web

校赛

校赛靠着ENOCH师傅发力，也是一路躺进了区域赛，E师傅不好意思发这抽象比赛的wp(这比赛确实啥必到让人大开眼界，反正明年我是肯定不会打了)，我就顺手要过来连着区域赛的一起发了

web

150分

按照提示进入/includes/flag

提示get一个锤子

主页get传参chuizi~~（谁能想到是拼音啊）~~

upload路由上传enoch.txt

内容

<?php highlight_file("/includes/flag.php");?>

因为过滤了常见函数，只有这个能用

然后即可拿到

奚月遥传过来的神器相当有用！肖驰成功通过它逃了出来！二人相拥时，肖驰激动地对奚月遥说：SVNDQ3taaDFKMUBZMV8xc181MF9GdW59

50分

robots.txt发现有f10g.txt

进去后没内容

爆破出f12g.txt

得到的flag直接交上去是错的

把flag里面的0改成2即可提交

开门

有爱就不怕
6hu6
jıushizheshouge
dcombctbymbioay
ISCC{zK_!1&c3lQEL(9,
server请求头：sfdzq}

区域赛

回归基本功

进来一个铲铲s14的页面，用户代理是提示，随便输个东西，去到process.php路由

提示在这里输信息是没用的，结合用户代理的提示，从user-agent爆破一下

佛爷戈拿到源码

<?php
show_source(__FILE__);
include('E8sP4g7UvT.php');
$a=$_GET['huigui_jibengong.1'];
$b=$_GET['huigui_jibengong.2'];
$c=$_GET['huigui_jibengong.3'];

$jiben = is_numeric($a) and preg_match('/^[a-z0-9]+$/',$b);
if($jiben==1)
{
    if(intval($b) == 'jibengong')
    {
        if(strpos($b, "0")==0)
        {
            echo '基本功不够扎实啊！';
            echo '<br>';
            echo '还得再练！';  
        }
        else
        {
            $$c = $a;
            parse_str($b,$huiguiflag);
            if($huiguiflag[$jibengong]==md5($c))
            {
                echo $flag;
            }
            else{
                echo '基本功不够扎实啊！';
                echo '<br>';
                echo '还得再练！'; 
            }
        } 
    }
    else
    {
        echo '基本功不够扎实啊！';
        echo '<br>';
        echo '还得再练！'; 
    }
}
else
{
    echo '基本功不够扎实啊！';
    echo '<br>';
    echo '还得再练！'; 
}
?> 

进来之后是一个php绕过，第一个坑在变量命名这里，给的变量是huigui_jibengong.1，但是直接输是不行的，php会把非法字符替换成__，但是在php8以下的版本，可以通过[来产生错误，php只会替换第一个[为__,而之后的字符都正常显示

第二个坑在优先级判断

$jiben = is_numeric($a) and preg_match('/^[a-z0-9]+$/',$b);

=的优先级比and高，所以在判断完is_numeric($a)后就会进行赋值，而不会对b进行正则检测

第三个点在传入b的绕过

if(intval($b) == 'jibengong')

做一个简单的测试，&即可传入参数

第四个坑在于变量jibengong的值是未知的，但是注意到$$c=$a,这段代码很有意思

如果
$c=jibengong
$a=1
执行$$c=$a后
就会使jibengong=1
所以我们将c设置为jibengong即可实现任意修改

最终payload

huigui[jibengong.1=1&huigui[jibengong.2=a%261=e559dcee72d03a13110efe9b6355b30d&huigui[jibengong.3=jibengong

哪吒的试炼

又是熟悉的脑洞题，改名叫脑电波大赛好了
get传参food=lotus root进入下一个isflag.php路由

F12看一下，加一个参数source=true读到php源码

<?php
if (isset($_POST['nezha'])) {
    $nezha = json_decode($_POST['nezha']);

    $seal_incantation = $nezha->incantation;  
    $md5 = $nezha->md5;  
    $secret_power = $nezha->power;
    $true_incantation = "I_am_the_spirit_of_fire";  

    $final_incantation = preg_replace(
        "/" . preg_quote($true_incantation, '/') . "/", '',
        $seal_incantation
    );

    if ($final_incantation === $true_incantation && md5($md5) == md5($secret_power) && $md5 !== $secret_power) {
        show_flag(); 
    } else {
        echo "<p>封印的力量依旧存在，你还需要再试试!</p>";
    }
} else {
    echo "<br><h3>夜色渐深，风中传来隐隐的低语……</h3>";
    echo "<h3>只有真正的勇者才能找到破局之法。</h3>";
}
?>

一个简单又无聊的绕过，双写绕过替换，md5弱比较绕过即可

传参后又是一个脑洞题，算了这里不适合骂人

将明拆成两半是日和月,对应sun和moon,将moon顺序反转形成noom，跟sun拼接后得到suoom

李同理,木是wood,子是child，拼接后得到woolihc

按照这样的规律得到flag