目录
week1
泄漏的秘密
Begin of Upload
Begin of HTTP
ErrorFlask
Begin of PHP
R!C!E!
EasyLogin
week2
游戏高手
include 0。0
ez_sql
Unserialize?
Upload again!
R!!C!!E!!
week1
泄漏的秘密
使用ctf-scan.py(https://github.com/kingkaki/ctf-wscan)扫描敏感信息,扫出www.zip,index.php和robots.txt里面各一半flag
Begin of Upload
前端检测文件拓展名:
先上传个图片文件,然后抓包修改后缀名为php,写入一句话:
解析成功:
读flag:
Begin of HTTP
按照它的提示传入get和post参数:
查看源码看到secret信息
base64解码
需要修改power为ctfer,抓包发现是Cookie参数,修改
提示用NewStarCTF2023浏览器,修改User Agent为:NewStarCTF2023
提示从newstarctf.com访问,修改Referer为newstarctf.com
本地用户,修改X-Real-IP为127.0.0.1,得到flag
ErrorFlask
输出number1和number2的和,提示不是ssti模板注入,flag在源码里面
传入字符,构造报错,查看源码,得到flag
Begin of PHP
数组绕过一切
R!C!E!
EasyLogin
爆破admin密码为000000,flag在重定向跳转页面
week2
游戏高手
直接修改分数得到flag
include 0。0
文件包含rot和base被过滤了,还有一个十六进制的可以用
?file=php://filter/read=convert.iconv.utf-8.utf-16le/resource=flag.php
ez_sql
先判断闭合方式,单引号异常
双引号正常,所以是单引号闭合
判断字段数,有过滤用大小写绕过,Order by 6回显异常,所以字段数为5
联合查询查数据
查表名,注意大小写绕过
查列名,注意大小写绕过
查列内容,注意大小写绕过
Unserialize?
当一个对象销毁时,__destruct魔术方法自动被调用,所以反序列化的时候对象销毁,__destruct魔术方法自动被调用。
构造poc
看到flag文件
用head命令读取flag
对于private变量,我们需要在类名和字段名前面都会加上\0的前缀
如果想放在浏览器中直接提交,我们可以将\0换成%00
Upload again!
黑名单限制了后缀名,还检测文件内容,Apache 服务器传入.htaccess文件,解析图片文件为php,文件内容使用base64编码绕过文件内容检测
上传.htaccess文件,解析shell.gif为php,文件内容base64编码
上传图片马,base解码内容为<?php eval($_POST["shell"])?>
解析成功,读取flag
R!!C!!E!!
git源码泄露得到源码
无参rce,查看getallheaders()函数 -> 取得服务器响应一个 HTTP 请求所发送的所有头信息。发现第二个是X-Request-ID这里实际情况可能不一样,
没有过滤next,构造poc读取flag
