南邮tip sql.php_南京邮电大学 CTF Write Up

最新推荐文章于 2024-03-15 14:23:54 发布
最新推荐文章于 2024-03-15 14:23:54 发布
阅读量275 收藏
点赞数
文章标签: 南邮tip sql.php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32376927/article/details/115108225
版权

这次来看看某著名大学——

(Ps:因本人较懒,所以做题时都是手工+度娘,几乎没有用到浏览器以外的工具,如有更好的办法,欢迎留言告知~)

Web

签到题

直接查看源代码吧。。

key在哪里?

nctf{flag_admiaanaaaaaaaaaaa}

Flag:nctf{flag_admiaanaaaaaaaaaaa}

md5 collision

直接给了源码,来看看

$md51 = md5('QNKCDZO');

$a = @$_GET['a'];

$md52 = @md5($a);

if(isset($a)){

if ($a != 'QNKCDZO' && $md51 == $md52) {

echo "nctf{*****************}";

} else {

echo "false!!!";

}}

else{echo "please input a";}

发现利用的是MD51=MD52来跳出flag,而且还给了个参数a,那么只需要让参数a的值经过MD5加密后与字符串QNKCDZO经过加密后的MD5值相等就好了。加密后发现是0E开头的密文,即PHP解析0E开头的md5漏洞。详情参照:?a=s878926199a(自行百度,数不胜数),即

签到题2

口令是11位数的zhimakaimen,输入会发现这个输入框限制输入长度为10位数,本人Firefox浏览器直接按F12(或鼠标单击右键审查元素)找到这一行:

style="background-image:url··· type="password">

maxlength="10"的10改成>=11,再输入就可以提交口令了。

Flag:nctf{follow_me_to_exploit}

这题不是web

既然不是web,源码和头文件也没有任何提示信息,就把这张图下载下来,改为txt格式打开,Ctrl+F快速查找,发现flag在文末。。还真的不是WEB啊

Flag:nctf{photo_can_also_hid3_msg}

层层递进

没啥思路。。。就右键查看源代码,跟随底部链接,依次访nctf{javascript_aaencode}

打开是乱码,习惯性用转码工具(Alt->查看->文字编码->Unicode)转换一下发现是一对堆表情,明显是JS加密,直接F12贴进控制台跑一下,Flag就出来了~

Flag:nctf{javascript_aaencode}

单身二十年

查看源码,点击,Flag直接出来了。。

Flag:nctf{yougotit_script_now}

php decode

因为PHP环境没有配置好还是什么原因,据说eval函数可以执行php代码,但我将他写好放进本地根目录的时候打开会报错,所以也就没做留着以后填坑

文件包含

LFI漏洞,自行百度补充。

学到了一点猥琐的知识,在服务器端的.php文件无法直接显示,用base64加密(read=convert.base64-encode)后拿到密文再解密,就可以看到源码了。

asdf

error_reporting(0);

if(!$_GET[file]){echo 'click me? no';}

$file=$_GET['file'];

if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){

echo "Oh no!";

exit();

}

include($file);

//flag:nctf{edulcni_elif_lacol_si_siht}

?>

Flag:nctf{edulcni_elif_lacol_si_siht}

单身一百年也没用

和单身二十年一样,看源码,点击 结果却跳转到了

/no_key_is_here_forever.php,猜想是用了重定向,F12查看网络,就能发现index.php这个包,果然是302重定向,查看响应没有东西,那么应该在头文件了,果然,不出所料~

响应头:

Server: sae

Date: Sat, 13 Jan 2018 08:17:43 GMT

Content-Type: text/html

Content-Length: 0

Connection: keep-alive

flag: nctf{this_is_302_redirect}

Location: http://chinalover.sinaapp.com/web8/no_key_is_here_forever.php

Via: 1566

Flag: nctf{this_is_302_redirect}

Download~!

