1. 题目名称:BuyFlag
打开页面发现有个payflag的页面
![图片[1]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/1-2-1024x412.png)
点进去查看源代码发现注释中有代码
![图片[2]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/2-2.png)
判断password参数是否是404,这里利用了is_numeric函数来进行判断所以提交404%20即可绕过is_numeric的判断。
![图片[3]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/3-2-1024x633.png)
又要求必须是学生才行,这里看到cookie的user字段。这里我们改为1再进行提交。
通过判断一开始在源代码中的代码,我们添加money参数,将参数设置为flag的价格,然后显示金额太长。
![图片[4]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/4-2-1024x620.png)
在经过测试后发现修改为数组后可以获得flag
![图片[5]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/5-2-1024x637.png)
2. 题目名称:你传你马呢
打开主页发现文件上传的地方
![图片[6]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/6-2-1024x382.png)
上传一个写有后门的图片格式文件发现可以上传。
![图片[7]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/7-2-1024x637.png)
我们上传一个.ph作为尝试,发现已经被拦截,然后进行修改大小写发现依然拦截。所以推测是对ph进行了检测进制上传。
![图片[8]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/8-2-1024x546.png)
那么我们就尝试上传一个.htaccess,发现可以上传。
![图片[9]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/9-2-1024x594.png)
接下来直接上传一个jpg格式的带有后门的文件。
![图片[10]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/10-2-1024x637.png)
菜刀连接,获得flag。
![图片[11]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/11-2.png)
3. 题目名称:BackupFile
通过提示下载index.php.bak
![图片[12]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/1-3-1024x632.png)
打开文件发现如下代码
<?php
include_once "flag.php";
if(isset($_GET['key'])) {
$key = $_GET['key'];
if(!is_numeric($key)) {
exit("Just num!");
}
$key = intval($key);
$str = "123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3";
if($key == $str) {
echo $flag;
}
}
else {
echo "Try to find out source file!";
}
Key只能为一个整数,这里我们通过php的弱类型比较,直接将传入123即可获得flag
![图片[13]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/2-3-1024x378.png)
4. 题目名称:easy_tornado
打开题目显示了3个文件
![图片[14]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/3-3.png)
打开后发现连接中每个文件后面都会有一个filehash。
![图片[15]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/4-3-1024x283.png)
尝试修改文件名发现包含不了其它文件。提示Error
![图片[16]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/5-3-1024x350.png)
其实这个页面是存在注入点的,将参数修改为msg={{handler.settings}}可看到cookie_secret
![图片[17]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/6-3-1024x211.png)
根据初始三个文件内所提示的flag文件为/fllllllllllllag,filehash的算法为md5(cookie_secret+md5(filename))
对应的脚本为:
<?php
echo md5('ca906815-a3dc-4636-ad24-057f7b90fc2f'.md5('/fllllllllllllag'));
读取flag:
![图片[18]-CTF赛题全解之CTF成长之路(三)-Apibug](https://www.apibug.com/wp-content/uploads/2020/08/7-3-1024x235.png)
© 版权声明
THE END
请登录后发表评论
注册
社交帐号登录