NSSCTF | [SWPUCTF 2021 新生赛]babyrce

最新推荐文章于 2024-06-12 16:47:09 发布
最新推荐文章于 2024-06-12 16:47:09 发布
阅读量1.1k 收藏 15
点赞数 25
文章标签: web安全 安全 网络 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80946742/article/details/138835267
版权

打开题目,显示了一个php脚本

我们来分析一下这个脚本是什么意思

<?php
error_reporting(0);
header("Content-Type:text/html;charset=utf-8");
highlight_file(__FILE__);
if($_COOKIE['admin']==1) 
{
    include "../next.php";
}
else
    echo "小饼干最好吃啦!";

这个 PHP 脚本主要做了以下事情:
1. 通过 `error_reporting(0);` 关闭了错误报告。这意味着如果脚本中有任何错误,程序将不会显示错误消息。

2. 使用 `header("Content-Type:text/html;charset=utf-8");` 设置内容类型为 HTML ,并指定字符类型为 UTF-8。

3. `highlight_file(__FILE__);` 是一个用于突出显示当前脚本文件代码的 PHP 内置函数。通过 `__FILE__` 魔术常量,它可以获取当前脚本的绝对路径。

4. 程序接着会检查 'admin' 的 cookie 值是否为1。如果是,它将包含(include)"../next.php" 文件。这个 ".." 是相对路径的表示方式,表示上一级文件夹。

5. 如果 'admin' 的 cookie 值不是1,那么就会显示一句 "小饼干最好吃啦!"

这个脚本主要用于检查是否有管理员权限访问某些页面。admin 是 cookie 的名称,如果它的值为 1,则表示用户是管理员,可以包含其他 php 文件 for further processing。实质上,这个脚本实现了一个简单的访问控制机制。

那么,要绕过这个脚本进行下一步,我们需要做的就是将请求中Cookie的值设置为1

可以使用Burpsuite完成这项工作。

首先,使用Burpsuite抓取访问靶机地址的数据包,并发送到repeater。

然后,可以在右侧窗口看到一个请求cookies,把它点开

点击添加,输入名称为admin,值为1,点击添加

可以看到,左侧的请求数据包中最后已经多了一行数据

Cookie: admin=1

点击发送,查看回显,可以看到回显的最后给了我们一个文件rasalghul.php。

我们去浏览器访问一下这个文件看看

http://node5.anna.nssctf.cn:27929/rasalghul.php

可以看到,这是另一个php脚本。

 <?php
error_reporting(0);
highlight_file(__FILE__);
error_reporting(0);
if (isset($_GET['url'])) {
  $ip=$_GET['url'];
  if(preg_match("/ /", $ip)){
      die('nonono');
  }
  $a = shell_exec($ip);
  echo $a;
}
?>

这段 PHP 脚本主要执行以下操作:

  1. error_reporting(0);关闭了所有错误报告。这意味着脚本中的任何错误,程序将不会显示错误消息。

  2. 使用 highlight_file(__FILE__); 方法会输出当前脚本文件的内容,并且会突出显示语法结构。这个 __FILE__ 是魔术常量,表示当前脚本的绝对路径。

  3. 再次通过 error_reporting(0); 关闭所有错误报告。

  4. 检查 $_GET['url'] 参数是否被设置。这可能是一个从 URL 查询字符串获取的参数。

  5. 如果 $_GET['url'] 参数被设置,那么就将其值赋给 $ip 变量。

  6. preg_match("/ /", $ip) 会检查 $ip 变量的值中是否存在一个空格。如果存在空格,die('nonono'); 函数将停止脚本执行,并输出消息 'nonono'。

  7. shell_exec($ip); 函数通过 shell 命令执行 $ip 变量的值并返回输出。这是一个非常危险的行为,因为它允许任何人通过 URL 查询参数运行任意的 shell 命令。这可能会导致严重的安全问题。

