CheckInGame

checkInGame本题是个js游戏

设置个断点后,之后修改时间即可,然后把游戏玩完就行。

ezWeb

本题是模板注入,过滤了{}和"",用︷︸和无引号的payload绕过就行了

CrossFire

联合注入双写绕过。load_file直接读源码。

<?php

    error_reporting(0);

    session_start();

    include('config.php');

    $upload = 'upload/'.md5("shuyu".$_SERVER['REMOTE_ADDR']);

    @mkdir($upload);

    file_put_contents($upload.'/index.html', '');

    if(isset($_POST['submit'])){

        $allow_type=array("jpg","gif","png","bmp","tar","zip");

        $fileext = substr(strrchr($_FILES['file']['name'], '.'), 1);

        if ($_FILES["file"]["error"] > 0 && !in_array($fileext,$type) && $_FILES["file"]["size"] > 204800){

            die('upload error');

        }else{

            $filename=addslashes($_FILES['file']['name']);

            $sql="insert into img (filename) values ('$filename')";

            $conn->query($sql);

            $sql="select id from img where filename='$filename'";

            $result=$conn->query($sql);

            if ($result->num_rows > 0) {

                while($row = $result->fetch_assoc()) {

                    $id=$row["id"];

                }

            move_uploaded_file($_FILES["file"]["tmp_name"],$upload.'/'.$filename);

            header("Location: index.php?id=$id");

            }

        }

    }

    elseif (isset($_GET['id'])){

        $id=addslashes($_GET['id']);

        $sql="select filename from img where id=$id";

        $result=$conn->query($sql);

        if ($result->num_rows > 0) {

            while($row = $result->fetch_assoc()) {

                $filename=$row["filename"];

            }

        $img=$upload.'/'.$filename;

        echo "<img src='$img'/>";

        }

    }

    elseif (isset($_POST['submit1'])){

        $allow_type=array("jpg","gif","png","bmp","tar","zip");

        $fileext = substr(strrchr($_FILES['file']['name'], '.'), 1);

        if ($_FILES["file"]["error"] > 0 && !in_array($fileext,$type) && $_FILES["file"]["size"] > 204800){

            die('upload error');

        }else{

            $filename=addslashes($_FILES['file']['name']);

            move_uploaded_file($_FILES["file"]["tmp_name"],$upload.'/'.$filename);

            @exec("cd /tmp&&python3 /tar.py ".escapeshellarg('/var/www/html/'.$upload.'/'.$filename));

            }

        }

?>

config.php

$conn=mysqli_connect("localhost","root","root","shuyu");

if (mysqli_connect_error($conn))

{

    echo "???? MySQL ???: " . mysqli_connect_error();

}

foreach ($_GET as $key => $value) {

	 $value= str_ireplace('\'','',$value);

	 $value= str_ireplace('"','',$value);

     $value= str_ireplace('union','',$value);

     $value= str_ireplace('select','',$value);

     $value= str_ireplace('from','',$value);

     $value= str_ireplace('or','',$value);

	 $_GET[$key] =$value;

 }

?>

完后文件上传结合目录穿越拿shellflag{332a580f-b254-48fd-91b4-1d4fb6ad14fb}

ezMd5

http://122.112.253.121:10032/robots.txt

发现有个可疑目录,打开后是一个文件,明显是pwn题

然后利用栈溢出可以覆盖返回值username =240610708password=CCCCCCCCCCBBBBBBBBBBBBBBBBBBBBBBQNKCDZO

太湖杯writeup的更多相关文章

  1. 津门杯WriteUP

    最近很浮躁,好好学习 WEB power_cut 扫目录 index.php <?php class logger{ public $logFile; public $initMsg; publ ...

  2. 2017湖湘杯Writeup

    RE部分 0x01 Re4newer 解题思路: Step1:die打开,发现有upx壳. Step2:脱壳,执行upx -d 文件名即可. Step3:IDA打开,shift+F12看字符串. 点进 ...

  3. 蓝盾杯writeup

    由于比赛时只给了内网,web题目无法复现,这里就简单写一下misc的部分题目 1.眼花了吗 (默默吐槽居然是来自实验吧的原题) 提示:当眼花的时候会显示两张图,可以想到应该是包含双图的情况 用fore ...

