xmctf web3-考核

最新推荐文章于 2023-03-31 11:08:48 发布
最新推荐文章于 2023-03-31 11:08:48 发布
阅读量157 收藏
点赞数
分类专栏: CTF刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/119637979
版权

web CTF

在俱乐部内一次web交流,了解到这个题目,感觉很不错。记录一下。
知识点:php session工作原理,session反序列化。

文章目录

需要了解的知识

打开容器,进行代码审计

 <?php
highlight_file(__FILE__);
$content = @$_GET['content'] ? "---mylocalnote---\n" . $_GET['content'] : "";
$name = @$_GET['name'] ? $_GET['name'] : '';
str_replace('/', '', $name);
str_replace('\\', '', $name);
file_put_contents("/tmp/" . $name, $content);
session_start();
if (isset($_SESSION['username'])) {
    echo "Thank u,{$_SESSION['username']}";
}
//flag in flag.php

分析一下这个源码:

1. GET传参

$content = @$_GET['content'] ? "---mylocalnote---\n" . $_GET['content'] : "";

这句代码的意思是,将传入的$content和字符串---mylocalnote---进行拼接,并且作为新的$content的值。比如:

<?php
$content = @$_GET['content'] ? "---mylocalnote---\n" . $_GET['content'] : ""; 
var_dump($content);
//传参 ?content=****
//回显:string(22) "---mylocalnote--- ****"

$name也是一样的道理

2. 创建session文件

file_put_contents("/tmp/" . $name, $content);

将在/tmp/目录下创建session文件,文件名称和内容是我们传入的$name$content

3. php session工作原理

这里找了alexander_phper师傅的一篇博文,写得特别好!!
博文链接:PHP SESSION PHPSESSID session_id()
引用部分内容
在这里插入图片描述其中,我们可以抓包获取PHPSESSID,将sess_PHPSESSID以GET传参的方式传入$name,作为服务端识别的session文件。

4. session的相关知识和session_start()函数的作用

这里是有一个Sn0w/师傅写的一个关于session反序列化的文章,写得特别棒(๑•̀ㅂ•́)و✧,贴一下链接:原理+实践学习(PHP反序列化和Session反序列化)

在这里插入图片描述其中讲到的php会自动反序列化session文件的内容,并将其填充到$_SESSION超级全局变量中很重要。
再看一下源码:

if (isset($_SESSION['username'])) {
    echo "Thank u,{$_SESSION['username']}";
}

同时访问flag.php回显:
u are not admin,only admin can see flag!
我们可以想到这个题目的解题思路

解题思路

我们利用源码能够将传入的$name$content分别作为文件名称和内容再/tmp/目录下创建文件,利用session工作原理,创建一个session文件,文件内容有序列化之后的uesrname:admin。这样我们访问flag.php时,服务端就会访问session文件,将内容反序列化,即可伪造admin,即可访问flag.php文件。

解题步骤

session文件名称

首先得到cookie中的PHPSESSID

PHPSESSID=ab7v6dt2hp8fsnqndibtjs2au7

得到session文件名称:sess_ab7v6dt2hp8fsnqndibtjs2au7

session文件内容

需要了解session文件的存储格式
在这里插入图片描述这里咱们用的是php引擎,即键名 | serialized_string

$content = @$_GET['content'] ? "---mylocalnote---\n" . $_GET['content'] : "";

我们传入的content值会和---mylocalnote---进行拼接,所以需要根据反序列化将前面的---mylocalnote---作为键名,进行闭合操作。
在这里插入图片描述闭合---mylocalnote---,可以使用N将其闭合,即

---mylocalnote---|N

然后加上我们的username:admin序列化之后的结果

---mylocalnote---|N;username|s:5:"admin";

