向诚

向诚

巷子里的猫很自由,却没有归宿。
telegram
email

2024茂安杯初高中組WriteUp

Web1#

签到題

image-20240808170851461

view-source 一下

image-20240808170927179

得到 qweasdrtyfgh.php

image-20240808171000834

Web2#

index 是一個go to test.php的超鏈,進去後一眼文件包含

image-20240808171106313

讀了一下 index 跟 test 的源碼,沒有什麼發現,繞不過 strpos

image

但是 data 流可用,說明開啟了allow_url_fopenallow_url_include

直接 system 任意命令執行寫文件發現當前目錄不可寫,ls 也看了一下沒有別的馬子,寫到 tmp 再配合文件包含 getshell

image-20240808171548683

image-20240808171857729

這道題拿了二血嘎嘎嘎

Web3#

image-20240808172153842

分析題目,這道題有以下幾個限制

1.phone必須是數組
2.avatar在post參數內不能帶flag字眼
3.string內不能有任何的root和別的字眼

那麼,在 post 內數組繞過第一個,然後再利用__destruct 反序列化鏈傳參即可。鏈中的 name 使用反序列化字符串逃逸繞過第二個限制,第三個限制只影響 post,post 的 avatar 跟解題無關,且不影響鏈中的 avatar

Payload:

name=O:9:"user_info":3:{s:4:"name";s:126:"rootrootrootrootrootrootrootrootrootrootrootrootrootrootrootrootrootrootrootrootrootrootrootrootrootrootrootrootrootrootroot";s:5:"phone";a:2:{i:0;i:1;i:1;i:1;}s:6:"avatar";s:5:"/flag";}&phone[]=1&avatar=123

image-20240808172635216

兩百分的題。一血多給了十分好耶!是唯一一個解出來的小組!

Misc1#

是一張圖片,不是 lsb 也不用改 weight

右鍵改成.rar 得到未加密壓縮包中的 rsa.txt

右鍵改成.zip 可得一個加密壓縮包,內有 flag.txt,不是偽加密

1723109396511

媽的我不會加密阿。丟去問 gpt 秒了

bfda59a5d29efefc00db14d075e0ba3

455f6b1e4e3fea002b50f877fc37f9d

Misc2#

签到題。壓縮包內二維碼掃描得到 flag 秒了

Crypto1#

签到題。

image-20240808173138965

PWN#

別的大手子教的。我也學不會就是

main 輸入兩個截斷後進入 get_data

img

這裡的 len 是自定義的可以為 - 1

img

進入 token 計算會異或一個 48 ('0'),如果我 name 就是 0,這個時候字符串會變為空

img

當後面賦值的時候因為 len 返回 - 1 就無限賦值了,v7 在 file 上面可以覆蓋到 file

img

算一下棧偏移打過去剛好把 s 中的 flag 覆蓋到 file,就打開 flag 並輸出

payload
輸入 0:0:

此文由 Mix Space 同步更新至 xLog
原始鏈接為 https://de3ay.com/posts/sec/maoming-ctf-writeup


載入中......
此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。