i春秋WEB CTF 3

最新推荐文章于 2024-01-15 08:58:54 发布
最新推荐文章于 2024-01-15 08:58:54 发布
阅读量534 收藏 1
点赞数
分类专栏: 渗透测试 CTF 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cbhjerry/article/details/105791056
版权
渗透测试 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
CTF
3 篇文章 0 订阅
订阅专栏
逆向
2 篇文章 0 订阅
订阅专栏

题11:Backdoor,tips:敏感文件泄漏!

解题:题目给出了提示“敏感文件泄漏”,于是用dirb扫一下:

存在git文件,用git_extract导出文件:

导出的文件如下:

查看几个文件内容,发现falg.php.bd049e文件提示flag在文件b4ckdo0r.php中:

访问b4ckdo0r.php,确实存在且提示查看该 文件源码:

 

考虑是否存在.b4ckdo0r.php.swp等文件,尝试后发现存在.b4ckdo0r.php.swo,把它下载下来。

稍解释一下,为什么会存在.b4ckdo0r.php.swp,.b4ckdo0r.php.swo等文件?在linux系统,当我们用vi编辑文件如b4ckdo0r.php时,就会自动生成 .b4ckdo0r.php.swp,此时如有另一用户也用vi打开这一文件就会生成 .b4ckdo0r.php.swo,以此类推可能生成 .b4ckdo0r.php.swn,.b4ckdo0r.php.swm等等文件,如果文件编辑后正常关闭,这些临时生成的文件也会被自动移除,否则就会保存下来。

接下来还原下载下来的文件,vi -r b4ckdo0r.php.swo :

回车,打开的文件显示b4ckdo0r.php原码:

代码是混淆的,通过create_function将$L的内容创建为函数,稍改动输出$L:

运行,用burpsuit测试得

复制出来并稍做整理:

接下来就是代码审计。在下载下来的代码加入一些打印语句,帮助快速理清逻辑并找出漏洞构造payload:

需要在http头加入Accept-Language和Referer,构造Accept-Language: zh-CN,zh;q=0.1,则Referer的值最少要两个参数,且第二个参数格式为"675"+payload+"a3e",因为程序中使用了eval,所以可以考虑使用system函数执行系统操作,但构造的载荷会经过base64_decode,异或,gzuncompress的处理,所以可以把要执行的操作经过逆处理即gzcompress,异或,base64_encode:

先查看一下目录文件,system("ls")处理后得到“TPocyB4WLfrhNv1PZOrQMTREimJn”,把这字符串加下前缀“675”,后缀“a3e”,做为Referer的第二个参数:

把得到的字符串“TPp8VHv2Kv4DTuVN+hCEff8ve2EBCpdlZk33ypDEwMumBIr0uCrKpbiq1Z5+6xyPHma96ydT”,因为这字符串是经过gzcompress,异或,base64_encode处理,所以可以进行base64_decode,异或,gzuncompress解密:

得到该文件列表,其中有this_i5_flag.php,查看该文件 system("cat this_i5_flag.php"):

处理后得到“TPocyB4WLfrhNn0oHmlM/vxKuakGtSv8fSrgTfoQNOWAYDfeUDKW”,把这字符串加下前缀“675”,后缀“a3e”,做为Referer的第二个参数再次请求:

将“TPqE1x3wTNfRNH6te3Qzh2E2MLfnroKRHU8h77uC4l69AI1A1C5NjSLPviCIHgK+0s+hcHS+YrEi092wjmSSQWhmaa0jGw==”解密:

得到this_i5_flag.php的内容包含了flag。

 

 

