依次加入，判断加入的边是否会形成环，若形成则不加入，直到所有节点连通为止。此时Kruskal算法得到的最小生成树的权值和即为所求。第二题：“点火计划” 题目要求：给定一个n个节点的有向图，每条边有一个权值和一个点火时长，每个节点有一个点火启动时刻和时刻结束时刻，希望从其中选出一些边点火，使得所有节点都可从点火的边出发到达，且所选点火边的总点火时长最小。解析：该题可以使用最小费用最大流算法求解。将每条边看做一个容量为1，费用为点火时长的边，源点向节点的点火边容量为1，费用为0的边，节点的点火边向汇点的容量为1，费用为0的边，对这个网络进行最小费用最大流即可得到所选边的总点火时长最小。第三题：“美味佳肴” 题目要求：给定n个菜品，每个菜品有它的权值和两个类别，希望选出k个菜品，使得选出的菜品数量在每个类别中都不超过$\frac{k}{3}$个，且所选菜品的权值和最大。解析：该题可以使用动态规划求解。设$f[i][j][k]$表示前i个菜品中，选择j个一类菜品，选择k个二类菜品的最大权值和，状态转移方程为$f[i][j][k]=max(f[i-1][j][k],f[i-1][j-1][k]+a[i],f[i-1][j][k-1]+b[i])$，其中a[i]为i号菜品的权值，若为一类则为该权值，否则为0，b[i]为i号菜品的权值，若为二类则为该权值，否则为0。最终答案为$f[n][$k/3$][$k/3$]。以上是对USACO2022金组的部分题目的解析，USACO比赛是全球范围内的计算机竞赛，竞争非常激烈，能够在该比赛中脱颖而出是一项非常棒的成就。

“相关推荐”对你有帮助么？

非常没帮助
没帮助
一般
有帮助
非常有帮助

提交