安洵杯 2019]easy_web--md5强碰撞--命令注入绕过

最新推荐文章于 2023-07-18 18:37:03 发布
最新推荐文章于 2023-07-18 18:37:03 发布
阅读量993 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cainiao17441898/article/details/117378539
版权

知识点:
MD5强碰撞

%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2

%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

这俩MD5值相同但是对应的源字符串不相同。
命令执行漏洞,绕过过滤姿势
linux中读文件的命令:

(1)more:一页一页的显示档案内容
(2)less:与 more 类似,但是比 more 更好的是,他可以[pg dn][pg up]翻页
(3)head:查看头几行
(4)tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示
(5)tail:查看尾几行
(6)nl:显示的时候,顺便输出行号
(7)od:以二进制的方式读取档案内容(不推荐)
(8)vi:一种编辑器,这个也可以查看
(9)vim:一种编辑器,这个也可以查看(靶机测试不能用)
(10)sort:可以查看
(11)uniq:可以查看
(12)file -f和 tailf
原文链接:https://blog.csdn.net/rfrder/article/details/109654384
解题:
这里提示说是base64加密了,回应里面是被base64加密的图片。请求包里面img后面是base64加密的文件。解密之后发现还是一个base64加密格式再解密,得到一个16进制的一串字符。解密得到555.pnf。那么反推回去,应该也能回显出index.php经过一系列加密的内容。
在这里插入图片描述
在这里插入图片描述回显了一段base64编码解码之后就能看到源代码了。
在这里插入图片描述在这里插入图片描述PHP 支持一个执行运算符:反引号(``)。注意这不是单引号!PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回
所以只要绕过传入一个字符串不同但是md5值相同的值即可。
在这里插入图片描述看到有flag文件,用ca\t绕过对cat的过滤。
在这里插入图片描述总结:难点在于md5强碰撞。