待续。。。。。。

cbhjerry
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
i春秋 CTF大本营 竞赛训练营 200+道题目答案
03-30
i春秋 CTF大本营 竞赛训练营 200+道题目答案 竞赛包括冬令营白帽黑客专项训练赛之春秋杯等 国内比较好的安全知识在线学习平台,把复杂的操作系统、工具和网络环境完整的在网页进行重现,为学习者提供完全贴近实际...
CTF工具之WEB.zip
10-07
【标题】:CTF工具之WEB.zip 【正文】: CTF(Capture The Flag)是一项网络安全竞赛,参与者通过解决各种安全挑战来展示他们的技术技能。这个名为“CTF工具之WEB.zip”的压缩包,显然是专门为参与此类比赛的选手...
i春秋-Web(一)
qwzf
09-02 1350
前言 做了几道i春秋Web题,所以总结一下。 Web1:爆破-1 题目提示:某六位变量。查看题目,发现是代码审计 <?php include "flag.php"; $a = @$_REQUEST['hello'];//以get或post传入hello,并赋值给`$a` if(!preg_match('/^\w*$/',$a )){//正则表达式^匹配一行的开头,$表示结束。\w表示匹...
i春秋 WEB SQL
A_dmin的博客
06-20 851
i春秋 WEB SQL 一天一道CTF题目,能多不能少 打开网页,发现有个id参数,而且有提示: 查看网页源代码,发现有sql语句显示: 直接抓包,发现and,or,order好像被过滤了, 使用/**/,发现还是不行: 经过尝试发现,可以使用<>绕过关键字过滤 经过尝试,得到有三个字段: 使用union查询,发现select也被过滤掉了,同理使用<> 发现2的位置...
i春秋 WEB code
A_dmin的博客
06-10 1422
i春秋 WEB code 一天一道CTF题目,能多不能少 打开网页入目的是一张图,查看网页源代码,发现图片是base64的加密,可能存在文件读取,尝试读取index.php的文件,得到源码: <?php /** * Created by PhpStorm. * Date: 2015/11/16 * Time: 1:31 */ header('content-type:text/htm...
i春秋 web爆破3
qq_41306131的博客
04-05 676
先放题目代码讲解 <?php error_reporting(0); session_start(); require('./flag.php'); if(!isset($_SESSION['nums'])){ $_SESSION['nums'] = 0; $_SESSION['time'] = time(); $_SESSION['whoami'] = 'ea'; } i...
i春秋部分web题解
designer545的博客
07-30 315
一 include 题目名字为文件包含漏洞,很显然考的知识点为文件包含。打开题目首先能看到PHP代码 显然就是上传path参数。 对于这题,它是没有任何限制的,因此可以使用PHP协议中的php://input上传一个木马先看一下目录 上传之后发现了几个文件,第一个文件显然就是我们要找的。但这是个php文件,在这个页面显然无法打开。这时我们就需要使用另一个php协议 php://filter php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-o
国科大web安全中期CTF.pdf
11-22
国科大web安全中期CTF 在这篇文章中,我们将探讨国科大web安全中期CTF的相关知识点。 一、Web安全基础知识 在开始之前,让我们先了解一些基本概念。Web安全是指保护Web应用程序免受恶意攻击和未经授权的访问的...
ctf web培训资料pdf
10-06
通过url访问靶机web站点,观察页面中的功能点,对可能存在漏洞的页面进行探测。 常见的漏洞特征: SQL注入:www.example.com?id=1 文件包含:www.example.com?page=file1.php 文件上传
CTF Web各种题目的解题姿势
07-27
课时6:CTF SQL基于约束注入原理与利用12'22 课时7:SQL注入基于时间注入的原理与利用50'13 课时8:SQL基于时间盲注的Python自动化解题22'45 课时9:Sqlmap自动化注入工具介绍23'47 课时10:Sqlmap自动化注入...
i春秋 WEB phone number
A_dmin的博客
06-19 704
