XYCTF2024

news/2024/10/14 16:16:37

XYCTF2024

warm up

又是md5

源码

<?php
include 'next.php';
highlight_file(__FILE__);
$XYCTF = "Warm up";
extract($_GET);if (isset($_GET['val1']) && isset($_GET['val2']) && $_GET['val1'] != $_GET['val2'] && md5($_GET['val1']) == md5($_GET['val2'])) {echo "ez" . "<br>";
} else {die("什么情况,这么基础的md5做不来");
}if (isset($md5) && $md5 == md5($md5)) {echo "ezez" . "<br>";
} else {die("什么情况,这么基础的md5做不来");
}if ($XY == $XYCTF) {if ($XY != "XYCTF_550102591" && md5($XY) == md5("XYCTF_550102591")) {echo $level2;} else {die("什么情况,这么基础的md5做不来");}
} else {die("学这么久,传参不会传?");
}什么情况,这么基础的md5做不来

image-20240427164306405

传入 ?val1=QLTHNDT&val2=s878926199a

image-20240427164332811

image-20240427164341739

传入 &md5=0e215962017

image-20240427164407491

image-20240427164443978

image-20240427164439832

extract是典型的变量覆盖关键字

image-20240427164541273

传入 &XY=Warm up

image-20240427164655513

然后发现 md5($XY) == md5("XYCTF_550102591")

无论如何都行不通

看了wp 换了个思路

查看 md5("XYCTF_550102591")是0e开头的,$XY$XYCTF传入一样的值,条件全部满足

构造payload

?val1=QLTHNDT&val2=s878926199a&md5=0e215962017&XY=PJNPDWY&XYCTF=PJNPDWY

image-20240427165103623

进入第二部分

LLeeevvveeelll222.php

<?php
highlight_file(__FILE__);
if (isset($_POST['a']) && !preg_match('/[0-9]/', $_POST['a']) && intval($_POST['a'])) {echo "操作你O.o";echo preg_replace($_GET['a'],$_GET['b'],$_GET['c']);  // 我可不会像别人一样设置10来个level
} else {die("有点汗流浃背");
}有点汗流浃背

intval函数可以获取变量的整数值,用于强制类型转换

image-20240427170242171

利用数组绕过 a[]=1

image-20240427170334052

preg_replace()默认是替换所有符号匹配条件的元素

绕过 preg_replace函数

本题采用的是无限传参 参考文章

本题是 /e执行任意命令

image-20240427214158419

ezmd5

image-20240428191930767

随便上传两张照片 发现是需要两张照片的md5值相等

原文链接

image-20240428192142926

ezhttp

扫描后台

image-20240428212835396

访问robots.txt

image-20240428205339662

接着访问

image-20240428210036779

image-20240428210102622

伪造refer

抓包

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hjln.cn/news/33538.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈,一经查实,立即删除!

相关文章

一文彻底整明白,基于Ollama工具的LLM大语言模型Web可视化对话机器人部署指南

在上一篇博文中,我们在本地部署了**Llama 3 8B**参数大模型,并用 Python 写了一个控制台对话客户端,基本能愉快的与 Llama 大模型对话聊天了。但控制台总归太技术化,体验不是很友好,我们希望能有个类似 ChatGPT 那样的 Web 聊天对话界面,本博文就安排起来……在上一篇博文…

常见Windows图标和缩略图问题的解决方法 steam图标变白、变地球

常见Windows图标和缩略图问题的解决方法 steam图标变白、变地球原文地址:https://itxiaozhang.com/common-windows-icon-thumbnail-issues-solutions/ 此教程配合视频学习效果最佳,视频教程在文章末尾。Windows桌面图标问题指南 在使用Windows操作系统时,我们经常会遇到各种…

使用GET方法访问网站

使用GET方法访问网站 服务器接收get参数 server.pyimport flask app = flask.Flask(__name__) @app.route(/) def index():province = flask.request.args.get(province)city = flask.request.args.get(city)print(province, city)return province+","+citydebug=Tru…

m基于BP译码算法的LDPC编译码matlab误码率仿真,对比不同的码长

1.算法仿真效果 matlab2022a仿真结果如下:2.算法涉及理论知识概要低密度奇偶校验码(Low-Density Parity-Check, LDPC)是一种高效的前向纠错码,因其优越的纠错性能和近似香农限的接近程度而广泛应用于现代通信系统中。LDPC码的编译码算法众多,其中Belief Propagation(BP)…

免费解锁Windows 11的HEVC支持:轻松播放4K电影的详细步骤

Windows 11的HEVC支持Windows 11 安装完成后,用电影和电视这个应用打开4K或者8K的MP4文件时,提示缺少解码器 以下就是本人解决过程 第一步:查找HEVC扩展的Microsoft Store页面 (本人直接浏览器打开:https://apps.microsoft.com/,搜索HEVC扩展,得到以下页面)复制地址栏的…

轻松玩转Python文件操作:移动、删除

哈喽,大家好,我是木头左!Python文件操作基础 在处理计算机文件时,经常需要执行如移动和删除等基本操作。Python提供了一些内置的库来帮助完成这些任务,其中最常用的就是os模块和shutil模块。这两个模块包含了许多与文件和目录操作相关的函数。 理解os模块 os模块是Python中…

Winform窗体的属性页没有显示筛选框

新建一个Wiform项目,在新窗体中添加了一些Button、TextBox,然后查看这个窗体的属性页,发现属性页上方没有属性筛选框 如果你装了Dev Express,那么在窗体上放置一些Dev的控件,发现属性出现了筛选框 然后尝试一下创建一个Dev窗体DevExpress.XtraEditors.XtraForm,仍然不会出…

视觉Mamba的多向扫描策略真的有效吗?

前言 本文对主流的扫描方向及其组合对遥感图像语义分割的影响进行了全面的实验研究。通过在LoveDA、ISPRS Potsdam和ISPRS Vaihingen数据集上广泛的实验,我们证明了无论其复杂性或扫描方向的数量,没有一个扫描策略能够显著优于其他策略。所以对于高分辨率遥感图像的语义分割,…