文章讲述了作者在多个网络安全竞赛中遇到的挑战,包括命令执行漏洞、SQL注入、JS题解码等技术问题,以及解决策略和工具的使用。
昨天感觉左眼蒙上了一层黑雾,视野还收缩到只能看到中间一半,哈人,遂决定每日早睡早起。
[NSSCTF 2022 Spring Recruit]ezgame
游戏题,看js文件就可以了。
[LitCTF 2023]Follow me and hack me
如图,get加post就是了,彩蛋应该是当时这个比赛的某个flag组成题
彩蛋直接看的别的师傅wp:
[GXYCTF 2019]Ping Ping Ping
命令执行漏洞,这里需要加上命令执行符号,|,;,&这些符号弄懂了就很好做了,这里还禁止了空格,看过前几集的朋友相信很快就能想到绕过方法
还是附上相关博客:(键盘X 键坏了真烦,每次要用到的时候还得去笔记本键盘上按一下。)
命令执行RCE各种绕过合集_shell ;过滤绕过-优快云博客
这里测试看出来flag和其他很多符号被禁用了,但是$IFS还是可用的
稳一点你可以读index.php,懒一点我就直接cat 了
还是附上index.php内容,观察发现了他没有禁止``
那么我们可以直接用cat$lFS`ls`,这里ls会因为反引号执行,回显flag.php 和index.php,而这个执行是在通过过滤后才执行的,而我们的命令也因为通过了过滤,在最后就变为了
cat flag.php cat index.php
第二个方法:这里并没有禁止| 和 - 所以这里的base64编码我们也可以使用,具体步骤可以参考我刚才给出的链接.
第三步:利用$的拼接手段,因为$并没有被禁止,所以我们可用利用get特性,这一点后面有国赛题会用到这一知识,形式很简单,具体原因我没深究= =以后遇到再说拉。
?ip=127.0.0.1;a=g;tac$IFS$1fla$a.php
[LitCTF 2023]Ping
这里直接禁用了字母和数字,两种手段
一是这里f12看到他用的javascript,浏览器是可以禁用js的,具体步骤自己搜,然后直接传就是了
第二个是看到是post的command
于是直接post数据,因为js只是过滤了你输入框的内容,能管你post现阶段接触过的也就php函数。
然后就命令一把嗦,你要是burp就更简单了,抓包直接传,你都没感觉到这道题有什么阻碍。
[SWPUCTF 2021 新生赛]error
报错注入 SQL注入 双写后缀
f12看到:
不必多言,sqlmap启动
sqlmap -u http://node4.anna.nssctf.cn:28452/index.php?id= -D test_db -T test_tb -C flag --dump
sqlmap的payload:
id=' AND (SELECT 2546 FROM(SELECT COUNT(*),CONCAT(0x7176786271,(SELECT (ELT(2546=2546,1))),0x716a787071,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)
手注记得前面加1后面加#什么的.这里我就不费过多时间手注测试一下了。
[LitCTF 2023]1zjs
js题,这里flag这些搜索过了之后搜php,看到提示
访问看到,发现是jsfuck编码,以后还要barinfuck和phpfuck,Ook什么的,很多就是了。
搜个在线网站解码就是了:
CTF在线工具-在线JSfuck加密|在线JSfuck解密|JSfuck|JSfuck原理|JSfuck算法
这里去掉[],交上去就是了 ,丢word替换一下很快的。
等会开会去了,晚点估计更一波其他内容。
这里是很菜的WL。
感谢你的收看,希望能够帮到你.
那么我们下一集再见!
扫一扫
699
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
