SWPU NSS新生赛校外通道(部分WP)
ez_sql:
首先我们进入环境,会发现给了如下提示
提示让我们相对安全的方式传参,所以使用POST方式传,然后参数是nss,之后我们先试试nss=1,会返回给我们两个flag
显然这两个flag都是假的flag,但是天真的我还是去试了试。然后我们用nss=1’看看是不是字符型注入,然后给我们返回了报错信息
通过报错信息我们可以看到是单引号的字符型注入,然后我们用order by来看看有几列,会发现有报错信息
通过报错信息我们可以知道,过滤了or和去除了空格,所以我们可以使用双写和来分别进行绕过,如下:
经过检验之后我们可以得知数据库有3列,然后我们通过显错注入的方式,来对数据库名进行查询,可以看到当前的库名为NSS_db
接下来我们进行爆表名和列名,注意information,里面含有or会被过滤,所以需要双写。
爆出来两个表NSS_tb,users,然后我们进去爆一下列名
会发现图中的几个列,如果显示不全的话,用mid函数截取一下即可,然后我们逐个查看,最后我们会在Secr3t发现flag。
webdog1__start:
进入环境,没有什么有用的信息,查看源码,会发现给我们的题目是传一个值,使他的md5加密后的值与他的原值相同,通过查找文档了解到0e215962017可以
payload:?web=0e215962017
传入后会跳转到一个页面
跳转到这个页面之后,能点的都点了,并没有发现提示在哪里,只有一些大佬的文章,于是我们只能使用bp进行抓包,看看有没有什么提示。
抓到包之后发现在返回包中存在hint。然后我们访问这个页面
访问之后又让我们继续去访问下一个
18){ die("This is too long."); } else{ eval($get); } }else { die("nonono"); }} ?>题目如上,是一个命令执行的题,大概意思是我们传入的值不能有空格,并且会将我们传入的字符串中的flag替换为空格,并且字符串长度不能超过18。我们构造如下payload
payload:?get=system('nl%09/f*');
where_am_i:
进入题目后会给我们一张图,并给我们提示,什么是11位?首先想到的就是手机号,结合图片,可以想到会不会是这个酒店的手机号,于是把图下载下来,然后去识图网站识图,可以知道,这个地方是成都古迹酒店,然后将手机号填入就可以了
奇妙的MD5
查看head,发现有md5绕过
查了查资料后发现可以使用万能绕过字符绕过ffifdyop,原理是函数将这个MD5加密后,会被再次转换位字符串,变成’or’6,此时函数一定为真。然后会跳转到下一个题目
显然这是一个弱类型的md5比较,我们直接使用数组绕过的方式进行绕过
payload:?x[]=1&y[]=2
ez_ez_php(revenge):
进入环境后直接显示源码如下:
通过题目可以得知传入的值前三位必须要是php,那么我们最先想到的就是php的伪协议
?file=php://filter/read=convert.base64-encode/resource=/flag
传入之后我们可以得到一串base64的码,进行转码后就可以得到flag了
numgame:
进入环境之后只有一个小小的加法框,并没有找到什么提示,f12查看源码也看不到,于是我们用view-source:来查看源码
发现存在/js/1.js 文件,查看之后会发现一串base64代码
解码之后会得到一个新的网页,我们进入访问会得到最后一道题
发现正则过滤了n和c,但是并没有区分大小写,所以我们可以直接大小写绕过。
传值之后,会给我们提示
payload:?p[]=Nss2&p[]=Ctf
1z_unserialize :
进入后拿到源码
lt; $a($this->lly); } }unserialize($_POST['nss']);highlight_file(__FILE__); ?> 构造exp
ez_ez_unserialize:
源码:
x = $x; } function __wakeup() { if ($this->x !== __FILE__) { $this->x = __FILE__; } } function __destruct() { highlight_file($this->x); //flag is in fllllllag.php }}if (isset($_REQUEST['x'])) { @unserialize($_REQUEST['x']);} else { highlight_file(__FILE__);}根据题目分析,可以得知x需要使用php伪协议来进行读取flag文件,由此,我们可以构造EXP
题中还有一个知识点,就是魔法函数wakeup的绕过。
最终的payload为
?x=O:1:"X":2:{s:1:"x";s:62:"php://filter/read=convert.base64-encode/resource=fllllllag.php";}
拿到之后进行base64解码就可以得到flag。
funny_php:
进入环境之后我们可以直接看到源码,如下:
999999999){ echo ":D"; $_SESSION['L1'] = 1; }else{ echo ":C"; } } if(isset($_GET['str'])){ $str = preg_replace('/NSSCTF/',"",$_GET['str']); if($str === "NSSCTF"){ echo "wow"; $_SESSION['L2'] = 1; }else{ echo $str; } } if(isset($_POST['md5_1'])&&isset($_POST['md5_2'])){ if($_POST['md5_1']!==$_POST['md5_2']&&md5($_POST['md5_1'])==md5($_POST['md5_2'])){ echo "Nice!"; if(isset($_POST['md5_1'])&&isset($_POST['md5_2'])){ if(is_string($_POST['md5_1'])&&is_string($_POST['md5_2'])){ echo "yoxi!"; $_SESSION['L3'] = 1; }else{ echo "X("; } } }else{ echo "G"; echo $_POST['md5_1']."\n".$_POST['md5_2']; } } if(isset($_SESSION['L1'])&&isset($_SESSION['L2'])&&isset($_SESSION['L3'])){ include('flag.php'); echo $flag; } ?>根据题目我们可以得知,如果最后想要拿到flag,需要将L1,L2,L3三个值都置为1,当让根据题目,想要使L1,L2,L3都为1,我们就需要解决3个问题。
第一题如下:
if(isset($_GET['num'])){ if(strlen($_GET['num'])<=3&&$_GET['num']>999999999){ echo ":D"; $_SESSION['L1'] = 1; }else{ echo ":C"; } }题目意思是让我们只用三个字符,来表示比999999999值大,那么我们首先想到的就是科学计数法
可以用1e9来表示。
第二道题如下:
if(isset($_GET['str'])){ $str = preg_replace('/NSSCTF/',"",$_GET['str']); if($str === "NSSCTF"){ echo "wow"; $_SESSION['L2'] = 1; }else{ echo $str; } }题目意思是会将你传入字符串中的NSSCTF替换为空,那么我们只需要使用双写来进行绕过即可。
第三道题如下:
if(isset($_POST['md5_1'])&&isset($_POST['md5_2'])){ if($_POST['md5_1']!==$_POST['md5_2']&&md5($_POST['md5_1'])==md5($_POST['md5_2'])){ echo "Nice!"; if(isset($_POST['md5_1'])&&isset($_POST['md5_2'])){ if(is_string($_POST['md5_1'])&&is_string($_POST['md5_2'])){ echo "yoxi!"; $_SESSION['L3'] = 1; }else{ echo "X("; } } }else{ echo "G"; echo $_POST['md5_1']."\n".$_POST['md5_2']; } }很明显,这是一道弱类型的MD5比较,直接传值即可。
payload:
这是我第一次写文章,如果文章里面写的有哪些不足之处,欢迎大家来帮忙指正,我现在还只是一个刚刚入门的小菜鸡,希望大家可以多多包含
来源地址:https://blog.csdn.net/qq_63205508/article/details/127572673
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
