卫生健康行业CTF
web
easy_cms
下载源码本地搭建环境,最下方cms名字叫闪灵
搜索相关cms漏洞,发现前台存在一个sql延迟注入,构造poc1/**/AND/**/(if(ascii(substr((select/**/A_pwd/**/from/**/SL_admin/**/limit/**/0,1),1,1))<>50,1,sleep(3)))=xxx
编写python脚本
1 | #coding:utf-8 |
获得账号密码后登陆后台,允许上传格式添加一个ini
在后台管理处上传文件
上传一个.user.ini文件,文件内容为
1 | auto_prepend_file=test.jpg |
在上传一个test.jpg,内容为phpinfo
访问index.php,即可代码执行
Super_hacker
根据提示
Via 头需要有值;X-Forwarded-For 存在smarty的模板注入
添加Via头和X-Forwarded-For:
通过{system('ls')}
执行命令
但是空格和i都被过滤了需要绕过,通过$smarty.get.jan
将输入点变为get请求从而绕过(还有一个办法通过\t绕过空格从而命令执行)
easy_web1
查看源代码,发现There_is_no_flag_here.php
只允许本地访问
添加http头部,获得flag
Easy_web1
网上的一道原题
通过/???/????64%20/????.???
通过?
匹配单个字符,使用base64
命令进行绕过
通过burpsuite的decode
,base64解码
Misc
BASE64编码
1 | R1kzRE1RWldHRTNET04yQ0dZWkRNTUpYR00zREtNWldHTTJES1JSVEdNWlRFTktHR01ZVEdOUlZJWTNES05SUkc0WlRPT0pWSVkzREVOUlJHNFpUTU5KWElRPT09PT09 |
Base64 -> base32 -> 16进制
base64 decode
base32 decode
16进制转换
医学影像
打开文件发现一堆以.dcm后缀结尾的文件(这是啥呀)
经过百度之后得知这是那啥CT的片子。下载Sante DICOM Editor,dicom文件查看器
导入题目文件**
选择页面下方的MPR**
可自行调整颜色,使缺失部分的黑线更加明显**
拖动定位标至黑线出(慢慢找) 得到flag
flag{You_find_it}