SWPU NSS新生赛(校外通道)

最新推荐文章于 2024-05-29 11:15:00 发布
最新推荐文章于 2024-05-29 11:15:00 发布
阅读量591 收藏
点赞数
文章标签: html 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62046696/article/details/127540354
版权

目录

numgame

Ez_upload

js_sign 

funny_web

numgame

 打开界面以后,发现禁用了ctrl+u和查看源码, 

然后抓包或f12,看见提示了超链接/js/1.js,访问试一下

base64解码,NsScTf.php ,访问

<?php
error_reporting(0);
//hint: 与get相似的另一种请求协议是什么呢
include("flag.php");
class nss{
    static function ctf(){
        include("./hint2.php");
    }
}
if(isset($_GET['p'])){
    if (preg_match("/n|c/m",$_GET['p'], $matches))
        die("no");
    call_user_func($_GET['p']);
}else{
    highlight_file(__FILE__);
}

我们的目的,就是通过get传参p然后,借助 call_user_func调用nss中的ctf静态方法

if (preg_match("/n|c/m",$_GET['p'], $matches))

就是禁用了n和c,然后/m以多文本形式,

call_user_func($_GET['p']);调用p传入的函数

这里普及一个知识点

 可以通过NSS::CTF调用类中的CTF的静态方法,这里的类名和方法名不区分大小写

所以我们就可以大写绕过

看见提示然后查看源码,出flag 

Ez_upload

一开始只要用,.htaccess     AddType application/x-httpd-php .jpg

然后更改 content-type的类型为:jpeg/image

然后上传一个.jpg文件木马就可以,禁了

 用这个代替,可是链接上了建蚁

flag为空

js_sign 

打开源码,访问超链接

document.getElementsByTagName("button")[0].addEventListener("click", ()=>{
    flag="33 43 43 13 44 21 54 34 45 21 24 33 14 21 31 11 22 12 54 44 11 35 13 34 14 15"
    if (btoa(flag.value) == 'dGFwY29kZQ==') {
        alert("you got hint!!!");
    } else {
        alert("fuck off !!");
    }    
})

发现如下源码,看见base64解密tapcode百度是一种编码的格式

 得到flagTap Code | Boxentriq

funny_web

<?php
session_start();
highlight_file(__FILE__);
if(isset($_GET['num'])){
    if(strlen($_GET['num'])<=3&&$_GET['num']>999999999){
        echo ":D";
        $_SESSION['L1'] = 1;
        echo "=================";
    }else{
        echo ":C";
    }//让num长度小于3,并且大于999999999,想到了浮点型9e9
}
if(isset($_GET['str'])){
    $str = preg_replace('/NSSCTF/',"",$_GET['str']);
    if($str === "NSSCTF"){//经过过滤仍然等于NSSCTF
        echo "wow";
        $_SESSION['L2'] = 1;//这里想到了 NSSNSSCTFCTF 这样双写绕过
    }else{
        echo $str;
    }
}
if(isset($_POST['md5_1'])&&isset($_POST['md5_2'])){
    if($_POST['md5_1']!==$_POST['md5_2']&&md5($_POST['md5_1'])==md5($_POST['md5_2'])){
        echo "Nice!";
        if(isset($_POST['md5_1'])&&isset($_POST['md5_2'])){
            if(is_string($_POST['md5_1'])&&is_string($_POST['md5_2'])){
                echo "yoxi!";
                $_SESSION['L3'] = 1;//md5弱类型,并且双方为字符串
            }else{
                echo "X(";
            }
        }
    }else{
        echo "G";
        echo $_POST['md5_1']."\n".$_POST['md5_2'];
    }
}


?>

file_master

 比赛结束后,放出了源码,才恍然大悟,其实不难,就是自己要重复实验操作

<?php
session_start();
if(isset($_GET['filename'])){
    echo file_get_contents($_GET['filename']);
}
else if(isset($_FILES['file']['name'])){
    $whtie_list = array("image/jpeg");
    $filetype = $_FILES["file"]["type"];
    if(in_array($filetype,$whtie_list)){
        $img_info = @getimagesize($_FILES["file"]["tmp_name"]);
        if($img_info){
            if($img_info[0]<=20 && $img_info[1]<=20){
                if(!is_dir("upload/".session_id())){
                    mkdir("upload/".session_id());
                }
                $save_path = "upload/".session_id()."/".$_FILES["file"]["name"];
                move_uploaded_file($_FILES["file"]["tmp_name"],$save_path);
                $content = file_get_contents($save_path);
                if(preg_match("/php/i",$content)){
                    sleep(5);
                    @unlink($save_path);
                    die("hacker!!!");
                }else{
                    echo "upload success!! upload/your_sessionid/your_filename";
                }
            }else{
                die("image hight and width must less than 20");
            }
        }else{
            die("invalid file head");
        }
    }else{
        die("invalid file type!image/jpeg only!!");
    }
}else{
    echo '<img src="data:jpg;base64,'.base64_encode(file_get_contents("welcome.jpg")).'">';
}
?>