不能做,留着以后填坑~

COOKIE

先弄明白COOKIE是个什么东西,验证身份用的对吧?那么然后去看请求包,F12网络,发现请求头和响应头之间的基情:

Host: chinalover.sinaapp.com

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Cookie: Login=0

Connection: keep-alive

Upgrade-Insecure-Requests: 1

DNT: 1

Cache-Control: max-age=0

Server: sae

Date: Sat, 13 Jan 2018 08:27:49 GMT

Content-Type: text/html

Transfer-Encoding: chunked

Connection: keep-alive

Via: 15146

Set-Cookie: Login=0

Content-Encoding: gzip

cookie:Login=0,题目给的有Tips啊,0==not,按照程序员的思维(不要问为什么,嘿嘿嘿),那么1==yes,改之,出Flag.

Flag:nctf{cookie_is_different_from_session}

MYSQL

按照提示进去robots.txt后转码看到如下内容:

别太开心,flag不在这,这个文件的用途你看完了?

在CTF比赛中,这个文件往往存放着提示信息

TIP:sql.php

if($_GET[id]) {

mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);

mysql_select_db(SAE_MYSQL_DB);

$id = intval($_GET[id]);

$query = @mysql_fetch_array(mysql_query("select content from ctf2 where id='$id'"));

if ($_GET[id]==1024) {

echo "

no! try again

";

}

else{

echo($query[content]);

}

}

?>

好了,TIP又出来了,进去sql.php看看,什么都没有,回来看到这一行

if ($_GET[id]==1024) {

echo "

no! try again

";

}

/sql.php?id=1024后提示try again,换到/sql.php?id=1025后提示no more。。虽然不懂原理,但是猥琐的试了一波/sql.php?id=1024.5,哈哈,成功拿到Flag~

后来才知道重点是这儿

if ($_GET[id]==1024) {

echo "

no! try again

";

}

else{

echo($query[content]);

}

要求提交的ID在值上==1024,但又不能是1024,否则就会try again。。任意的小数都可以~ ~ Wpsec的基友们记不记得某浪想要的998?同一个道理~

/x00

(膜拜大佬,不甘心这道题,看了Writeup恶补一番知识才弄明白,此题writeup直接拖)

view-source:

if (isset ($_GET['nctf'])) {

if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE)

echo '必须输入数字才行';

else if (strpos ($_GET['nctf'], '#biubiubiu') !== FALSE)

die('Flag: '.$flag);

else

echo '骚年,继续努力吧啊~';

}

这里ereg有两个漏洞

1.%00截断及遇到%00则默认为字符串的结束

2.当ntf为数组时它的返回值不是FALSE

所以有两个方法拿flag

1.令id=1%00%23biubiubiu

2.令nctf为数组,即nctf[]=1

Flag:nctf{use_00_to_jieduan}

伪装者

改了X-Forwarded-For没用,不用改Referer,应该是服务器出问题了,看了writeup后发现思路也没错。。自行补充XFF和Referer和UA在HTTP协议中的作用吧。。

Header

直接F12看头文件,Flag就在里面。

Date: Sun, 14 Jan 2018 10:42:18 GMT

Server: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

Flag: nctf{tips_often_hide_here}

Content-Length: 132

Connection: close

Content-Type: text/html; charset=UTF-8

Flag:nctf{tips_often_hide_here}

bypass again

打开见到

if (isset($_GET['a']) and isset($_GET['b'])) {

if ($_GET['a'] != $_GET['b'])

if (md5($_GET['a']) === md5($_GET['b']))

die('Flag: '.$flag);

else

print 'Wrong.';

}

GET可以接受数组 但md5()不能加密数组内的数据,所以令a和b分别为数组,可以绕过,所以在url里加入index.php?a[]=1&b[]=2,即可看到Flag

Flag: nctf{php_is_so_cool}

综合题

一大堆,是jother编码,控制台跑一下出来1bc29b36f623ba82aaf6724fd3b16718.php,贴入URL发现被耍了= =,TIP在头里,查看头文件发现

Server: sae

Date: Sat, 13 Jan 2018 08:47:08 GMT

Content-Type: text/html

Transfer-Encoding: chunked

Connection: keep-alive

tip: history of bash

Via: 1566

Content-Encoding: gzip

百度一波history of bash,发现某大佬文章.bash_history,贴入url发现

zip -r flagbak.zip ./*

再次下载,发现被损坏无法解压。。常规思路,改为txt格式发现Flag~

Flag:nctf{bash_history_means_what}

Re

Hello,RE!

