发布于 / 更新于 / writeup / 热度 0 / 喜欢 0

web部分

babyt3

首先,访问进去发现有提示:

A7IK54.png
开始测试:
get方式传参file=index.php发现无限加载。说明可以加载php文件,
尝试读取源码。使用php协议php://filter/read=convert.base64-encode/resource=xxx.php
读取index.php的源码。
得到:

<?php
$a = @$_GET['file'];
if (!$a) {
    $a = './templates/index.html';
}
echo 'include $_GET[\'file\']';
if (strpos('flag',$a)!==false) {
    die('nonono');
}
include $a;
?>

<!--hint: ZGlyLnBocA== -->

提示dir.php,读取dir.php得到:

<?php
$a = @$_GET['dir'];
if(!$a){
$a = '/tmp';
}
var_dump(scandir($a));

发现可以读取目录。然后就是看目录啦,(因为什么都没过滤,所以比较简单)通过../来跳转目录,最后发现flag再根目录
A7Ta3d.png

然后就是通过协议读取flag。
playload:http://61.164.47.198:10000/index.php/?file=php://filter/read=convert.base64-encode/resource=../../../../ffffflag_1s_Her4
A77gZ6.png
base64解码得到fllag。

misc部分

奇怪的TTL字段

经过大佬发的提示:
AHaEUU.png

经过研究发现ttl就63,127,191,225.一般ttl二进制的前两位隐藏这数据。所以就提取前两位然后拼在一起然后每八位一转转换为16进制然后再转图片就ok了。

上脚本:

#coding=utf-8
import re
import math

f=open('ttl.txt','r')
s=f.read()
s=re.sub('\n',' ', s)
s=re.sub('TTL=','', s)
s=re.sub('191','10', s)
s=re.sub('63','00', s)
s=re.sub('255','11', s)
s=re.sub('127','01', s)
s=s.split()
s=''.join(s)

import binascii
flag = ''
for i in range(0,len(s),8):
    flag += chr(int(s[i:i+8],2))
flag = binascii.unhexlify(flag)
wp = open('res.jpg','wb')
wp.write(flag)
wp.close()

得到图片:

AHDbuj.jpg

方式二:
得到16进制字符串后到16进制编辑工具里保存下来也可得到图片。
AHrEUx.png
AHrMKH.png

然后通过binwalk分离一下得到6张图片,然后拼接一下得到一个二维码。
AHr5ZR.png
扫码得到:
key:AutomaticKey cipher:fftu{2028mb39927wn1f96o6e12z03j58002p}
然后就是维吉尼亚解密:
网址:http://68.168.134.3/vigener/
进行解密
得到flag:flag{2028ab39927df1d96e6a12b03j58002v}

相关文章
评论
返回顶部
  • i春秋2020新春战“疫”网络安全公益赛 web Writeup

    前言这次比赛题目质量挺好的,除啦环境可能有时候有点问题。(就让我遇到了。心态炸了一天。。。)其他都挺好的。 DAY1简单的招聘系统知识点:sql注入的联合注入或盲注存在注册和登陆功能,首先进行注册后登陆进系统,发现有一个模块是管理员才...

    i春秋2020新春战“疫”网络安全公益赛 web Writeup
  • 2019安洵杯+2019广外比赛web部分题解

    2019安洵杯easy_web知识点:MD5强碰撞,命令执行这个题比较简单,看题目发现传入参数img和cmd,然而图片是传入的img参数控制,让我想到ddctf的一道题,然后发现img是通过把文件名进行转十六进制后两次base64编码...

    2019安洵杯+2019广外比赛web部分题解
  • 2019极客大挑战RCE ME

    题目环境:http://114.116.44.23:40001/ 题目还是老样子。无字母数字rce。知识点其实都有写过,就不说了。详细参见:【RCE提高篇】题目源码: <?php ini_set("display_errors"...

    2019极客大挑战RCE ME
  • buuctf刷题记录(序)

    love math知识点:代码审计,绕waf直接给出源码: <?php error_reporting(0); //听说你很喜欢数学,不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ sho...

    buuctf刷题记录(序)
  • buuctf刷题记录

    前言最近感觉自己菜出来新境界。。。刷点题来证明我还存在。。。言归正传。开刷 hack world知识点:sql布尔盲注,bypass进入题目,发现这是典型的sql布尔盲注,题目给出了表名和列名都是flag,用burp进行fuzz测试发...

    buuctf刷题记录
  • OGeek CTF 2019-Enjoy You Self

    前言最近ctf不少,但是成绩不咋样,菜的真实。新学期开始了,最后一年了。。。继续努力吧。OPPO OGeek CTF 2019咋说呢,菜。。。总结一下学到的东西吧。 Enjoy You Self线上环境:http://47.107.2...

    OGeek CTF 2019-Enjoy You Self
  • 2018n1ctf-esay-php复现

    前言最近做题,两次遇见这个题。第一次看着writeup都没复现成功。emm(菜的真实。。。)。这次自己搭的环境用三种方法来复现这个题。 环境搭建官方给了环境,有dockerfile。所以比较容易搭建的。官方文件在docker上安装上d...

    2018n1ctf-esay-php复现
  • 刷题记录

    一步步慢慢绕题目: <?php show_source(__FILE__); $v1=0;$v2=0;$v3=0; $a=(array)json_decode(@$_GET['foo']); if(is_array($a)){ ...

    刷题记录
  • sql注入新姿势-2019强网杯

    前言woc前一段时间,写过一次,发现被我搞丢了,气死…重写ing 随便注首先,对题目进行测试尝试一下1'发现会得到报错,尝试一下万能密码1' or '1'='1,发现能够把当前表所有的值全部输出...

    sql注入新姿势-2019强网杯
  • ciscn线下部分题解

    前言ciscn华中赛区线下赛让我认识到自己是真的菜。。。总结一下这次比赛吧。 web1 <?php // ini_set("display_errors", "On"); // error_reporting(E_ALL | ...

    ciscn线下部分题解
ESC