南邮CG-CTF Web记录

MYSQL(利用精度，传参为小数)

robots.txt中的代码：

<?php
if($_GET[id]) {
   mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
  mysql_select_db(SAE_MYSQL_DB);
  $id = intval($_GET[id]);
  $query = @mysql_fetch_array(mysql_query("select content from ctf2 where id='$id'"));
  if ($_GET[id]==1024) {
      echo "<p>no! try again</p>";
  }
  else{
    echo($query[content]);
  }
}
?>

只有传参为1024的时候，不输出查询内容，那么很可能这里就有flag。

怎么保证我们能传进去1024，又能不被检测到，而且在查询的时候使用的又是1024呢？

我们看到有一个intval()函数，它会把其余类型的值转换为整型，且不遵守四舍五入，那么我们就在1024~1025间随便输入一个小数，就能拿到flag了。

层层递进

查看源码：

点击这个S0.html，一直点，最后到404.html。

flag在这：

单身二十年

点击页面中的“_到这里找key__”后，会发现url会跳转两次，先到search_key.php，再到no_key_is_here_forever.php。

no_key_is_here_forever.php这里是没有flag的，抓包抓到search_key.php，在repeater里发包，拿到flag。

php decode

<?php
function CLsI($ZzvSWE) {

    $ZzvSWE = gzinflate(base64_decode($ZzvSWE));

    for ($i = 0; $i < strlen($ZzvSWE); $i++) {

        $ZzvSWE[$i] = chr(ord($ZzvSWE[$i]) - 1);

    }

    return $ZzvSWE;

}
eval(CLsI("+7DnQGFmYVZ+eoGmlg0fd3puUoZ1fkppek1GdVZhQnJSSZq5aUImGNQBAA=="));
?>

把eval改成echo，跑一下就出来了。

/x00(特殊字符要进行url编码)

源码：

    if (isset ($_GET['nctf'])) {
        if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE)
            echo '必须输入数字才行';
        else if (strpos ($_GET['nctf'], '#biubiubiu') !== FALSE)
            die('Flag: '.$flag);
        else
            echo '骚年，继续努力吧啊~';
    }

ereg()函数有漏洞的，%00截断，%00被识别为尾部，对其后面的字符不予理睬。

传递nctf=222%00%23biubiubiu，拿到flag。

file_get_contents

源码：

<!--$file = $_GET['file'];
if(@file_get_contents($file) == "meizijiu"){
    echo $nctf;
}-->

我们要做的就是传递一个内容为meizijiu的文件名，我们并无法知道哪个文件里有这串字符。

这里用到PHP的一个伪协议：php://input，读取post当做输入流