[HCTF 2018]WarmUp
解题:
打开题目,是一个滑稽图,没发现什么,查看下网页源代码,发现了source.php
访问source.php,发现以下source.php中的代码
hint.php是什么?看一下,可知flag在/ffffllllaaaagggg中
整体利用的漏洞就是代码最后的include函数,利用文件包含漏洞
因此,最后的if条件语句是关键,即需要满足if(true && true && true),才会执行include函数,否则输出滑稽图。
! empty($_REQUEST['file']满足true简单
is_string($_REQUEST['file']满足true简单
emmm::checkFile($_REQUEST['file']满足true,需要执行emmm类中的checkFile函数,使得该函数最终返回true才可以
checkFile汉纳树返回true
例如用到urldecode的payload:
URL/?file=source.php%253f../../../../../ffffllllaaaagggg
得flag
[ACTF2020 新生赛]Include
解题:
打开靶机发现一个超链接,点击之后出现一段话
“Can you find out the flag?”
查看源码注入,无果
仔细看url,发现有flag.php
根据题目提示,该题应该是文件包含漏洞,因此可以判断出此题是PHP伪协议题目,构造payload如下
?file=php://filter/read=convert.base64-encode/resource=flag.php
此时可以得到base64的编吗后的flag.php
解码得flag
知识点:
php://filter 伪协议
该伪协议读取源代码并进行base64编码输出,不然会直接当做php代码执行就看不到源代码内容了。
php://filter/read=convert.base64-encode/resource=XXX.php
php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。
php://filter 目标使用以下的参数作为它路径的一部分。 复合过滤链能够在一个路径上指定。详细使用这些参数可以参考具体范例。
在CTF 比赛中 php://filter 常用于读取一个页面的源码
http://XXX/index.php?file=php://filter/read=convert.base64-encode/resource=index.php
[ACTF2020 新生赛]Exec
解题:
进入题目连接后,是一个ping的「功能」,我们输入ip地址或域名后可以使用ping命令「测试」网络的连通性
这一关是一个「命令执行」漏洞,推荐使用「逻辑运算符」执行多条命令
可以使用的逻辑运算符有很多,比如 & | ;
1 & ls
1 | ls
1 ; ls
这里我们使用「逻辑或」 |,先查看当前路径下的文件,很明显flag不在这里。
接下来我们从「根目录」开始遍历目录。
1 | ls /
发现了flag文件,接下来「查看」这个文件就可以了
1 | cat /flag
知识点:
注意使用exec函数必须需要服务器支持调用系统内置函数才行。另外也可以使用system等php内置函数来实现这个功能
exec执行一个外部程序
执行给予的命令command,不过它并不会输出任何东西,它简单的从命令的结果中传回最后一行,如果你需要去执行一个命令,并且从命令去取得所有资料时,可以使用passthru()这个函数。
system---执行外部程式并且显示输出
system()执行给予的命令command,并且输出结果。如果有给予参数return_var,则执行命令的状态码将会写到这个变量。
注意:如果你允许来自使用者输入的资料,可以传递到此函数,那么你应该使用escapeshellcmd()来确定此使用者无法哄骗(trick)系统来执行武断的(arbitrary)命令。
注意:如果你使用此函数来启动一个程式,而且希望在背景里(background)执行的时候离开它,你必须确定此程式的输出是转向(redirected)到一个文件或是一些输出的资料流,否则PHP将会悬挂(hang)直到程式执行结束。
方法:
;前面和后面命令都要执行,无论前面真假
|直接执行后面的语句
