南邮CG-CTF Web记录

最新推荐文章于 2024-05-19 22:12:05 发布
最新推荐文章于 2024-05-19 22:12:05 发布
阅读量431 收藏
点赞数
分类专栏: CG 文章标签: 南邮web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz_Caleb/article/details/88369008
版权

MYSQL(利用精度,传参为小数)

robots.txt中的代码:

<?php
if($_GET[id]) {
   mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
  mysql_select_db(SAE_MYSQL_DB);
  $id = intval($_GET[id]);
  $query = @mysql_fetch_array(mysql_query("select content from ctf2 where id='$id'"));
  if ($_GET[id]==1024) {
      echo "<p>no! try again</p>";
  }
  else{
    echo($query[content]);
  }
}
?>

只有传参为1024的时候,不输出查询内容,那么很可能这里就有flag。

怎么保证我们能传进去1024,又能不被检测到,而且在查询的时候使用的又是1024呢?

我们看到有一个intval()函数,它会把其余类型的值转换为整型,且不遵守四舍五入,那么我们就在1024~1025间随便输入一个小数,就能拿到flag了。

 

层层递进

查看源码:

 点击这个S0.html,一直点,最后到404.html。

flag在这:

单身二十年

点击页面中的“_到这里找key__”后,会发现url会跳转两次,先到search_key.php,再到no_key_is_here_forever.php。

no_key_is_here_forever.php这里是没有flag的,抓包抓到search_key.php,在repeater里发包,拿到flag。

php decode

<?php
function CLsI($ZzvSWE) {
 
    $ZzvSWE = gzinflate(base64_decode($ZzvSWE));
 
    for ($i = 0; $i < strlen($ZzvSWE); $i++) {
 
        $ZzvSWE[$i] = chr(ord($ZzvSWE[$i]) - 1);
 
    }
 
    return $ZzvSWE;
 
}
eval(CLsI("+7DnQGFmYVZ+eoGmlg0fd3puUoZ1fkppek1GdVZhQnJSSZq5aUImGNQBAA=="));
?>

把eval改成echo,跑一下就出来了。

/x00(特殊字符要进行url编码)

源码:

    if (isset ($_GET['nctf'])) {
        if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE)
            echo '必须输入数字才行';
        else if (strpos ($_GET['nctf'], '#biubiubiu') !== FALSE)   
            die('Flag: '.$flag);
        else
            echo '骚年,继续努力吧啊~';
    }

ereg()函数有漏洞的,%00截断,%00被识别为尾部,对其后面的字符不予理睬。

传递nctf=222%00%23biubiubiu,拿到flag。

file_get_contents

源码:

<!--$file = $_GET['file'];
if(@file_get_contents($file) == "meizijiu"){
    echo $nctf;
}-->

我们要做的就是传递一个内容为meizijiu的文件名,我们并无法知道哪个文件里有这串字符。

这里用到PHP的一个伪协议:php://input,读取post当做输入流

 综合题

打开页面,js编码,解码得1bc29b36f623ba82aaf6724fd3b16718.php,进入该页面没有什么有用信息,抓包得到tip:

 给的提示是history of bash,就是命令行的历史命令呗,访问一下/.bash_history得到:

zip -r flagbak.zip ./*

访问这个压缩文件将其下载,解压得flag。

伪装者

Client-IP伪装成127.0.0.1拿flag。

pass check

贴上代码:

<?php
$pass=@$_POST['pass'];
$pass1=***********;//被隐藏起来的密码
if(isset($pass))
{
if(@!strcmp($pass,$pass1)){
echo "flag:nctf{*}";
}else{
echo "the pass is wrong!";
}
}else{
echo "please input pass!";
}
?>

要满足!strcmp($pass,$pass1),即是strcmp返回值为0,需要上传pass且其值和pass1相等,数组绕过即可,上传pass[]=。

起名字真难

贴上代码:

<?php
function noother_says_correct($number)
{
       $one = ord('1');
       $nine = ord('9');
       for ($i = 0; $i < strlen($number); $i++)
       {   
               $digit = ord($number{$i});
               if ( ($digit >= $one) && ($digit <= $nine) )
               {
                       return false;
               }
       }
          return $number == '54975581388';
}
$flag='*******';
if(noother_says_correct($_GET['key']))
   echo $flag;
else 
   echo 'access denied';
?>

让key不在字符1~9之间,而且满足$number == '54975581388',传递54975581388的十六进制0xccccccccc即可。

密码重置

进去网页是重置ctfuser 的密码,但题目要求重置admin的密码,抓包,将url传递的参数改成admin的base64,吧post 的user改为admin,密码随意,发包即拿到flag。

 