数据末尾用;标识,所以最后的payload为

?content=|N;username|s:5:"admin";&name=sess_ab7v6dt2hp8fsnqndibtjs2au7

回显:在这里插入图片描述接着访问flag.php,即可得到flag

在这里插入图片描述

参考链接

  1. PHP SESSION PHPSESSID session_id()——session工作原理
  2. 原理+实践学习(PHP反序列化和Session反序列化)
  3. 【XMCTF】web3 考核
Sk1y
关注
专栏目录
CTF第一次入门考核
zhhhb1005的博客
12-04 2881
@[toc] #1.简单的隐写 题目也说了是简单的隐写,直接百度去搜就行了。 在属性和txt中没有发现任何信息,放入010中ctrl+f进行搜索,目标选文本,找到flag。 #2.海贼王里的宝藏 题目中说了路飞的高度,提示说了png的宽高, 放入010进行修改就行了。这个因为题目说的是高度,其实对宽度是不能随意修改的。查看原图得出flag。 ...
xmctf-web-easy-web-wp
居上
06-25 159
easy-web 源代码 源代码贴上,如下: <?php show_source(__FILE__); $key = "bad"; extract($_POST); if($key === 'bad'){ die('badbad!!!'); } $act = @$_GET['act']; $arg = @$_GET['arg']; if(preg_match('/^[a-z0-9_]*$/isD',$act)) { echo 'check'; } else { $act($a
xmctf-web-web4-wp
居上
06-25 195
web4 好几个四季了,我在等我的主人回来 key:e086aa137fa19f67d27b39d0eca18610 key扔cmd5解出1.1.1.1,可能为IP地址,放到请求头 X-Forwarded-For: 1.1.1.1 提示存在dhudndrgrhs.php,访问得到源代码 源代码 <?php show_source(__FILE__); error_reporting(0); $disable_fun = ["assert","print_r","system", "shell_ex
xmctf-web-web8-wp
居上
06-25 298
web8 考点 SSTI flask 根据提示,需要以admin的方式访问flag。携带当前session访问flag不能成功的。 传参数name={{7*7}},发现是SSTI。 然后传参?name={{config}}可以查看到,secret_key 后端使用的是flash框架。 先安装pip install flask-unsign[wordlist] 。 然后在浏览器中复制当前session flask-unsign --decode --cookie "eyJ1c2VybmFtZSI
Web安全和渗透测试有什么关系?
最新发布
Python_0011的博客
03-31 1241
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
CTF入门--题目介绍
网络安全研究
02-04 4757
CTF 题目类型一般分为 Web 渗透、RE 逆向、Misc 杂项、PWN 二进制漏洞利用、Crypto 密码破译。
xmctf-web-web11-wp
居上
06-25 106
web11 后端仍然使用的是flask,然后同时也存在SSTI。但是过滤了一些字符。 经过fuzz之后发现过滤了一些字符如 . _ arg payload #get传入 ?name={{ ()|attr(request['values']['x1'])|attr(request['values']['x2'])| attr(request['values']['x3'])()|attr(request['values']['x6'])(233)| attr(request['values']['x4'])|
[BUUCTF][HCTF 2018]admin
cosmoslin的博客
11-16 1198
考点 flask session伪造 unicode欺骗 条件竞争 法一:flask session伪造 查看源码,提示you are not admin,猜测需要admin登录 注册登录,网站功能页面很多,依次查看源码,在change password界面发现源码 是一个flask框架,进入routes.py,看一下注册和登录部分的源码 @app.route('/register', methods = ['GET', 'POST']) def register(): if current_
php三条连接一起访问,3CTF初赛题目详解(上)
weixin_31741827的博客
03-24 469
3CTF初赛已经落下帷幕,题目类型包括理论题和CTF夺旗,CTF夺旗主要涉及Web安全、数据包分析、取证分析、隐写、加解密编码等内容;目前wp已出炉,让我们一起围观~题目1:立誓要成为admin的男人题目类型:SQL注入解题思路:1.注册test用户,然后登陆,得到提示you are not admin2.回头看看,在登录处发现SQL盲注漏洞3.注出了user表的数据但是admin的密码没法解密。...
XMCTF内部赛 part1
羽的博客
07-07 2121
web3-考核 <?php highlight_file(__FILE__); $content = @$_GET['content'] ? "---mylocalnote---\n" . $_GET['content'] : ""; $name = @$_GET['name'] ? $_GET['name'] : ''; str_replace('/', '', $name); str_replace('\\', '', $name); file_put_contents("/tmp/" . $na
