youbing的博客

这里ssti用fenjing试试发现flag，提取flag

找了一圈没发现有用信息用dirsearch扫描发现/robots.txt告诉我们/fAke_f1agggg.php访问后得到一个假flag，在响应中找到/fl4g.php,发现有三层绕过，构造payload绕过

?num=3e4&md5=0e215962017&get_flag=ls

发现fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag可能是flag，这里cat被限制了用ca\t绕过用${IFS}绕过空格然后得到flag

这里说6秒之后跳转给shell,6秒后给了个一句话木马，POST传个参数告诉我们“真是shell我能给你？”，这条路走不通只能换条路，没找到有用信息用dirsearch扫一下。发现/flag

然后就得到flag了

用编辑器查看发现有隐藏文件binwalk分离出来，压缩包要密码，用暴力破解软件未检查到加密文件，用编辑器查看发现是伪加密，改为无加密后得到SHCTF{Evan_1s_s0_h4nds0me!}

尝试ls发现执行成功显示flag.php和index.php，但是cat似乎被禁用了，这里先看看环境变量里面有没有flag如果再去考虑绕过检测，输入env成功在环境变量中找到flag

题目要求a和b变量不相等但是md5值相等，FL_AG不能等于flag，让a=240610708&b=QNKCDZO在POST方式传个FL_AG=pass,就得到了第一个hint

进入/L0vey0U.php，直接给了一个flag但是假的，看代码应该是要让str反序列化等于YES I love这里序列化一下s:10:"YES I love";再url编码?str=s:10:%22YES%20I%20love%22;

第二个hint让看P0int.php根据代码构造payload

O:5:"Clazz":2:{s:1:"a";N;s:1:"b";R:2;}

解码得到flag

 响应标头显示这是一个python写的后端，可能存在ssti漏洞，提交{{2*3}}返回6证明存在ssti漏洞尝试得到flag {{''.__class__.__base__.__subclasses__()[137].__init__.__globals__['popen']("cat /flag").read()}}  成功得到flag

这里需要md5_1不等于md5_2但md5(md5_1)等于md5(md5_2),shel_1和shel_2也是同理，还要传个new_player。这里使用数组绕过对比，用data协议让被读取到Welcome to NSSCTF!!!

最后payload：?md5_1[]=1&md5_2[]=2&sha1_1[]=1&sha1_2[]=2&new_player=data://text/plain,Welcome to NSSCTF!!!

题目提示用蚁剑连接成功在根目录下找到flag

用16进制编辑器打开图片尝试搜索SHCTF,发现flag

题目有一个点我查看flag点了之后显示Where's the flag? i swear it was around here somewhere，查看源码发现一个/src让我们用put的方法访问/super-secret-route-nobody-will-guess可以查看flag,用bp抓包改为PUT方式访问得到flag

``