大千SS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf web培训资料pdf
10-06
通过url访问靶机web站点,观察页面中的功能点,对可能存在漏洞的页面进行探测。 常见的漏洞特征: SQL注入:www.example.com?id=1 文件包含:www.example.com?page=file1.php 文件上传
20210218CTF伪协议绕过file_get_contents(bugkuctfweb21御结冰城感想)
qq_45290991的博客
02-18 1万+
CTF中常用的php伪协议利用 </h1> <div class="clear"></div> <div class="postBody"> file://# 作用: 用于访问文件(绝对路径、相对路径、网络路径) 示例: http://www.xx.com?file=file:///etc/passswd ph...
关于 CTF 中 php 考点与绕过那些事的总结
Welcome To Myon'Blog !
03-04 2962
_POST //获取post数据,是一个字典$_GET //获取get数据,是一个字典$_COOKIE //获取cookie数据$_SESSION //获取session数据$_FILES //获取上传的文件$_REQUEST //获取$_GET, $_POST, $_COOKIE中的数据$_SERVER //用户和服务器的基本信息数据库$_ENV //环境数据$GLOBALS //所有全局变量。
2021-03-07
qq_45987641的博客
03-07 358
title: buu1-16 date: 2021-03-07 16:58:29 tags: 二刷buu 坦白说,第一次刷题感觉不是很好,很多东西没吸收,所以二刷,想把之前丢掉的知识捡回来。 [HCTF 2018]WarmUp 两个php文件,hint.php提示flag在ffffllllaaaagggg 代码审计: 白名单,传入值在白名单里, $_page = mb_substr(//mb_substr() 函数返回字符串的一部分 $page, 0,//从0开始截取 mb_strpos($page . .
file_get_contents() 函数详解与使用
wangxuanyang_zer的博客
11-27 9213
file_get_contents() 函数是 PHP 中一个功能丰富、易于使用的函数,可以用于文件操作和发起 HTTP 请求。通过深入理解该函数的使用方法,我们可以更高效地处理文件读取和远程资源获取任务。同时,使用上下文选项和其他相关函数,可以使 file_get_contents() 更加灵活和强大。在实际应用中,根据需求的不同,我们可以选择合适的方式来充分发挥其优势,提高代码的可维护性和效率。两个字 🐮 🍺 各位大佬来个三连支持一下。
云曦2024年春季学期期中考复现
最新发布
2401_82388450的博客
05-19 935
这句是进行一个url解码,在我们网页上输入网址位置也会进行一次url解码,代码中一句url解码 + 网页自带一句url解码,如果我没有算错的话应该是 2次 url解码,然后这个时候我们可以想到,url解码 + url解码 = admin,然后我们把admin进行编码两下。4.打开1.txt和2.txt文件,发现1中有png的头部,6中有尾部,这说明6个文件可以组成一张png。1.通过观察附件robots.txt,发现其中有很多文件,包括:zip,rar,备份文件等。
006-CTF web题型总结-第六课 CTF WEB实战练习(二) .pdf
07-09
CTF(Capture The Flag)是一种网络安全竞赛,其中的Web题型是常见的比赛环节,主要测试参赛者在Web安全领域的知识和技能。本篇内容主要针对CTF Web实战练习进行了总结,分为入门的第一部分和第二部分,涵盖了多个...
2022--CTF-Web.pdf
07-09
2022--CTF-Web
CTF Web学习笔记
01-11
### CTF Web学习笔记知识点详解 #### 杂项部分 **1. 隐写术** 隐写术是一种将信息隐藏于其他非秘密数据之中的技术,这种技术通常用于隐蔽通信或数据保护。在CTF竞赛中,经常出现的情况是将flag隐藏在图像、音频...
ctf 图片 php_一次ctf文件上传php代码审计
weixin_35753291的博客
03-09 777
朋友发的一个ctf题,做了好久才做出来,记录一下。0x01 源码highlight_file(__FILE__);@mkdir("./upload");if (isset($_POST['submit'])) {$is_upload = false;$text = null;if(!empty($_FILES['upload_file'])){$allow_type = array('image/...
[php_07]php文件系统
骑着代码去流浪
06-06 513
1.读取文件内容 PHP具有丰富的文件操作函数,最简单的读取文件的函数为file_get_contents,可以将整个文件全部读取到一个字符串中。 $content = file_get_contents('./test.txt'); file_get_contents也可以通过参数控制读取内容的开始点以及长度。 $content = file_get_contents('./test.t
PHP中file_get_contents的使用方法
Jack huang的专栏
03-26 7513
$data=file_get_contents("php://input"); php://input 是个可以访问请求的原始数据的只读流。 POST 请求的情况下,最好使用 php://input 来代替 $HTTP_RAW_POST_DATA,因为它不依赖于特定的 php.ini 指令。 而且,这样的情况下 $HTTP_RAW_POST_DATA 默认没有填充, 比激活 always_p......
CTF writeup 2_南邮网络攻防训练
热门推荐
Troy
10-28 146万+
地址地址WEB签到题这一定是最简单的 传送门:http://chinalover.sinaapp.com/web1/“key在哪里? ” 在源码里~md5 collision源码<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51
CGCTF平台web题writeup
test
10-25 1万+
前言 正文 签到题 10pt tips : 这一定是最简单的 连接 恩,key在源代码中 md5 collision 20pt 连接 直接贴出了代码 $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' &amp;amp;amp;&amp;amp;amp; $md51 == $md5...
南邮CTF练习题——web
dcison的博客
11-11 4万+
南邮CTF部分题解
file_get_contents("php://input")的使用方法
★昔梦无痕★
01-09 8940
$data = file_get_contents("php://input");     php://input 是个可以访问请求的原始数据的只读流。 POST 请求的情况下,最好使用 php://input 来代替 $HTTP_RAW_POST_DATA,因为它不依赖于特定的 php.ini 指令。 而且,这样的情况下 $HTTP_RAW_POST_DATA 默认没有填充, 比激活 alwa
文件包含file_get_contents_截断在文件包含和上传中的利用
weixin_39944146的博客
11-21 1738
截断大概可以在以下情况适用include(require)file_get_contentsfile_exists所有url中参数可以用%00控制0x01. 本地文件包含1.1 截断类型:php %00截断 截断条件:php版本小于5.3.4 详情关注CVE-2006-7243php的magic_quotes_gpc为OFF状态漏洞文件lfi.php<?php$temp = $_REQUES...
虚拟机挑战解析:hgame-week4-easyvm与cg-ctf WxyVM
这里提到的两个经典虚拟机题目来自南邮CG-CTF比赛,以及一个名为hgame的活动。CG-CTF的题目可能涉及到基础的数据处理和解密挑战,虽然初看可能并不明显与虚拟机相关,但随着对虚拟机概念的理解加深,可以发现它们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值