||如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句
&前面和后面命令都要执行,无论前面真假
&&如果前面为假,后面的命令也不执行,如果前面为真则执行两条命令
[GXYCTF2019]Ping Ping Ping
解题:
这是一道考察命令执行的题目,其中涉及到的知识点是空格的绕过。
提示接收一个ip参数。
发现它会去ping我们传入的ip,也就是去执行了ping命令。
那么我们尝试执行多条命令试试:
可以看到在当前目录下,有index.php和flag.php两个文件。
尝试去读flag.php的时候,出现了过滤信息:
很显然这里是过滤了空格。
经过测试,发现$IFS$数字,这种方式可以成功绕过空格。应该是过滤了{}和<>。
但是紧接着又来了一个过滤:flag。
这时候就有两种思路可以想到:
- 编码绕过关键词。
- 变量拼接绕过关键词。
先来看第一种思路,编码绕过,这里用的是base64编码:
我们需要执行的命令是:cat$IFS$9flag.php
base64之后为:Y2F0JElGUyQ5ZmxhZy5waHA=
那么payload就是:?ip=1;echo$IFS$9Y2F0JElGUyQ5ZmxhZy5waHA=|base64$IFS$9-d|sh
发现可以成功读取flag.php。
再看第二种思路,变量拼接:
同样,我们需要的执行的命令是:cat$IFS$9flag.php
那么已知flag被过滤,我们可以将flag拆成fl和ag: a=fl;b=ag;cat$IFS$9$a$b.php
那么payload就是:?ip=1;a=fl;b=ag;cat$IFS$9$a$b.php
但是发现依旧被过滤,说明源码中过滤flag的方式可能是*f*l*a*g的方式过滤的。
我们直接就用一个变量拼接试试:?ip=1;b=ag;cat$IFS$9fl$b.php
成功读取flag。
知识点:
这道题的编码绕过还有其他很多中方式,比如hex编码、shellcode编码等等。
想要了解更多,可参考:浅谈命令执行的绕过方法-安全客 - 安全资讯平台
[极客大挑战 2019]Secret File
解题:
这一关是一个「文件包含」漏洞,推荐使用「PHP伪协议」查看文件内容
主要分为三个方面来解题
信息泄露
针对这种没有什么功能的页面,可以检查是否存在信息泄露。右键查看「页面源代码」,发现一个被「隐藏」的标签,标签中有一个「文件」路径
故意隐藏,说明文件很「重要」,我们访问这个文件
提示我们点击「按钮」,按他说的做
回去再仔细看看吧,说明在这两个页面之间存在一些内容,按 F12 键调出来开发者界面,返回上一个页面(Archive_room.php)重新点击一次 SECRET 按钮,观察这一过程有哪些「请求」
可以看到,在结束页面之前,还访问了一个页面,只是我们没有「权限」(302),看不了,所以直接跳过了这个页面。针对这种情况,我们使用代理工具查看它的「响应」请求即可
从响应内容中我们可以看到页面的内容中存在信息泄露,「注释」中有一个文件 secr3t.php,访问敏感文件 secr3t.php,是一个文件包含漏洞,我们访问这个文件即可
文件包含
访问 secr3t.php 文件,页面中展示了部分代码,很明显是一个「文件包含」漏洞,并提示 flag 就在 flag.php文件中,意思就是让我们查看 flag.php 文件的内容
PHP的文件包含函数有一个「特性」,被包含的文件内容中,如果是「代码」则会执行,而不会在页面中展示;如果是「非代码」(不能被执行的内容),则会以文本的形式在页面中展示出来。
PHP伪协议读取文件内容
这里我们可以使用PHP伪协议对文件内容进行「编码」,编码后的文件内容由于不能被执行,会展示在页面中,而后再将页面中的内容复制到本地进行「解码」,即可查看文件内容,拿到 flag
使用PHP伪协议对文件内容进行base64「编码」,使文件内容在页面中展示出来,payload如下
/secr3t.php?file=php://filter/read=convert.base64-encode/resource=flag.php
复制文件内容,在本地进行base64「解码」,即可得flag
[ACTF2020 新生赛]BackupFile
解题:
打开环境,只有一段话:Try to find out source file!
