[PWNHUB 公开赛 2018]傻 fufu 的工作日

最新推荐文章于 2022-05-19 11:39:54 发布
最新推荐文章于 2022-05-19 11:39:54 发布
阅读量505 收藏 2
点赞数 2
分类专栏: web ctf 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50967960/article/details/120851615
版权
web 同时被 2 个专栏收录
9 篇文章 0 订阅
订阅专栏
ctf
6 篇文章 0 订阅
订阅专栏

考点

phpjiami
代码审计

工具

dirsearch
蚁剑
bp
phpjiami脚本

WP

扫目录
发现备份文件index.php.bak
下载并打开
在这里插入图片描述
备注显示通过phpjiami加密

phpjiami加密流程

加密流程:源码 -> 加密处理(压缩,替换,BASE64,转义)-> 安全处理(验证文件 MD5 值,限制
IP、限域名、限时间、防破解、防命令行调试)-> 加密程序成品,再简单的说:源码 + 加密外壳

代码分析破解

phpjiami 数种解密方法
解密脚本
PHP免扩展加密(混淆加密)的基本原理

根据解密脚本(膜拜大佬orz)解码
步骤:

  1. 下载脚本
    在这里插入图片描述
    encode文件夹里放待解密的文件 文件格式恢复为.php
    decode文件为明文
  2. 运行
php phpjiami.php

在这里插入图片描述
解码结果如下:

<?php
if($_FILES) {
    include 'UploadFile.class.php';
    $dist = 'upload';
    $upload = new UploadFile($dist, 'upfile');
    $data = $upload->upload();
}
?><!DOCTYPE html>
<html>

<head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>pwnhub6669</title>
    <link rel="stylesheet" href="assets/bootstrap/css/bootstrap.min.css">
    <link rel="stylesheet" href="https://fonts.googleapis.com/css?family=Armata">
    <link rel="stylesheet" href="assets/css/Responsive-feedback-form.css">
    <link rel="stylesheet" href="assets/css/styles.css">
</head>

<body>
    <div class="container" style="margin-top:51px;">
        <div id="form-div" style="margin-right:50px;margin-left:50px;">
            <form method="post" enctype="multipart/form-data">
                <div class="form-group">
                    <div class="row">
                        <div class="col-md-12">
                            <h1 class="text-center" style="font-family:Armata, sans-serif;font-size:30px;"><strong>File Upload</strong></h1></div>
                    </div>
                    <hr id="hr" style="background-color:#c3bfbf;">

                    <?php if(!empty($upload)): ?>
                    <div class="row text-center">
                        <?php if(!empty($data)): ?>
                        <img src="<?=$dist.'/'.$data['filename']?>" alt="<?=$data['name']?>">
                        <?php else: ?>
                        <div class="col-xs-10 col-xs-offset-1">
                            <div class="alert alert-warning" role="alert"><?=$upload->error?></div>
                        </div>    
                        <?php endif; ?>
                    </div>
                    <hr id="hr" style="background-color:#c3bfbf;">
                    <?php endif; ?>
                    <div class="row">
                        <div class="col-md-8 col-md-offset-2 col-sm-10 col-sm-offset-1 col-xs-10 col-xs-offset-1">
                            <p style="font-family:Armata, sans-serif;font-size:22px;">File Name</p>
                        </div>
                    </div>
                    <div class="row">
                        <div class="col-md-8 col-md-offset-2 col-sm-10 col-sm-offset-1 col-xs-10 col-xs-offset-1">
                            <input class="form-control" type="text" name="upfile" placeholder="默认使用文件名" style="font-size:15px;font-family:Armata, sans-serif;">
                        </div>
                    </div>
                    <div class="row" style="font-family:Armata, sans-serif;margin-top:10px;">
                        <div class="col-md-8 col-md-offset-2 col-sm-10 col-sm-offset-1 col-xs-10 col-xs-offset-1">
                            <p style="font-family:Armata, sans-serif;font-size:22px;"><strong>File Upload</strong></p>
                        </div>
                    </div>
                    <div class="row">
                        <div class="col-md-8 col-md-offset-2 col-sm-10 col-sm-offset-1 col-xs-10 col-xs-offset-1">
                            <input type="file" name="upfile">
                        </div>
                    </div>
                    <div class="row">
                        <div class="col-md-8 col-md-offset-2 col-sm-10 col-sm-offset-1 col-xs-10 col-xs-offset-1">
                            <p class="text-right" style="font-family:Armata, sans-serif;">Allow One Image File</p>
                        </div>
                    </div>
                    <div class="row">
                        <div class="col-md-4 col-md-offset-5 col-sm-5 col-sm-offset-4 col-xs-9 col-xs-offset-1">
                            <button class="btn btn-warning" type="reset" style="font-family:Armata, sans-serif;font-size:14px;color:rgb(0,0,0);">Reset </button>
                            <button class="btn btn-success" type="submit" id="submit-btn" style="font-family:Armata, sans-serif;font-size:14px;color:rgb(0,0,0);">Submit </button>
                        </div>
                    </div>
                </div>
            </form>
        </div>
    </div>
    <script src="assets/js/jquery.min.js"></script>
    <script src="assets/bootstrap/js/bootstrap.min.js"></script>
</body>