因为工具的不兼容。。RE的题就没做。。

Pwn

When did you born?

提取码错误。。

Stack Overflow

不会做,留着以后搞~

Crypto

easy!

丢Base64解密,秒出。。

Flag:nctf{this_is_base64_encode}

Keyboard

题目就是键盘,看提示也是键盘,那么就从键盘入手,会发现形状是字母areuhack,

题目也说了加上nctf{}。。

Flag:nctf{areuhack}

异性相吸

提取码错误,以后填坑吧

Misc

全部提取码错误。。就先放着吧

谢谢你快来
关注
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解)
渗透、攻防、CTF、编程
07-04 4455
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
php eval ctf,浅谈CTF中命令执行与绕过的小技巧
weixin_39758618的博客
03-16 1425
*本文原创作者:pupiles,本文属FreeBuf原创奖励计划,未经许可禁止转载缘起lemon师傅在安全客里发表的一篇文章,总结的很详细,学到了很多姿势。但是在此我还想画蛇添足的做一些补充及解释。补充一下命令执行的漏洞。空格绕过< 符号%09 符号需要php环境,这里就不搭建啦,见谅)$IFS$9 符号${IFS} 符号这里解释一下${IFS},$IFS,$IFS$9的区别,首先$IFS在...
javaScript蓝桥杯-----芝麻开门
平安喜乐
06-04 782
在阿里巴巴和四十大盗的故事中,阿里巴巴因为无意中知道了开门的咒语人生发生了翻天覆地的变化,四十大盗也因为咒语的泄露最终丧命。芝麻开门的咒语作为重要的信息推动着故事的发展。下面由你来为门设置这道机关,输入芝麻开门后才能放行。
CTFWeb-BUUCTF竞赛真题WriteUp(1)_ctf no0b
最新发布
yy1715713348的博客
03-15 2067
BUUCTF (北京联合大学CTF)平台拥有大量免费的 CTF 比赛真题环境:此处记录下部分 Web 题目练习过程。
CTFPHP黑魔法总结
aiquan9342的博客
10-05 482
继上一篇php各版本的姿势(不同版本的利用特性),文章总结了php版本差异,现在在来一篇本地日记总结的php黑魔法,是以前做CTF时遇到并记录的,很适合在做CTF代码审计的时候翻翻看看。 一、要求变量原值不同但md5或sha1相同的情况下 1.0e开头的全部相等(==判断) 240610708 和 QNKCDZO md5值类型相似,但并不相同,在”==”相等操作符的运算下,结果返回...
Python-dsstore:用于解析.DS_Store文件并提取文件名的库
05-03
./samples/目录中包含一个CTF格式的示例文件,您可以使用python3 main.py ./samples/.DS_Store.ctf尝试解析器。 这是我的博客文章,试图详细解释其结构和格式: : 用法 $ python main.py samples/.DS_Store.ctf ...
md5.zip_ctf的md5题_md5 ctf_md5 ctf_md5解密 ctf_解密
09-20
CTF(Capture The Flag)竞赛中,MD5常常被用于创建挑战,参赛者需要通过逆向工程或查找已知的哈希碰撞来解密MD5值。 在"md5.zip"这个压缩包中,包含两个文件:"md5.py"和"code.txt"。"md5.py"很可能是一个Python...
hac.zip_CTF信息隐写_ctf
09-23
【标题】"hac.zip_CTF信息隐写_ctf"是一个关于CTF(Capture The Flag)比赛中的信息隐写技术的入门教程。CTF是一种网络安全竞赛,参赛者通过解决各种安全问题来获取“旗标”或关键信息,以此赢得比赛。而信息隐写则...
CTF.rar_ctf_seed7rj
09-21
【标题】"CTF.rar_ctf_seed7rj" 暗示了这是一个与网络安全相关的挑战,CTF(Capture The Flag)是网络安全领域常见的比赛形式,通常涉及逆向工程、密码学、网络攻防等技能。"seed7rj"可能是这次挑战的一个特定标识...
“安恒杯”南京邮电大学首届CTF网络攻防比赛实施方案.pdf
09-09
“安恒杯”南京邮电大学首届CTF网络攻防比赛实施方案
CTF中常见的PHP函数漏洞
渗透、攻防、CTF、编程
07-04 2575