 提醒我们无效的头文件,

 然后GIF89a,提示我们图像宽高小于20

 去掉文件头上传成功,然后写一句话木马

 有延迟然后报错,估计是php被过滤掉了

php短标签上传成功,上传路径由upload/sessionid/文件名构成 

获得flag 

Power!

<?php
    class FileViewer{
        public $black_list = "flag";
        public $local = "http://127.0.0.1/";
        public $path;
        public function __call($f,$a){
            $this->loadfile();
        }
        public function loadfile(){
            if(!is_array($this->path)){
                if(preg_match("/".$this->black_list."/i",$this->path)){
                    $file = $this->curl($this->local."cheems.jpg");
                }else{
                    $file = $this->curl($this->local.$this->path);
                }
            }else{
                $file = $this->curl($this->local."cheems.jpg");
            }
            echo '<img src="data:jpg;base64,'.base64_encode($file).'"/>';
        }
        public function curl($path){
            $url = $path;
            $curl = curl_init();
            curl_setopt($curl, CURLOPT_URL, $url);
            curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
            curl_setopt($curl, CURLOPT_HEADER, 0);
            $response = curl_exec($curl);
            curl_close($curl);
            return $response;
        }
        public function __wakeup(){
            $this->local = "http://127.0.0.1/";
        }
    }
    class Backdoor{
        public $a;
        public $b;
        public $superhacker = "hacker.jpg";
        public function goodman($i,$j){
            $i->$j = $this->superhacker;
        }
        public function __destruct(){
            $this->goodman($this->a,$this->b);
            $this->a->c();
        }
    }
    if(isset($_GET['source'])){
        highlight_file(__FILE__);
    }else{
        if(isset($_GET['image_path'])){
            $path = $_GET['image_path'];    //flag in /flag.php
            if(is_string($path)&&!preg_match("/http:|gopher:|glob:|php:/i",$path)){
                echo '<img src="data:jpg;base64,'.base64_encode(file_get_contents($path)).'"/>';
            }else{
                echo '<h2>Seriously??</h2><img src="data:jpg;base64,'.base64_encode(file_get_contents("cheems.jpg")).'"/>';
            }
            
        }else if(isset($_GET['path_info'])){
            $path_info = $_GET['path_info'];
            $FV = unserialize(base64_decode($path_info));
            $FV->loadfile();
        }else{
            $path = "vergil.jpg";
            echo '<h2>POWER!!</h2>
            <img src="data:jpg;base64,'.base64_encode(file_get_contents($path)).'"/>';
        }
    }
?>

