护网杯部分writeup

签到

拿到

AAoHAR1WX1VQVlNVU1VRUl5XXyMjI1FWJ1IjUCQnXlZWXyckXhs=

提示是异或，没想到的是和多少异或，所以签到也卡了半天，写脚本测试：

每一位和0~105异或的时候可以得到flag：

flag{09360535374819EEE70A4E6BA8009AB8}

Web

一、EASY_TORNADO

在hint.txt得到了signature的算法为

md5(cookie_secret + md5(filename))

有在flag.txt里得到了flag文件为/fllllllllllag，那思路很明确就是算出signature，然后读取/fllllllllllag文件里的内容就可以，其中cookie_secret是未知的，通过/error?msg={{globals}} 可以发现msg参数存在ssti

接下来就是爬坑的半天，下意识以为

cookie_secret是在cookie里，打了半天的

cookie，都不知道该调用什么函数来做了…… 然后在handle.setting中发现了cookie_secret

拿到cookie_secret就简单了，写一个计算

signature的php代码：

计算得出signature，直接访问payload：

/file?filename=/fllllllllllag&signature=240eaef73c2f70d5e30051d91417a18c

二、ITSHOP

这题懵了好久，半天没有思路的。首先发现可以条件竞争因为要5包大辣条才可以换1包辣条之王，而只给了买4包的钱，那么要么通过伪造数据，要么就是条件竞争用5元买多包辣条了......这个逻辑没毛病，各种伪造测试不通，就尝试条件竞争，用brupsuit多线程跑，把线程设置大一些

用brupsuit多开几个爆破就可以买到超过4包数量的大辣条

第二点是整数溢出，毕竟想要条件竞争得到9999999*5包大辣条不太可能，所以要么伪造数据，要么就是整数溢出，各种尝试伪数据出不成功，所以就尝试整数溢出,数字最大为

0XFFFFFFFFFFFFFFFF,所以0XFFFFFFFFFFFFFFFF + 1 就可以溢出，又5包大辣条换一包辣条之王，所以可以换的辣条之王的最大值应该是0XFFFFFFFFFFFFFFFF/5 所以批量换的数量为0XFFFFFFFFFFFFFFFF/5 + 1 转化为整数为3689348814741910324

成功溢出换的*********（用不完的）数量，直接兑换Flag：