1.弱类型比较 2.MD5 compare漏洞 PHP在处理哈希字符串时,如果利用”!=”或”==”来对哈希值进行比较,它把每一个以”0x”开头的哈希值都解释为科学计数法0的多少次方(为0),所以如果两个不同的密码经过哈希以后,其哈希值都是以”0e”开头的,那么php将会认为他们相同。 常见的payload有 0x01 md5(str) QNKCDZO 240610708 s878926199a s155964671a s214587387a...
CTFPHP代码审计1
bmth666的博客
03-10 3873
弱类型 $a==$b 等于 ture:如果类型转换后$a等于$b $a===$b 全等 ture:如果$a等于$b,并且他们的类型也相同 如果一个数值和一个字符串比较,那么会将字符串转换为数值 <?php var_dump(true==2);//true var_dump(true==0);//false var_dump(''==0);//true var_dump(0==false);/...
CTF平台题库writeup(一)--南邮CTF-WEB(部分)
渗透、攻防、CTF、编程
06-25 1万+
WEB题 1.签到题 题目:key在哪里? writeup:查看源代码即可获得flag! 2.md5 collision 题目: <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else {
php strlen ctf,PHP代码审计——EASY CTF
weixin_34315803的博客
03-11 746
0x01 extract变量覆盖$flag='xxx';extract($_GET);if(isset($shiyan)){$content=trim(file_get_contents($flag));if($shiyan==$content){echo'ctf{xxx}';}else{echo'Oh.no';}}?>?shiyan=&flag=1在file_get_content...
buuoj刷的两道简单ctf
臭nana的博客
06-09 713
虽然简单,但是有一些小trick值得记录一下 [MRCTF2020]套娃 F12查看源码,发现可疑代码 <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' &&
CGCTF平台web题writeup
test
10-25 1万+
前言 正文 签到题 10pt tips : 这一定是最简单的 连接 恩,key在源代码中 md5 collision 20pt 连接 直接贴出了代码 $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' &amp;amp;amp;&amp;amp;amp; $md51 == $md5...
CTFshow刷题日记-WEB-命令执行下55-77
Love&Share
09-04 3478
web55 if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){ system($c); } 不能出现英文字符 方法1 ?c=/???/????64 ???????? 但是这个不是通用的,base64不是每个机器都用 方法2 bzip2的使用 bzip2是linux下面的压缩文件的命令 我们可以通过该命令压缩fla
南邮CG-CTF—加密Crypto writeup
Senimo
08-02 2092
南邮CG-CTF—加密Crypto writeupeasy!Keyboard异性相吸注意!!Wiener Wiener Chicken DinnerBaby RSAClassical 南邮CG-CTF链接 easy! Keyboard 异性相吸 注意!! Wiener Wiener Chicken Dinner Baby RSA Classical ...
ctfshow命令执行
热门推荐
njh18790816639的博客
04-14 2万+
web29 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 过滤了flag(无论大小写) 然后开始构造url http://d21fb9a4-ae00-4ab5-89a5-21dbe59eaa19.challenge.
ctf.show_web5
10-22
ctf.show_web5是一个CTF比赛中的WEB模块第5关,需要传递两个参数v1和v2,要求v1必须是纯字母字符串,v2必须是数字或数字字符串,并且两个参数的md5值必须相等。可以利用md5的0e漏洞进行绕过。具体来说,可以构造一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值