熊是本熊
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
-------------------已搬运 -----------BUUCTF:[安洵 2019]easy_web ----------md5碰撞&& RCE过滤
Zero_Adam的博客
02-14 589
目录:一、自己的思路吧,(为0)二、不足:三、看别人的WP----我明白了,这个题可能需要脑洞的,,, 。。。没个毛线思路 一、自己的思路吧,(为0) 他这个图片的 src 很吸引人, 我竟然第一时间想到了 SSRF ???。我也不知道我咋想的,把data换成读取的协议也不好使,,,当然不好使了啊。那个是文件包含漏洞才能够读取文件的啊。 目录也扫描了,就一个/index.php/index.php套一个,我也不知道,, 再就是他的这个url的参数,没有猜到是干什么的 再结合md5
[安洵 2019]easy_webMD5碰撞绕过
EC_Carrot的博客
11-06 1583
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! [安洵 2019]easy_web 点进去就看到这个url,cmd传入ls、dir没什么用 img这边把他删了,图片就没了 那这里应该可以利用来读文件了,但是他加密过了,看起来像base64,解下密 看起来也像base64,再来一次 这次就解出个像hex编码的字符串了,解密后得出文件名 555.png 那我们知道这的确是文件名经过加密后传入
ctf中md5及sha1碰撞绕过(字符串string型)
NLost
03-30 1万+
md5碰撞 if(md5($a1) === md5($a2)){echo "you find it!"; }
md5比较的几种绕过碰撞,shal比较的几种绕过碰撞
最新发布
m0_73818134的博客
07-18 3639
md5比较的几种绕过碰撞,shal比较的几种绕过碰撞
[base]MD5碰撞
weixin_74911687的博客
03-02 547
md5
EasyARM2200.rar_MAGICARM2200_arm_arm 原理图_easy _easy-jtag
09-14
本资料包"EasyARM2200.rar"是针对MAGICARM2200这款基于ARM处理器的开发板的详细学习资源,其内容涵盖了从基本的硬件原理图到调试工具Easy-JTAG的使用,为深入理解ARM系统提供了宝贵的材料。 标题中的"EasyARM2200....
centos6.7 安装python2.7、pip2.7、easy_install-2.7的方法
09-15
在Linux系统中,CentOS 6.7默认预装了Python 2.6版本,但有时我们需要更高版本的Python,例如Python 2.7,以及与其相关的包管理工具pip和easy_install。这些工具对于开发和管理Python应用程序至关重要。下面将详细...
easy_cms.rar_easy-cms_简单 cms
09-23
"easy_cms.rar" 是一个压缩包文件,其中包含了一个名为 "easy-cms" 的简单内容管理系统(CMS)。这个CMS系统在过去的项目中为大约十家企业网站提供了服务,显示了它的实用性。尽管其功能相对基础,但它的设计目标是...
easy_UI-CRM管理系统-SSH框架
07-12
Spring提供依赖注入(DI)和面向切面编程(AOP),负责业务逻辑的组织和管理;Struts作为MVC设计模式的实现,处理视图和控制器的交互;Hibernate则作为持久层框架,简化了数据库操作。在这个CRM管理系统中,SSH框架...
aa.rar_60870-101_IEC_easy _iec 60870
09-21
这份“aa.rar_60870-101_IEC_easy _iec 60870”压缩包提供了一个葡萄牙语-巴西版的快速理解指南,旨在帮助读者轻松掌握这一标准的核心内容。 首先,IEC 60870-101标准主要关注的是ASDU(应用服务数据单元)的结构和...
常见的MD5碰撞
10-31 454
md5值为0e开头 0e开头的md5和原值: QNKCDZO 0e830400451993494058024219903391 s878926199a 0e545993274517709034328855841020 s155964671a 0e342768416822451524974117254469 s214587387a 0e848240448830537924465865611...
[安洵 2019]easy_web
LYJ20010728的博客
05-14 280
[安洵 2019]easy_web考点思路Payload 考点 编码、md5碰撞、RCE绕过 思路 打开题目链接,第一眼望过去没有啥有用的东西,但我们注意到url的img参数后的东西TXpVek5UTTFNbVUzTURabE5qYz0有点像base64,解码两次后我们得到3535352e706e67,十六进制转字符串我们得到555.png 我们进行F12查看,发现题目给了img的base64值,应该就是555.png的base64值了,那我们不妨试试,将index.php转十六进制再进行两次bas
[安洵 2019]easy_webmd5比较,反斜杠逃逸,绕过cat)
qq_45521281的博客
07-12 787
F12没什么收获,不过看到url有个值很像base64的编码: 拿去解码一下: MzUzNTM1MmU3MDZlNjc= 还是像base64,在解一次: 3535352e706e67 看起来像是hex,拿去转字符串: 555.png 可见,文件名被hex->base64->base64三重编码了,那么我们尝试反加密回去读取index.php index.php—>hex: 696e6465782e706870 再转base64: Njk2ZTY0NjU3ODJlNzA2ODcw.
攻防世界easy_web
qq_63928796的博客
07-22 1054
function需要自己寻找正在上传…重新上传取消︷︷().
BUUCTF WEB easyweb
qq_41696858的博客
03-09 574
这题考的是sql注入,主要是有两个过滤函数,然后两个过滤函数拼接过后产生了漏洞 审计页面源码,没发现啥好玩的,那就扫目录吧 dirsearch -u http://b53e32cc-9153-409a-a5cc-d89dafd9053b.node4.buuoj.cn:81/ -s 1 -t 1 扫出来一个robots.txt 查看 User-agent: * Disallow: *.php.bak 先看index.php的代码 emmmm,失败了,那么看看index.php页面有没有包含点其他页面 user
应用密码学总结
Aiwin的博客
06-22 3552
应用密码学总结
buuctf web小结
qq_42551635的博客
04-25 4583
你传你*呢 .htaccess文件 AddType application/x-httpd-php xxx 本句话的作用是使该.htaccess文件所在目录及其子目录中的后缀为.xxx的文件被Apache当做php文件 一个傻逼错误 var/www/html 是网站根目录,也就等价于 http://55f19d33-bd47-48ac-9734-232c1632f237.node3.buuoj.cn 所以蚁剑里链接时不能重复输入 题解 上传.htaccess文件(注意绕过MIME) 然后上传图片马 ,o
BUUCTF笔记之Web系列部分WriteUp(四)
热门推荐
克格莫
06-24 2万+
1.[BJDCTF2020]Mark loves cat dirb扫描目录发现.git泄露。 githack获取源码 <?php $flag = file_get_contents('/flag'); //HTML代码太多了,人工删除 <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){ $$x = $y; } foreach($
世界编程大赛第一名写的程序
一点
12-14 1万+
世界编程大赛第一名写的程序 汇编语言所写的。 这个程序是97年Mekka ’97 4K Intro比赛的一等奖作品,汇编语言所写。整个程序全长4095字节, 生成.com程序只有4K,可是却实现了3D动画的效果,还有一段背景音乐!画面是游戏天旋地转的一个场景! 1)把下面的代码粘贴到记事本里面,另存为 1.txt 文档。 2)在命令行窗口下(在开始→运行→cmd),进入文档所存盘符,输入debug...
[安洵 2019]easy_serialize_php 1
03-16
这是一道 PHP 序列化题目,需要我们对 PHP 的序列化机制有一定的了解。 题目给出了一个序列化后的字符串,我们需要将其反序列化成 PHP 对象,并修改其中的某个属性值,最后再将其序列化回字符串。 具体的操作步骤可以参考以下代码: ```php <?php class User { public $name; public $age; } // 反序列化 $data = unserialize('O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:18;}'); // 修改属性值 $data->age = 20; // 序列化 $serialized = serialize($data); echo $serialized; ?> ``` 最终输出的序列化字符串为: ``` O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:20;} ``` 其中,`O:4:"User":2:` 表示这是一个类名为 `User` 的对象,有两个属性;`s:4:"name";s:5:"Alice";` 表示 `name` 属性的值为 `Alice`,`s:3:"age";i:20;` 表示 `age` 属性的值为 `20`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

熊是本熊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值