  4. 2021 羊城杯WriteUP

    比赛感受 题目质量挺不错的,不知道题目会不会上buu有机会复现一下,躺了个三等奖,发下队伍的wp Team BinX from GZHU web Checkin_Go 源码下载下来发现是go语言写的 ...

  5. CTF 湖湘杯 2018 WriteUp (部分)

    湖湘杯 2018 WriteUp (部分),欢迎转载,转载请注明出处! 1.  CodeCheck(WEB) 测试admin ‘ or ‘1’=’1’# ,php报错.点击登录框下面的滚动通知,URL ...

  6. 2017湖湘杯复赛writeup

    2017湖湘杯复赛writeup 队伍名:China H.L.B 队伍同时在打 X-NUCA  和 湖湘杯的比赛,再加上周末周末周末啊,陪女朋友逛街吃饭看电影啊.所以精力有点分散,做出来部分题目,现在 ...

  7. CTF-i春秋网鼎杯第四场部分writeup

    CTF-i春秋网鼎杯第四场部分writeup 因为我们组的比赛是在第四场,所以前两次都是群里扔过来几道题然后做,也不知道什么原因第三场的题目没人发,所以就没做,昨天打了第四场,简直是被虐着打. she ...

  8. CTF-i春秋网鼎杯第二场misc部分writeup

    CTF-i春秋网鼎杯第二场misc部分writeup 套娃 下载下来是六张图片 直接看并没有什么信息 一个一个查看属性 没有找到有用信息 到winhexv里看一下 都是标准的png图片,而且没有fla ...

  9. CTF-i春秋网鼎杯第一场misc部分writeup

    CTF-i春秋网鼎杯第一场misc部分writeup 最近因为工作原因报名了网鼎杯,被虐了几天后方知自己还是太年轻!分享一下自己的解题经验吧 minified 题目: 一张花屏,png的图片,老方法, ...

随机推荐

  1. python爬虫 -掘金

    import json from time import sleep import requests url = "https://web-api.juejin.im/query" ...

  2. arcgis activeX 安全提示消除办法

    点击任何的一个ArcToolBox 工具,光标落在参数输入框时,会提示 "在此页面上的ActiveX控件和本页上的其他部分的交互可能不安全.你想允许这种交互操作吗? " 消除办法 ...

  3. 攻防世界-mfw

    打开题目,让我们看看about这个链接是什么,我们看到了这个 他说他写这个站点用了git.php.bootstrap这很容易就能让我们想到,git源码泄露,这我们直接掏出githack, python ...

  4. 使用Socket通信(二)

    这个socket有梗,主要是服务器端有梗,可能大家会碰到同样的问题,网上查了好久,这里分享一下解决办法.首先在第一个module建一个类SimpleServer,这个类就是服务端,建好之后在代码左边有 ...

  5. 批量安装Zabbix_Agent

    使用自动化部署工具Ansible批量部署zabbix_agent. 1. 安装Ansible yum –y install ansible 内网情况下,现在ansible及其依赖的rpm包,添加到yu ...

  6. 【Aspose.Words for Java】 对word文档,增加页眉,页脚,插入内容区图像,

    一.环境准备 jar包:aspose-words-20.4.jar 或者去官方网站下载: 官方网站:https://www.aspose.com/ 下载地址:https://downloads.asp ...

  7. 学习写简单Spring源码demo

    最近在研究怎么实现简单的Spring的源码,通过注解的方式来实现对bean的加载管理. 首先先来看下我的工程结构: (1)spring-common:定义了常用的枚举常量,工具类(如FileUtils ...

  8. [LuoguP1005]矩阵取数游戏 (DP+高精度)

    题面 传送门:https://www.luogu.org/problemnew/show/P1005 Solution 我们可以先考虑贪心 我们每一次都选左右两边尽可能小的数,方便大的放在后面 听起来 ...

  9. 寻找性能更优秀的动态 Getter 和 Setter 方案

    反射获取 PropertyInfo 可以对对象的属性值进行读取或者写入,但是这样性能不好.所以,我们需要更快的方案. 方案说明 就是用表达式编译一个 Action<TObj,TValue> ...

  10. 说说 C# 9 新特性的实际运用

    你一定会好奇:"老周,你去哪开飞机了?这么久没写博客了." 老周:"我买不起飞机,开了个铁矿,挖了一年半的石头.谁知铁矿垮了,压死了几条蜈蚣,什么也没挖着." ...