  8. echo $a; 将输出 shell_exec($ip); 的结果。

总的来看,这个脚本的主要用途应该是接受来自 URL 查询参数的输入,并试图在 shell 命令行中执行该输入。不过,如果输入包含空格,则执行会被中断。

一句话,就是我们可以通过传入参数为url的命令,但是命令中不能有空格

先用ls试试看。

http://node5.anna.nssctf.cn:27929/rasalghul.php?url=ls

可以看到,ls命令是有作用的,所以我们只要能绕过空格限制,就能够执行我们想要执行的所有命令,相当于已经获得了管理员的权限 。

如何绕过空格限制呢,可以参考这篇文章

RCE漏洞详解及绕过总结(全面)-CSDN博客

我们可以用$IFS来代替空格

http://node5.anna.nssctf.cn:27929/rasalghul.php?url=ls$IFS/

这样就能绕过空格过滤,服务器也正常回显了根目录的文件和文件夹

我们可以看到很显眼的flag文件,直接使用cat命令查看就完了

http://node5.anna.nssctf.cn:27929/rasalghul.php?url=cat$IFS/flllllaaaaaaggggggg

本题完。

Hackerdallas
关注
  • 25
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NSSCTF】刷题记录——[SWPUCTF 2021 新生]系列(WEB篇)
jameshuangchuan的博客
08-08 2637
此处主要在NSSCTF平台()上开展刷题。
[SWPUCTF 2021 新生]traditional
03-15
SWPUCTF 2021 新生的传统题目中,我们看到了一道有趣的密码题目,它与八卦图和二进制数学有着紧密的联系。莱布尼茨是西方的二进制数学的发明者,他受到中国的八卦图的启发,演绎并推论出了数学矩阵,最后创造了...
NSSCTF题库[SWPUCTF 2021 新生]+部分新生签到题
热门推荐
J1ng_Hong的博客
10-27 1万+
发现题目需要我们用php伪协议,并且需要前三位是php三个字母。此时我们上网搜索,发现了php://filter可以读取文件。在后面加上write=string.rot13/resource=flag即可。首先一进来就是源码代码审计,非常简单的绕过。其中string.rot13为字符串过滤器。
[SWPUCTF 2021 新生]babyrce
2302_81393479的博客
03-01 408
并没有flag这个目录,所以我们思路是可以直接使用cat命令来直接查看flag了,构造payload:?url=cat${IFS}/flag但是发现不行,所以可能是flag被过滤了,这时我们就可以*这个通配符来绕过过滤,构造。根据代码,我们需要用get的方式上传url这个变量,然后ip这个变量就等于url。但是要注意这里的正则匹配是过滤掉了空格,而绕过空格过滤的方法之一是把空格变成${IFS},然后直接用ls查看一下目录。然后看到rasalghul.php直接访问就行。
[SWPUCTF] 2021新生之(NSSCTF)刷题记录 ①
Aluxian_的博客
04-17 1755
[SWPUCTF] 2021新生之(NSSCTF)刷题记录wp
[SWPUCTF 2021 新生] - web
qq_44640313的博客
01-30 1042
[SWPUCTF 2021 新生] web方向的wp,有一个phar反序列化的题做不动了
NSSCTF刷题笔记web9——[SWPUCTF 2021 新生]babyrce
qq_45692883的博客
01-18 487
代码的意思也很简单就是,cookie中带有admin=1,就包含next.php文件。下一关代码,获取url,如果匹配到空格就结束,就是说命令执行不能包含空格。空格绕过的方式有很多,我随便提一个%09也就是我们的tab键。
[SWPUCTF 2021 新生] (WEB一)
2202_75317918的博客
05-22 912
[SWPUCTF 2021 新生] (WEB一)
NSSCTFweb刷题记录
fivesheeptree的博客
07-12 316
如果$id等于"wllmNB"并且$json['x']等于"wllm",则将输出$flag的值。将json参数的值解码为,从而使得$json['x']的值等于"wllm"。通过POST方法传递的id参数的值,并将通过GET方法传递的json参数解码为关联数组。
NSSCTF]ctfweb题目-学习笔记 1day
ZhangAweio的博客
04-16 964
今天题目类型有sql注入、getshell、XFF伪造请求头、MD5简单绕过、rec远程命令执行、[SWPUCTF 2021 新生]easyrce、[SWPUCTF 2021 新生]Do_you_know_http、[SWPUCTF 2021 新生]babyrce
nssctf文件test
03-30
1
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
比较经典的虚拟机的题目是南邮的cg-ctf的题目, 然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也...
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比文件夹: 2.启动比: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
网络安全(补充)
最新发布
m0_62207482的博客
06-12 1035
虚拟专用网中可以采用隧道技术 IPSec的加密和认证过程中所使用的密钥由IKE机制来生成和分发 传输模式下的AH和ESP处理后的IP头部不变,而隧道模式下的AH和ESP处理后需要新封装一个新的IP头 SSL协议可分为两层,处于下层的是SSL记录 SSL握手协议,由三种协议组合而成,包含握手协议、密码规格变更协议及报警协议。其用途是在两个应用程序开始传送或接收数据前,为其提供服务器和客户端间相互认证的服务,并相互协商决定双方通信使用的加密算法及加密密钥 属于第二层隧道协议的是PPTP和L2TP,第二
基于拓扑漏洞分析的网络安全态势感知模型
attack2001的专栏
06-07 958
漏洞态势分析是指通过获取网络系统中的漏洞信息、拓扑信息、攻击信息等,分析网络资产可能遭受的安全威胁以及预测攻击者利用漏洞可能发动的攻击,构建拓扑漏洞图,展示网络中可能存在的薄弱环节,以此来评估网络安全状态。在网络安全形势日益恶化的今天,如何快速有效地获取网络系统的安全状况、提高网络安全应对水平、增大网络安全的预警时间,成为网络空间安全领域研究的重要问题。网络漏洞态势感知研究存在的问题是缺乏有效的网络漏洞势数据采集和要素提取方法,使得网络资产漏洞态势的理解和分析计算难以进行。
国内外网络安全现状分析
waitaikong_的博客
06-10 458
综上所述,无论是国内还是国际层面,网络安全都是一个复杂且不断演变的领域。面对日益严峻的网络安全威胁,需要政府、企业和个人共同努力,不断提升技术防护能力,加强法律法规建设,并通过国际合作共同应对挑战。同时,加强网络安全教育和人才培养也是保障网络安全的重要环节。在未来,随着技术的不断进步和国际合作的加深,我们有理由相信网络安全状况将会得到进一步的改善。
nssctf的jwt问3
08-17
首先将图像的背景填充为白色。 2. 在保存图片时,使用 `ImageIO.write()` 方法将二维码图像保存为 PNG 格式的图片文件。 3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值