xmctf web12-考核(无参数RCE)
羽的博客
07-07 1379
web12-考核 无参数RCE <?php header("Content-Type: text/html;charset=utf-8"); include "flag.php"; echo "flag在哪里呢?<br>"; highlight_file(__FILE__); error_reporting(0); if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//
CTF考核writeup(1)
一段旅途
11-23 4294
在sql注入、文件上传和文件包含问题上,可以学到一些新思路。
buuoj、xmctf、攻防世界刷题(web)write up
热门推荐
Love&Share
06-14 1万+
BUUOJ-每天两道,告别烦恼 WEB: [GXYCTF2019]BabySQli 输入用户名admin,发现可以登入,其他显示wrong user 源码中发现,存在base编码 先base32再base64解码,发现sql语句尝试去注入 首先尝试万能密码: 发现被拦截 尝试手工注入: 一个联合注入新知识 在联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。 下面是一个自己的本地环境 数据库原本这几个用户名和密码 执行select * from flag WHERE username
xmctf-web-web3-wp
居上
06-25 120
web3 源代码 <?php highlight_file(__FILE__); $content = @$_GET['content'] ? "---mylocalnote---\n" . $_GET['content'] : ""; $name = @$_GET['name'] ? $_GET['name'] : ''; str_replace('/', '', $name); str_replace('\\', '', $name); file_put_contents("/tmp/" . $n
RDCTF-考核
qq_45970858的博客
09-23 362
复制网站并打开找到注入点 找到注入的地方,发现购买那里是一个注入点 此处可利用burp suite进行抓包 发现了一个能注入的点,利用post注入即可, 先将代码压缩成一个文件然后再用sqlmap跑 接着利用sqlmap跑数据库 python sqlmap.py -r c:\lyf\POST.txt -dbs 因为题目名字是faka所以跑faka的表 python sqlmap.py -r c:\lyf\POST.txt -D faka --tables 再跑字段 python sql
xmctf web4-考核
羽的博客
07-07 1384
web4-考核 根据提示key:e086aa137fa19f67d27b39d0eca18610猜测为md5值,解密得到1.1.1.1 在请求头中添加 X-Forwarded-For:1.1.1.1得到一个地址dhudndrgrhs.php内容如下 <?php show_source(__FILE__); error_reporting(0); $disable_fun = ["assert","print_r","system", "shell_exec","ini_set", "scandir",
php file_put_contents 根目录权限,CTF复现环境搭建的中的file_put_contents()权限不够
weixin_35084134的博客
03-12 565
如图所示,在复现【CISCN2020】babyunserialize题目时发现出现此问题,该题目基本思路为通过PHP反序列化写入shell在环境搭建时,直接将从题目中下载的源码放到服务器上,在利用此payload时出现该问题,此处payload参照https://www.gem-love.com/ctf/2569.htmlnamespace DB;class Jig {constFORMAT_JS...
CTF考核比赛知识准备WEB部分(一)php和mysql
lanlanla的成长历程
10-07 1161
目录 WEB知识回顾 php概述: php功能实现: 1.表单提交: 2. include文件包含: PHP连接数据库 php漏洞demo搭建 1.phpstudy中数据库的导出和导入: 任务 编写一个登陆界面: 编写一个留言板: 编写一个图书管理系统 ①创建相关数据库 ②编写相关配置等文件 WEB知识回顾 php概述: php代码在服务器上进行执行,结...
xmctf web11-考核(模板注入绕过)
羽的博客
06-27 927
web11-考核(模板注入绕过) 输入name=1发现存在回显,猜测为模板注入,经过测试发现过滤了 . _ 和一些关键字 py2模板注入常见payload ().__class__.__bases__[0].__subclasses__()[40](r'/etc/passwd').read() ().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").
ubuntu php 无法执行exec_从一道CTF题目谈PHP中的命令执行
weixin_39756696的博客
11-23 240
原创 Xenny 合天智汇 快睡的时候,打开B站发现有位用户留言,大意就是让我帮忙看一道题,正好当时有空,于是就打开了他发的链接,代码如下很明显是一道PHP代码审计的题目,而且只需要绕过第三行的if即可进行任意命令执行。解决思路看了代码之后觉得是道普通的题目,对于/a-zA-Z/这个正则表达式,我们可以利用PHP动态函数的特性,构造出字符串即可。对于想要的字符串,我们可以通过以下三种方式来构造:1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值