</html><?php

在这里插入图片描述
不放过蛛丝马迹
继续
http://AAAAA/UploadFile.class.php.bak
接下来解码得

<?php

class UploadFile {
    public $error = '';

    protected $field;
    protected $allow_ext;
    protected $allow_size;
    protected $dist_path;
    protected $new_path;

    function __construct($dist_path, $field='upfile', $new_name='random', $allow_ext=['gif', 'jpg', 'jpeg', 'png'], $allow_size=102400)
    {
        $this->field = $field;
        $this->allow_ext = $allow_ext;
        $this->allow_size = $allow_size;
        $this->dist_path = realpath($dist_path);

        if ($new_name === 'random') {
            $this->new_name = uniqid();
        } elseif (is_string($new_name)) {
            $this->new_name = $new_name;
        } else {
            $this->new_name = null;
        }
    }

    protected function codeToMessage($code) 
    { 
        switch ($code) {
            case UPLOAD_ERR_INI_SIZE: 
                $message = "The uploaded file exceeds the upload_max_filesize directive in php.ini"; 
                break; 
            case UPLOAD_ERR_FORM_SIZE: 
                $message = "The uploaded file exceeds the MAX_FILE_SIZE directive that was specified in the HTML form";
                break; 
            case UPLOAD_ERR_PARTIAL: 
                $message = "The uploaded file was only partially uploaded"; 
                break; 
            case UPLOAD_ERR_NO_FILE: 
                $message = "No file was uploaded"; 
                break; 
            case UPLOAD_ERR_NO_TMP_DIR: 
                $message = "Missing a temporary folder"; 
                break; 
            case UPLOAD_ERR_CANT_WRITE: 
                $message = "Failed to write file to disk"; 
                break; 
            case UPLOAD_ERR_EXTENSION: 
                $message = "File upload stopped by extension"; 
                break; 
            default: 
                $message = "Unknown upload error"; 
                break; 
        } 
        return $message; 
    } 

    protected function error($info)
    {
        $this->error = $info;
        return false;
    }

    public function upload()
    {
        if(empty($_FILES[$this->field])) {
            return $this->error('上传文件为空');
        }
        if(is_array($_FILES[$this->field]['error'])) {
            return $this->error('一次只能上传一个文件');
        }
        if($_FILES[$this->field]['error'] != UPLOAD_ERR_OK) {
            return $this->error($this->codeToMessage($_FILES[$this->field]['error']));
        }
        $filename = !empty($_POST[$this->field]) ? $_POST[$this->field] : $_FILES[$this->field]['name'];
        if(!is_array($filename)) {
            $filename = explode('.', $filename);
        }
        foreach ($filename as $name) {
            if(preg_match('#[<>:"/\\|?*.]#is', $name)) {
                return $this->error('文件名中包含非法字符');
            }
        }

        if($_FILES[$this->field]['size'] > $this->allow_size) {
            return $this->error('你上传的文件太大');
        }
        if(!in_array($filename[count($filename)-1], $this->allow_ext)) {
            return $this->error('只允许上传图片文件');
        }

        // 用.分割文件名,只保留首尾两个字符串,防御Apache解析漏洞
        $origin_name = current($filename);
        $ext = end($filename);
        $new_name = ($this->new_name ? $this->new_name : $origin_name) . '.' . $ext;
        $target_fullpath = $this->dist_path . DIRECTORY_SEPARATOR . $new_name;

