web:nssctf mydoor
打开环境,只有一片空白,源代码也什么都没有,题目的分类是涉及到php伪协议,之前写过一题也是为协议,当时是用base64的方式将源码给加密显现出来了,看一下当时得到命令试试看,是可以的
php://filter/read=处理方式(base64编码,rot13等等)/resource=要读取的文件;这是命令的解释。具体可以看https://www.jb51.net/article/267293.htm,解码看看
isset($_GET['N_S.S']):检查 GET 请求中是否存在名为 N_S.S 的参数。
eval($_GET['N_S.S']):如果存在,使用 eval 函数对该参数的值进行求值。
if(!isset($_GET['file'])):检查 GET 请求中是否不存在名为 file 的参数。
header('Location:/index.php?file=');:如果不存在,则使用 header 函数将用户重定向到 /index.php?file= 页面。
$file = $_GET['file'];:如果 file 参数存在,则将其值存储在 $file 变量中。
preg_match('/\.\.|la|data|input|glob|global|var|dict|gopher|file|http|phar|localhost|\?|\*|\~|zip|7z|compress/is', $file):使用正则表达式检查 $file 的值是否包含某些敏感字符或模式。
include $file;:如果 $file 的值不匹配上述正则表达式,则使用 include 函数将该文件包含进来。
对于一系列函数的禁用则主要是对为协议的命令的禁用,照我搜索到的资料,只有这个没被禁用
根据解码出来的函数,接下来输入的指令要包含N_S.S,且是要能抓取或者显现flag的。
去看了别人的wp才知道,要用这个N[S.S=phpinfo();"/index.php" 是服务器上的文件路径,"?N [S.S=phpinfo ();" 是查询参数。为什么要把_换成[呢?php中提交的GET参数名称不能具有_ 必须使用[ 进行替换。phpinfo ()是php里的一个函数,表示输出。显示出来用CTRL+h搜索就可以了
misc:polar靶场爆破鬼才
打开是文件,水印和分析都看过了,010分析看文件尾部有类似zip格式的字符得知需要分离一下
用foremost分离一下,得到zip文件,可是还要密码,爆破一下
得到密码解压即可
pwn:polar靶场play
pe查壳,ida打开
看伪代码,读取我们输入的内容100个字节给buf
shift+F12没找到bin/sh等后门函数,估计是buf变量存在溢出,因为v1字节大小只有48,追踪buf,看内存地址
用一下别人的脚本并理解一下
比以往的脚本多了 shellcode = asm(shellcraft.sh()):使用 shellcraft.sh() 生成一个用于获取 shell 的汇编代码,然后通过 asm 函数将其汇编成机器码。p.recvuntil("I think you must enjoy playing.\n"):接收服务器发送的数据,直到遇到指定的字符串 "I think you must enjoy playing.\n"。p.sendline(shellcode):将生成的 shellcode 发送到服务器。p.recvuntil('Name your favorite game?\n'):再次接收数据,直到遇到指定字符串。
asm 函数的作用是将汇编语言代码转换为机器码(字节序列);recvuntil:持续接收数据,直到接收到指定的字符串(或字节序列)为止。
crypto:polar靶场夏多的梦
这题涉及到一个叫夏多密码的图形密码
每行的首个图像对应表中的1、2、3、4,他们分别代表将后面的图像旋转几度,1则表示0度,以此类推,旋转之后再对应的表中寻找即可,解密可得明文为ILOVECTF,md5加密。
reserve:polar靶场sign up
查壳,ida打开
找关键函数就是里面的check函数
这个代码比较好理解,第一个循环对0-6位,其实就是前七位的我们输入的数字加一并检查与key_num是否相等,不相等的话就令v4=0,第二个循环则是我们输入的前四位加2再与key_password对比,不相等则v3=0,若v4和v3都等于0就输出上面,估计就是验证不通过之类的
直接追踪就可以了
可以看到两个对应的是什么,再进行上面的逆运算可得账号:081057009,密码:pmmr
按照题目给的方式md5加密即可