NewStar新生赛w2wp
本文最后更新于:2023年10月16日 上午
NewStar新生赛W2部分wp
$\mathcal{Author:CoolWind}$
Misc
0x01 新建Word文档
打开doc
文件之后发现一段新佛曰加密,想要直接复制发现好像复制不了。因为doc
文件可以拆成zip
文件,因此将后缀改成zip
之后解压。
在word
文件夹中找到document.xml
文件,即为存储word
文档中内容的文档。
用浏览器打开之后复制,用新佛曰解密网站解密即可获得flag。
0x02 永不消逝的电波
一道很基础的摩斯电码题,拿到wav
文件之后,放到Audacity
里面看音频图,手抄摩斯电码,然后扔到CypherChef
里面进行解码,得到flag。
0x03 1-序章
打开文件之后发现是时间盲注的log文件,因此需要通过正则字符串对其进行处理。
通过搜索找到一个处理时间盲注log文件的脚本,简单的进行一些修改。
1 |
|
通过分析log可知,成功注入的点时间差为3s以上,故判断参数为大于等于3s,同时考虑夸分钟的情况,最后得到flag。
0x04 base!
打开之后发现一堆base
加密后的结果,直接解密得到一段很奇怪的看似完整的文字,鉴定为base64隐写
,直接借鉴一个脚本进行解密。
1 |
|
最后可以得到一串base64
加密。
CypherChef
解码之后得到flag。
0x05 WebShell的利用
打开得到index.php
,打开之后发现长串加密文件,考虑为多重套娃解密,直接写解密脚本。
1 |
|
其中$x
变量是密文。由于解密之后是一行eval
解密函数加上密文,因此需要通过正则表达式匹配将其提取出来,之后进行解密。
最后可以得到参数。
通过POST
传参可以直接RCE
,构造如下,得到flag。
Web
0x01 游戏高手
发现是一个打飞机的游戏,打开网络抓包之后发现一个js
文件,找到一个名为gameover
的游戏结束函数,发现是构造了一个POST
请求。
直接通过burp
发包可以得到flag。
0x02 include0。0
include注入,通过php伪协议绕过。
由于过滤掉了base
和rot
加密,因此可以使用convert.iconv.utf-8.utf-16be
进行读取,得到flag。
0x03 ez_sql
很好sqlmap,使我的靶机旋转。
上sqlmap没想到能直接扫到注入点,一把梭不解释。
0x04 Unserialize?
一眼反序列化,通过构造序列化内容。
同时通过审阅代码可以知道过滤了cat
等函数,通过引号绕过。
先构造ls /
爆出文件目录之后直接读取即可。
0x05 Upload again!
过滤<?
同时后端识别文件后缀的绕过,因此通过utf-7
和.htaccess
进行绕过。
首先传入utf-7
之后的一句话木马。
然后传入.htaccess
文件,令传入的1.png
文件通过php
的方式进行解析,同时进行utf-7
解码。
然后通过蚁剑直接进行连接,拿到flag。
0x06 R!!C!!E!! *赛后复现
由于BUUCTF平台有流量限制,因此刚开始扫的时候全是429,在通过-t 2 -s 0.2
限制了发包速度以及线程之后才能进行正常扫描。(图中为-t 3
,仍然会有429)
扫出来.git
文件泄露。
通过GitHack
进行重构可以得到bo0g1pop.php
文件,发现为无参数RCE。
通过构造如下文件头进行flag读取。
向star
参数中传入的函数意义如下:
getallheaders():获取请求包报头的所有Hearder。
array_reverse():构造一个逆序的数组。
pos():读取数组中指针当前位置的内容,从第一项开始。
因此在报头的最后添加一个X-Forwarder-For
,其内容为cat /f*
进行通配,并且报头名字可以改变。然后将其变成第一位,并且读取它的内容,通过eval
执行,故这样可以进行注入。