L3HCTF2021几道简单的签到题

作者：Hopeace

Misc Welcome

第一次做misc的题目，迷迷糊糊的注册之后，

进去好像是个聊天室类似的东西

随便点点就找到了flag

Web Image1

靶机地址：http://121.36.209.245:10001/

附件下载地址：http://121.36.209.245:10001/static/deploy.zip

题目要求：

Find flags in admin’s share list.

Note:
There are two flags, submit the flag1 here.
Server restarts every 30 minutes.
Do not use scanner.

随意注册，登录

进去找到sharelist

搜索Admin

（以上为多次尝试各种位置，包括admin or Admin，注册时修改XFF还是登录时修改，还是任意注册登陆进去再修改，最终确定下来）

修改请求头

增加X-Forwarded-For:127.0.0.1 （知识点）

得到flag，可惜是个图片

还要手动输入

（此题不需要使用题目给的源码，源码应该是再Image2里利用的）

Web EasyPHP

题目：

RGB!
靶机地址：http://124.71.176.131:10001/

<?php
error_reporting(0);
if ("admin" == $_GET[username] &‮⁦+!!⁩⁦& "‮⁦CTF⁩⁦l3hctf" == $_GET[‮⁦L3H⁩⁦password]) { //Welcome to 
    include "flag.php";  
    echo $flag;
}
show_source(__FILE__);
?>

赋值内容再粘贴回来明显不符

将其粘贴到记事本里会发现LRI和PDI的字样

去搜索这两个东西

http://www.hackdig.com/11/hack-530412.htm

大致就了解到这是今年11月1号公布的漏洞

CVE-2021-42574

前面的username=admin没有问题

后面的要处理一下

进行url编码转换：http://tool.chinaz.com/tools/urlencode.aspx

$_GET[]内的东西

%E2%80%AE%E2%81%A6L3H%E2%81%A9%E2%81%A6password

""里面的东西(这里有点疑问)，以下为两种内容的编码：

（不包含引号）%E2%81%A6CTF%E2%81%A9%E2%81%A6l3hctf

（包含引号）%22%E2%80%AE%E2%81%A6CTF%E2%81%A9%E2%81%A6l3hctf%22

通过尝试，传入的password需要为引号内的东西，但编码的时候需要把引号包含，即%E2%80%AE%E2%81%A6CTF%E2%81%A9%E2%81%A6l3hctf

Payload:

?username=admin&%E2%80%AE%E2%81%A6L3H%E2%81%A9%E2%81%A6password=%E2%80%AE%E2%81%A6CTF%E2%81%A9%E2%81%A6l3hctf

(好像直接用鼠标选中复制到url中也可以，哎)

最后得到flag

flag{Y0U_F0UND_CVE-2021-42574!}

顺便给了一个相关技术的源码

trojansource.codes

还有一点点疑问，比如为什么$_GET里的参数没有用引号引起来，对传参有什么影响，欢迎大家讨论。