但是,题目有给我们提示说:Backup file,翻译成中文就是备份文件的意思
这里用dirsearch来进行扫描了(虽然扫描的时候要花很多时间…)
最终扫描到一个文件名为:/index.php.bak的文件
然后访问这个连接,然后把备份文件下载下来。发现是一个PHP的代码审计
用记事本这样的工具打开便可以看到里面的PHP代码
在PHP中:
= = 为弱相等,即当整数和字符串类型相比较时。会先将字符串转化为整数然后再进行比较。比如a=123和b=123admin456进行= =比较时。则b只会截取前面的整数部分。即b转化成123。
所以,这里的a = = b是返回True。
主要代码是:
$str = "123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3";
if($key == $str) {
echo $flag;
}
所以这里我们只需要提供一个参数?key=123就可以拿到flag了
[BJDCTF2020]Easy MD5
解题:
随便输入123,查看回显
这里没有回显,f12一下查看有没有有用的信息
Hint:select * from ‘admin’ where password =md5($pass,ture)
这里的关键在于password=md5($pass,ture)
MD5语法
标准格式
md5(string,raw)
| 参数 | 描述 |
|---|---|
| string | 必需。要计算的字符串。 |
| raw | 可选。规定十六进制或二进制输出格式: TRUE-原始 16字符二进制格式 。 FALSE-默认 32字符十六进制数。 |
这里的是原始16字符二进制格式
.16位原始二进制格式的字符串的意思是:将128 位长度的"指纹信息"分组转化为16位的一个字符串,然后两个字符为一组,依照ACILL码转化为字符串。
.32位16进制字符串的意思是:将MD5加密得到的128 位长度的"指纹信息",以每4位为一组,分为32组,每组以转换为16进制,进行转换得到一个32位的字符串。
这里需要注意的是,当raw项为true时,返回的这个原始二进制不是普通的二进制(0,1),而是 'or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c 这种。
’ffifdyop‘字符串对应的16位原始二进制的字符串就是” 'or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c “ 。 ' \ '后面的3个字符连同' \ '算一个字符,比如’ \xc9 ‘,所以上述一共16个。当然,像’ \xc9 ‘这种字符会显示乱码。 实际效果在下面的图中
这里32位的16进制的字符串,两个一组就是上面的16位二进制的字符串。比如27,这是16进制的,先要转化为10进制的,就是39,39在ASC码表里面就是’ ' ‘字符。6f就是对应‘ o ’。
如果MD5值经过hex后,就构成万能密码进行了sql注入,这个就是这个题的关键
在mysql里面,在用作布尔型判断时,以数字开头的字符串会被当做整型数。
要注意的是这种情况是必须要有单引号括起来的,比如password=‘xxx’ or ‘1xxxxxxxxx’,那么就相当于password=‘xxx’ or 1 ,也就相当于password=‘xxx’ or true,所以返回值就是true。
如果只有数字的话就不用单引号
这里用:ffifdyop,这个MD5加密后会返回’or’6XXXXXXXXX(这里的XXXXX是一些乱码和不可见字符)
这里的SQL语句会变成:
select * from `admin` where password=''or'6XXXXXXXXX'
查看源代码,得
MD5弱比较
注意这里是弱比较==
这里有两种方法
第一种:采用数组传参 数组传参方式格式为num[]=w num为参数(例如本题的a) w为传入的值 最终传入的值如下?a[]=1&b[]=2 因为md5不能处理数组,md5 函数哈希数组会返回 NULL。从而达到两者相等进行绕过。
第二种方法,php 0e开头的数字会当做科学计数法解析,因此只要构造两组md5值开头为0e的值即可绕过。
原理是PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。
例如
QNKCDZO
0e830400451993494058024219903391
s878926199a
0e545993274517709034328855841020
构造payload:
http://37d8016d-643c-4764-8e62-c8a24e224a75.node3.buuoj.cn/levels91.php?a=QNKCDZO&b=s878926199a
MD5强比较
这里用POST的方式传入了两个不相等的参数,然而这两个参数的MD5值要相等,并且是===强比较
MD5有个特点是:如果传入的两个参数不是字符串,而是数组,md5()函数无法解出其数值,而且不会报错,就会得到===强比较的值相等
=是赋值 ==是弱比较 ===强比较(数值与类型都要相同)
payload:
param1[]=1¶m2[]=2
知识点:
想了解更多,可参考
83
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