i春秋 WEB phone number 一天一道CTF题目,能多不能少 打开网页是一个登陆页面,还能够注册,注册一个账号登陆进去,发现登录名和电话号码有回显: 点击check按钮,发现会查询你的电话号码~~ 毕竟题目也是提示电话号码嘛!! 想到是不是二次注入~ 重新注册的时候发现提示电话号码必须是字符: 既然只能传入数字,那么其他进制的数字能行吗? 尝试16进制,成功,啊哈哈哈哈哈哈 由于...
Bugku CTF-Web篇writeup 3-11
anlr2020的博客
07-14 1253
Flask_FileUpload 由题目名得知的信息,显然是个文件上传的题目,flask:一种python的web框架 首先Ctrl+U查看页面源代码,一般能看到题目提示 支持jpg,png格式的文件上传,绿色的英文提示意思是上传文件,它会解析python代码并返回运行结果,所以上传php木马的并不能成功 在txt文档中写一段py程序来调用系统命令 导入 os模块 pyhon的os模块包含了普通的系统操作功能,这里os.system('')执行了ls命令 因为上传有格式的限制,所以要重命
攻防世界 Misc高手进阶区 2分题 倒立屋
闵行小鱼塘
10-31 2369
继续ctf的旅程,攻防世界Misc高手进阶区的2分题,本篇是倒立屋的writeup
[CTF-攻防世界]3-11
Luistin的博客
01-15 789
8.感觉里面是个base64编码,转换之后出现了了PNG的头,尝试用base64转图片吧,出来了,flag:FLAG{LSB_i5_SO_EASY}3.而且发现这个里面有两个重要信息PK和flag.txt,说明flag.txt很有可能在这个压缩包里面。3.用StegSolve查看,发现...PK?这不是压缩包嘛...9.尝试base64转图片吧,用我自己写的工具,base64转图片,7.这个是修复之后的压缩包,可以打开里面的flag.txt了。出来了,flag:FLAG{LSB_i5_SO_EASY。
i春秋-CTF-web文件上传
在Web和Reverse坑里游泳中。。。。
04-27 1735
前言 本来吧,悄悄摸鱼,想整点啥打发时间,看视频太明显,于是做做题,眉头紧锁,仔细思考,装作工作很难的样子。 这回选择web类型的题目,主要是好久没做了,手有点生,找个简单的文件上传练练。 打开题目环境发现: 好像是没有什么特别的。 但是往下翻看却是别有洞天。 众所周知,php是后端语言,正常情况下前端是看不到的,也就是说,出题人还是很贴心的(虽然我觉得出题人没那么好心)。 <?php header("Content-Type:text/html; charset=utf.
JavaScript-小白1
weixin_45026839的博客
09-30 222
一、初识 JavaScript 什么是 JavaScrpt ? js的作用是什么 ? HTML/CSS/JS 的关系 浏览器执行 JS 的简介 JS 的组成 JS 的三种书写位置 二、JavaScript 注释 单行注释 多行注释 三、JavaScript 输入输出语句四、变量概述 什么是变量 变量在内存中的存储 五、变量的使用 声明变量 赋值 变量的初始化 六、变量语法扩展 更新变量 同时声明多个变量 声明变量特殊情况 七、变量命
i春秋CTF-WEB题解(一)
weixin_42271850的博客
07-07 3904
简述         这次转到了i春秋平台上面练习,和之前一样也是没做12到题目就写一篇题解来作为记录。 一、爆破-1         题目给的提示是:flag就在某六位变量中,打开题目的链接,能得到一段PHP代码。 <?php include "flag.php"; $a = @$_REQUEST['hello']; if(!preg_
Web-Upload[i春秋][50pt]
Laurel_60的博客
08-05 1322
> 去年写的,后面有点问题,懒得改了,要看就直接去翻我重写的另一篇吧2333 > https://laure1.github.io/2019/08/29/Summary-of-Web/#Upload
i春秋WEB CTF 1
cbhjerry的博客
10-23 1713
题1:爆破-1,flag就在某六位变量中 &lt;?php include"flag.php"; $a=@$_REQUEST['hello']; if(!preg_match('/^\w*$/',$a)){ die('ERROR'); } eval("var_dump($$a);"); show_source(__FILE__); ?&gt; 解题:URL/?hello=GLO...
webCTF文件包含
最新发布
04-24
WebCTF文件包含是一种常见的Web安全漏洞,也被称为文件包含漏洞。它指的是在Web应用程序中,未正确过滤用户输入导致恶意用户可以通过构造特定的请求,将本应该被限制访问的文件包含到页面中。 文件包含漏洞通常存在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值