BUUCTF WEB [安洵杯 2019]easy_web 1 WP

最新推荐文章于 2022-12-03 19:53:14 发布
最新推荐文章于 2022-12-03 19:53:14 发布
阅读量1.4k 收藏 1
点赞数 4
分类专栏: CTF-WP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Whaocai/article/details/119321047
版权
博客主要介绍了BUUCTF中一道WEB安全题目,涉及PHP代码审计和MD5碰撞。首先,通过分析发现img参数经过了base64及hex加密,利用此机制获取了index.php源码。接着,审计代码发现通过echo `$cmd`可实现RCE,但关键字被禁用,利用正则表达式解析漏洞绕过黑名单。最后,解决强相等比较问题,通过寻找MD5强碰撞字符串完成挑战。解题关键在于理解PHP解析和正则解析的交互,以及如何构造特殊字符串使MD5值相同。
摘要由CSDN通过智能技术生成

考点:
md5强碰撞
php代码审计–正则表达式

在这里插入图片描述F12看到md5 is funny~ ,猜测与md5算法有关。注意到<img>标签和url地址栏,img参数是文件名的某种加密后的,将读取到的文件内容base64加密之后,输出到img标签中。
这个时候,要想办法知道img参数是怎么加密的,查看wp之后,发现后端会对传进去的img参数先进行两次base64解密,再进行一次hex解密。所以我们在payload时要先进行一次hex加密,再进行两次base64加密
同理然后读取一下index.php,再base64解密
payload:?img=TmprMlpUWTBOalUzT0RKbE56QTJPRGN3&cmd=

