CG-CTF WEB部分wirteup

签到题

直接F12查看源码就能找到flag

 

 

md5 collision

题目源码

$md51 ==$md52存在弱类型漏洞,当md5的值开头为0e的字符串时会使用科学计数法进行比较。所以只需要提交和QNKCDZO一样开头为0e的字符串即可绕过

 

 

签到题2

输入口令取得flag

只能输入10个字符

F12修改maxlength绕过口令限制

 

 

这题不是WEB

打开题目是张gif图,F12看了下源码并没有发现什么

下载图片用winhex打开发现flag

 

 

层层递进

进去右键源码发现有个so.html,点进去页面源码还是有so.html

根据题意反复打开直到后面的404.html

flag就在404页面的javascript的注释中了

不过是竖着的

 

 

AAencode

AAencode为javascript的一种颜文字编码

打开题目乱码,修改浏览器编码为unicode即可

复制粘贴进控制台

 

单身二十年

进入题目只有一个链接

打开后显示

开burp抓个包

查看http_history

在Response中获得flag

 

php decode

题目源码

直接修改eval为echo获得flag

 

 

文件包含

点击题目链接后url为http://4.chinalover.sinaapp.com/web7/index.php?file=show.php

包含点应该就在?file上

使用伪协议php://filter查看index源码

获得源码Base64

解码后就拿到flag了

 

单身一百年也没用

这一题和上一题解法一样,burp抓个包就能拿到flag,不再多述

只不过跳转方式不同(这题是302)

 

COOKIE

题目已经提示TIP: 0==not

burp抓包修改cookie的login为1

即可拿到flag

 

MYSQL

根据提示打开robots.txt文件后获得源码

根据源码提示需要id为1024才能拿到flag,但是$_GET[id]==1024时则会输出no! try again

intval()只会获取变量整数,==不会判断比较的参数是否为同类型,所以只要将提交参数修改为浮点即可绕过

如?id=1024.1

 

 

/x00

题目源码

这题有两种解法

通过数组绕过ereg或者使用00截断

payload

 

bypass again

题目源码

弱类型比较

构造md5开头为0e的字符串即可绕过(如a=s878926199a&b=QNKCDZO)

 

 

变量覆盖

题目源码

extract函数没有指定extract_rules,则会导致变量覆盖

可以覆盖已有的变量,构造pass=1&thepassword_123=1即可拿到flag

 

上传绕过

修改了Content-Type依旧不行

抓包发现请求中存在上传路径,构造00截断

上传成功,拿到flag

 

SQL注入1

题目源码

构造注入语句

 

此时sql语句便成为

拿到flag

 

pass check

strcmp()传入数组时会返回NULL

构造post pass[]=1,即可绕过

 

 

密码重置

将url中的user1参数修改为admin的base64
同时修改用户名为admin,html属性中将readonly删除,提交重置即可(也可以直接burp抓包修改)
提交后即可拿到flag
 
 

综合题

打开题目后出现jsfuck编码,复制放进控制台提交后得到一个路径
1bc29b36f623ba82aaf6724fd3b16718.php
访问后提示
 
脑袋即为头,那么就是在header中,上burp!
获得tip,history of bash
访问路径.bash_history
得到 zip -r flagbak.zip ./*
下载flagbak.zip
获得flag
 
 
点赞

发表评论

电子邮件地址不会被公开。必填项已用 * 标注