签到
拿到
AAoHAR1WX1VQVlNVU1VRUl5XXyMjI1FWJ1IjUCQnXlZWXyckXhs=
提示是异或,没想到的是和多少异或,所以签到也卡了半天,写脚本测试:
每一位和0~105异或的时候可以得到flag:
flag{09360535374819EEE70A4E6BA8009AB8}
Web
一、EASY_TORNADO
在hint.txt得到了signature的算法为
md5(cookie_secret + md5(filename))
有在flag.txt里得到了flag文件为/fllllllllllag,那思路很明确就是算出signature,然后读取/fllllllllllag文件里的内容就可以,其中cookie_secret是未知的,通过/error?msg={{globals}} 可以发现msg参数存在ssti
接下来就是爬坑的半天,下意识以为
cookie_secret是在cookie里,打了半天的
cookie,都不知道该调用什么函数来做了…… 然后在handle.setting中发现了cookie_secret
拿到cookie_secret就简单了,写一个计算
signature的php代码:
计算得出signature,直接访问payload:
/file?filename=/fllllllllllag&signature=240eaef73c2f70d5e30051d91417a18c
二、ITSHOP
这题懵了好久,半天没有思路的。首先发现可以条件竞争因为要5包大辣条才可以换1包辣条之王,而只给了买4包的钱,那么要么通过伪造数据,要么就是条件竞争用5元买多包辣条了......这个逻辑没毛病,各种伪造测试不通,就尝试条件竞争,用brupsuit多线程跑,把线程设置大一些
用brupsuit多开几个爆破就可以买到超过4包数量的大辣条
第二点是整数溢出,毕竟想要条件竞争得到9999999*5包大辣条不太可能,所以要么伪造数据,要么就是整数溢出,各种尝试伪数据出不成功,所以就尝试整数溢出,数字最大为
0XFFFFFFFFFFFFFFFF,所以0XFFFFFFFFFFFFFFFF + 1 就可以溢出,又5包大辣条换一包辣条之王,所以可以换的辣条之王的最大值应该是0XFFFFFFFFFFFFFFFF/5 所以批量换的数量为0XFFFFFFFFFFFFFFFF/5 + 1 转化为整数为3689348814741910324
成功溢出换的*********(用不完的)数量,直接兑换Flag: