SYCTF2023 WEB writeup

CarelessPy

一进来就是个任意文件下载功能，不过做了些限制，这题从头到尾都在骂杂鱼。。。(虽然我确实是(bushi)
查看页面源代码，给了个/eval /login 两个路由，/eval是个目录遍历，/login尝试登录无果，有session，应该需要伪造session，利用/eval查看app下的pyc文件，然后down下载

在线找个pyc反编译，成功拿到密钥

直接flask-session-manager伪造session，登录成功后拿到/th1s_1s_The_L4st_one 这个路由，访问查看，xml的页面，猜想存在xxe漏洞，抓个包分析分析，直接payload打，注意得加个Content-Type: text/xml  否则打不通

Confronting robot

这题给我ex坏了，第一个页面，myname参数存在注入，sqlmap一把梭

访问/sEcR@t_n@Bodyknow.php 测试发现这是个模拟sql命令行，可以执行sql命令，查看页面源代码发现game.php ，访问查看，猜拳10局，赢了就给flag，结果game表里没有数据，猜测是得我们插入数据来确保我们稳赢，查看当前用户是secret@localhost ，查看一下权限show grants for secret@localhsot，一看不知道一看吓一跳，基本没有权限，有个查询权限和创建用户权限，这还写个屁数据，这里折磨了一整天，想了一堆办法终无果，最终查看大佬方法，开启日志查询，写马getshell，额贼，佩服能想到的，先开启全局日志查询，然后设置当前文件为日志存储文件，这样只需select ''，然后 蚁剑连接即可。记得把你的火绒关掉，要不然给拦截了

1. set global general_log='on'
2. set global general_log_file='/var/www/html/sEcR@t_n@Bodyknow.php'

复制代码

查看game.php拿到flag

听说还有修改用户的玩法，有无大佬蕉蕉
4号的罗纳尔多

php审计，代码如下：
[code]