在这里插入图片描述base64解密之后,index.php的源码

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd&
最低0.47元/天 解锁文章
是路酒呀
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF训练计划—[CISCN2019]Easyweb
Lemon's blog
08-14 1291
前言: 这道题学到不少知识,还卡了很长时间,单独记录一下 [CISCN2019]Easyweb 首先拿到一个登陆框,从这里就要思考是要怎么去做,我在做的时候想到三个方面去尝试 burp抓包看有什么线索没 SQL万能密码注入 页面扫描,看看有什么源码泄露或者robots.txt 前两个都行不通,刚开始页面扫描的时候也没有扫到什么,然后就彻底懵了,后来发现是工具犯病了,再扫一次就出来了 一个robots.txt文件,访问可以发现提示的是备份文件,但没说具体的文件名 就利用排除法,一个一个的去试试,目前知
buuctf(探险3)
qq_62046696的博客
08-13 938
if(!strstr($get_flag," ")){ get传参进入的,里面没有空格、str_ireplace(子字符串忽略大小写替换)第二行,就是把get_flag中的cat 换成wctf20220,说白了就是过滤cat那我们先用ls查一下目录可是并没有什么回显,不知道我是哪错了看了大佬解释,说是传入的2e4不需要空格,这些都会自动加上出来了,但是我们查找目录 cat flag中间一定会有空格,的这里肯定是需要一种别的手段绕过一下。...
BUUCTF WEB easyweb
qq_41696858的博客
03-09 577
这题考的是sql注入,主要是有两个过滤函数,然后两个过滤函数拼接过后产生了漏洞 审计页面源码,没发现啥好玩的,那就扫目录吧 dirsearch -u http://b53e32cc-9153-409a-a5cc-d89dafd9053b.node4.buuoj.cn:81/ -s 1 -t 1 扫出来一个robots.txt 查看 User-agent: * Disallow: *.php.bak 先看index.php的代码 emmmm,失败了,那么看看index.php页面有没有包含点其他页面 user
BUUCTF WEB Easy Calc
Ethan552525的博客
08-26 267
scandir():列出参数目录中的文件和目录 readfile():读取文件内容 利用scandir()找到flag在哪,再利用readfile()读取文件内容,从而得到flag file_get_contents()这个函数 chr(47) ==> /,绕过过滤。 47对于ASCII码就是 “/”,因为我们要从根目录开始找flag所在文件 原理:加空格使waf把num参数错误解析成%20num,这个参数是不存在的,但php解析的时候会自动把空格删掉,从而bypass。 只需要在变量前添
buuctfweb刷题wp详解及知识整理----[安洵 2019]easy_web
weixin_45784586的博客
06-21 727
尝试之路加wp 观察源代码和get所传参数可猜测img所传参数img就是该图片 经过两次base64编码和一次hex编码后可得555.png成果验证猜测 然后发现该图片以data元数据封装的方式放到了源码里 猜测可以通过此漏过获得index.php的源码 于是将img处参数设为经过两次base64编码和一次hex编码后的index.php 成功获得index.php源代码 <?php error_reporting(E_ALL || ~ E_NOTICE); header('content-typ
web_easy_
09-30
【标题】"web_easy_" 指的可能是一款基于Web的用户界面皮肤,它经过了定制化设计,以满足特定客户的需求。"web"通常代表Web应用或网站,而"_easy_"部分可能意味着这款皮肤追求的是简洁易用的用户体验。 在Web开发中...
buuojweb刷题wp详解及知识整理—-【护网easy_tornado(模板注入+md5
01-20
自己走过的路加wp辅助 信息收集加思路推理 点击一下/welcome.txt 回显 render 而且url处有异常 同理测试其他选项 通过猜测可知filehash的值就是/hint.txt中的算法得到的 从而 我们只要得到cookie_secret的值即可通过...
vb.net_web_programming.rar_The Web
09-14
1. **基础介绍**:对VB.NET和.NET框架的简要介绍,解释它们在Web开发中的角色。 2. **ASP.NET Web Forms**:介绍如何创建和运行基本的Web表单,使用控件如按钮、文本框等构建用户界面。 3. **ASP.NET MVC**:如果...
2.rar_1T16_dwt_easy _noiseb5p
07-14
matlab cod fore DWT very Easy
web_easy_源码.zip
10-18
【标题】"web_easy_源码.zip"是一个与Web开发相关的源码压缩包,很可能包含一个简化版或教学性质的Web应用项目。这个名字暗示了它可能是为了初学者或者快速搭建Web服务而设计的,让我们来深入探讨这个项目可能涉及的...
青少年CTF训练平台 Web-Easy PingMe02
xingjinhao123的博客
10-22 1535
青少年CTF训练平台 Web-Easy PingMe02
[安洵 2019]easy_web
weixin_45566993的博客
02-12 521
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 题目打开如下,?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=,同时查看源代码 这里有个MD5 is funny,说明这个题目大概率跟MD5有关 然后我抓包了一下,消息头里面没有什么特殊的东西,于是我尝试从url入手 首先把那个进行
[安洵 2019]easy_web 1
plant1234的博客
04-08 1683
首先打开题目得到: 发现url有所不同: img为base64加密,解码后发现还是base64,继续解码,然后是16进制 在解码得到: 发现img可能存在文件包含漏洞: 将index.php按照加密方法加密请求得到: 发现base64编码解码,得到 发现是index.php源码 <?php error_reporting(E_ALL || ~ E_NOTICE); header('content-type:text/html;charset=utf-8'); $cmd = $_GET['cm
[青少年CTF]WebEasy CheckMe1-8 by 周末
个人文章分享,博客地址:https://www.st1ck4r.top/
12-03 2285
web部分CheckMe1-8,仅供参考
Shell脚本学习-阶段二十七-命令解释二
qq_43058317的博客
06-16 1948
文章目录-命令解释二前言emacsjedjoenano================picosed===================vi,vim============mtype=============rgrep==========excmpbzcmpcommdiff===========bzdiffdiffstatdiff3find==============locate/slocate=========whereis==========updatedbwhich=========basena..
CTF中的Bypass命令执行
D.MIND 的博客
08-03 2515
linux命令敏感字符绕过 反斜杠: ca\t 1.txt 连接符——单引号: ca''t 1.txt 变量拼接字符: a=ca;b=t;$a$b 1.txt base64编码绕过: `echo 'Y2F0Cg==' | base64 -d` 1.txt 命令提示符$: ca$@t 1.txt //$@ 是传给脚本的所有参数的列表 ca$9t 1.txt //$9 是传递给该shell脚本的第九个参数 ...
[安洵 2019]easy_serialize_php 1
最新发布
03-16
这是一道 PHP 序列化题目,需要我们对 PHP 的序列化机制有一定的了解。 题目给出了一个序列化后的字符串,我们需要将其反序列化成 PHP 对象,并修改其中的某个属性值,最后再将其序列化回字符串。 具体的操作步骤可以参考以下代码: ```php <?php class User { public $name; public $age; } // 反序列化 $data = unserialize('O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:18;}'); // 修改属性值 $data->age = 20; // 序列化 $serialized = serialize($data); echo $serialized; ?> ``` 最终输出的序列化字符串为: ``` O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:20;} ``` 其中,`O:4:"User":2:` 表示这是一个类名为 `User` 的对象,有两个属性;`s:4:"name";s:5:"Alice";` 表示 `name` 属性的值为 `Alice`,`s:3:"age";i:20;` 表示 `age` 属性的值为 `20`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值