呃呃呃还没弄懂,先欠着

偶尔躲躲乌云334
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NSSCTF-SWPUCTF 2021 新生-web-wp
F1rstb100d
09-19 694
NSSCTF-SWPUCTF 2021 新生-web-wp
[SWPUCTF 2021 新生]traditional
03-15
SWPUCTF 2021 新生的传统题目中,我们看到了一道有趣的密码题目,它与八卦图和二进制数学有着紧密的联系。莱布尼茨是西方的二进制数学的发明者,他受到中国的八卦图的启发,演绎并推论出了数学矩阵,最后创造了...
SWPU NSS新生校外通道(部分WP)
qq_63205508的博客
10-28 1059
NSSCTF、SWPU NSS新生校外通道、WP
NSSCTF WEB 部分upload类型
最新发布
Tiny_Hacker的博客
05-29 558
上传一个文件,并用bp抓包上传失败,根据提示内容将content-type后的内容进行修改改为image/jpeg成功,尝试用蚁剑连接这个题的flag在env内。
SWPU NSS新生校外通道】web:奇妙的MD5、whereami、webdog1__start、ez_ez_php、ez_ez_php(revenge)
weixin_46497491的博客
10-23 1249
SWPU NSS新生校外通道】web:奇妙的MD5、whereami、webdog1__start、ez_ez_php、ez_ez_php(revenge)
NSS [SWPUCTF 2022 新生]xff
Jay17的博客
07-04 491
NSS [SWPUCTF 2022 新生]xff
SWPU大数据概论课程报告
01-31
SWPU大数据概论课程报告》是一份详细探讨大数据领域的学习资料,主要针对对大数据感兴趣的学员或研究人员。作为一份课程报告,它很可能包含了大数据的基本概念、核心技术、应用领域以及未来发展趋势等多个方面的...
swpu前端实验4的实验
04-23
实验报告 课程:Web前端应用开发实验 项目:jQuery基础应用 成绩: 专业班级: 班内序号: 指导教师:杨云 姓名: 学号: 实验日期: ...1. 掌握jQuery页面初始化方法:在网页加载完成后执行特定的操作,如绑定事件、...
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
SWPU学分绩点计算器女生版
02-06
SWPU学分绩点计算器女生版】是一款专为西南石油大学(SWPU)学生设计的,具有图形用户界面(GUI)的绩点计算工具。它以美观的界面,为女生用户提供了更友好的体验,虽然“女生版”在功能上与普通版本并无本质区别...
2023年SWPU NSS 秋季招新 PWN
Xzzzz911的博客
10-20 559
西南石油大学举办的一场新生,总体来说举办的不错,支持支持,明年再来!!!这次比总体不错,RE和CRYPTO都做了些,可惜的就是PWN没有ak,暴露出了自己的弱点,还是要慢慢沉淀,对汇编还真的不是很熟,加油吧,冲冲冲!!!
[SWPU CTF]之Misc篇(NSSCTF)刷题记录⑥
Aluxian_的博客
05-01 1991
第十二张图: 新闻联播 一般我晚上 7点或者19.00。第一张图:20%和80% 猜测可能是 28或82。第三张图:而立之年 30而立嘛 肯是30。第二张图:一张八卦图 猜测是08。第六张图:飞机歼-20 20。第七张图:两只黄鹂鸣翠柳 02。第八张图:一起去看流星雨 17。第四张图:北斗七星图 07。第五张图:江南四大才子 04。第十一张图:12星座 12。第十张图:一马当先 01。第九张图:乔丹 23。
SWPUCTF 2022新生 web部分wp
weixin_44770698的博客
01-16 3803
SWPUCTF 2022新生
[SWPUCTF 2022 新生] 刷题记录
rev1ve的博客
08-12 841
SWPUCTF 2022 新生 若调用类中的静态方法,则需要传递一个数组作为第一个参数。数组的第一个元素是类名,第二个元素是要调用的静态方法名。F12,web开发者都被办了,尝试查看源代码,得到。跟第二关相比变成了强等于,直接数组绕过。打开题目,发现加到19就会变成-20。很明显是使用sql注入中的万能密码。一看就是base64加密,直接解码。打开题目,第一关提示在http头。分析一下,提示POST传参,出现。分析一下,进行反序列化时,会让。然后执行函数,且参数值为。绕过后,得到第三关源代码。
【CTF】[UUCTF 2022 新生]ez_upload
西原一点红的博客
06-19 836
Apache解析漏洞主要是因为Apache默认一个文件可以有多个用.分割得后缀,当最右边的后缀无法识别(mime.types文件中的为合法后缀)则继续向左看,直到碰到合法后缀才进行解析(以最后一个合法后缀为准),可用来绕过黑名单过滤。webshell工具连接。flag 在/目录下。
NSSCTF-[SWPUCTF 2022]-web
J1ng_Hong的博客
11-14 652
ls发现根目录下有一个flag文件,然后用cat把他读取出来就行了。然后就得到了flag。
2022 SWPU新生&HNCTF web部分题目
weixin_63231007的博客
11-02 3234
SWPU在start.php 界面抓个包,发包得到:F1l1l1l1l1lag.phpThinkPHP V5 rce 漏洞在网上可以找到现成的payload替换whoami命令为我们要执行的命令即可反序列化构造 assert(eval($_POST[1]));cat /flag即可ez_1zpop之后把属性改大一位,绕过__wakeup()函数numgame查看js源码发现了NsScTf.php。
CTF刷题第二周
qq_62660611的博客
11-13 1346
刷题第二周
2023年SWPU NSS 秋季招新
10-18
2023年SWPU NSS2023年SWPU NSS2023年SWPU NSS秋季招新是指西南石油大学网络安全协会(NSS)在2023年秋季举办的招新NSS是一个由热爱网络安全的学生自发组织的团队,旨在提高学生的网络安全意识和技能。招新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值