第二届广东省强网杯

web

broken

打开网页拿到一个文件,是jsfuck编码,但是损坏了,然后将开头的[[改成[][就可以解码了

然后直接拿去网站解码就行了,注意他弹出的不是flag,他的flag是一个变量名的赋值

解码网站推荐https://enkhee-osiris.github.io/Decoder-JSFuck/

who are you

点进去发现没有权限,然后继续找找,看见cookie有一个很奇怪的值

先对他进行base64解密再rot13解密可以得到s:5:"guest"

把guset改成admin再倒着加密回去,就可以以admin的身份登进来了

发现他要我们传文件过去,这里补充一点,后台接文件可以用file_put_contents函数,然后第二个data参数可以是数组

原题是不传数组会触发waf,文件类型没有要求,所以构造payload可以是filename=1.txt&data[]=<php? phpinfo();?>

还有一点就是如果data没有phpinfo是不能读取到文件的flag的,成功模拟了文件上传后,访问就行了

phone number

这题其实考了二阶sql注入,跟一阶其实差不多,只是数据写进了数据库,然后注入点是注册那里的电话号码,而且题目说了admin的电话有flag

其实题目还挺简单的,考的也只是报错注入,除了每次都要注册很麻烦→_→

 

 

 

Musee de X

这题进去随便注册一个账号,然后去donate,address随便放个进去,name要用回注册的名字,不然会触发waf

首先注册了一个ugh的账号,然后url乱填可以看到报错

报错可以看见用户名是text,text在jinja2.Template(text).render()执行,所以可以确定注入点在用户名而且是jinja模板注入

然后一开始注册的时候去注册一个用户名利用python语句实现动态加载对象,执行命令读取文件

最终payload是gg{{''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals.linecache.os.popen('cat flag*').read()}}

address可以用一张黑色图片方便看回显http://pic.58pic.com/58pic/17/28/21/24d58PICqnU_1024.jpg    

这里顺便推荐一篇绕过waf的很好地博客http://p0sec.net/index.php/archives/120/

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值