        // 创建目录
        if(!is_dir($this->dist_path)) {
            mkdir($this->dist_path);
        }

        if(is_uploaded_file($_FILES[$this->field]['tmp_name']) && move_uploaded_file($_FILES[$this->field]['tmp_name'], $target_fullpath)) {
            // Success upload
        } elseif (rename($_FILES[$this->field]['tmp_name'], $target_fullpath)) {
            // Success upload
        } else {
            return $this->error('写入文件失败,可能是目标目录不可写');
        }

        return [
            'name' => $origin_name,
            'filename' => $new_name,
            'type' => $ext
        ];
    }
}

核心:
在这里插入图片描述
存在绕过
利用上传数组upfile('1'->'jpg','0'->'php')
所以$filename[count($filename)-1]取出的是jpg
end($filename)取出的是php
绕过达成
playload
request
在这里插入图片描述

response
在这里插入图片描述

蚁剑连接
在这里插入图片描述
在这里插入图片描述

落魚京
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWNHUB-公开赛一期MISC-Perseverance(WP)
afei001
03-26 454
目录 1.前言 2.错误思路 3.正确思路 3.1 Rot42_decode.py 3.2 MISC-Perseverance_getflag.py MISC题: 这是人做的题吗,如果能拿到邀请码,那都是站在pcat师傅的肩膀上爬上去的A????。 1.前言 这是PWNHUB公开赛PWNHUB注册是需要邀请码的,不是随便谁都能注册的。然而,很不幸,这期公开赛我比没有拿到入场券。本来,flag就摆在我面前。但我却看不懂,悲哀啊。 afe...
buu刷题记录 [PWNHUB 公开赛 2018] fufu工作日
weixin_51458899的博客
04-08 634
[PWNHUB 公开赛 2018] fufu工作日 [PWNHUB 公开赛 2018] fufu工作日(上传差异绕过) | (guokeya.github.io) /index.php.bak源码泄露,拉下来一看竟是混淆的 参考PHPJiaMi 免扩展加密分析及解密_vsalw技术博客用其脚本进行一个解密,脚本如下: https://vsalw.oss-cn-shanghai.aliyuncs.com/phpjiami.zip 解压后把待解密的放入encode目录 $ php phpjiami.
Pwnhub大物必须过Writeup
Fly_鹏程万里
06-07 1353
写在最前这回认真写一次wp,我会尽量写的完整一点,用狼人杀的话说就是把心路历程讲明白。主要两个目的,第一是给做题人一个参考,我在做这题的时候并不知道RPO是啥(看了别人的wp才知道),然而最终还是能做出来,我想这个过程还是值得新人借鉴的,也就是遇到一道新题应该怎么去入手,打CTF遇到自己没见过的知识点太多了,不能期待着撞知识点;第二其实更重要的是给出以后的出题人提一个醒,应该怎么出题。先总结一下这...
Pwnhub-深入敌后-Writeup
dengzhasong7076的博客
01-17 372
死磕了两天,踩了一路坑,最后还卡在莫名其妙的地方...按照大v师傅的本来出题意图来详细写一发。 膜蓝猫和大v师傅。 题目描述 详情 http://54.223.229.139/ 禁止转发入口ip机器的rdp服务端口,禁止修改任何服务器密码,禁止修改删除服务器文件。 禁止对内网进行拓扑发现扫描,必要信息全部可以在服务器中获得。 文明比赛,和谐共处。 更新 - 2017.01.15 1...
看我如何玩转PHP代码加密与解密
frankluwei的专栏
11-01 2784
看我如何玩转PHP代码加密与解密 virink / 2018-06-22 11:30:13 / 浏览数 6383 技术文章 技术文章顶(0) 踩(0)   前言 两次比赛,两个题目,两种方式,两个程序。 一切PHP的代码终究是要到Zend Engine上走一走的,因此一切PHP的源码加密都是可以被解密的。(不包括OpCode混淆-VMP) 代码混淆 比较恶心人的一种处理方式,也不太算...
php本地解密,PHPDecode 在线解密工具
weixin_42117267的博客
03-21 3468
诈尸水一篇博文。8月份写的一个解密加密PHP源码的工具( http://d.poetn.cc:7727/),打算小范围使用。刚好最近看到 PwnHub 上有个解密的题目,p神微博上吐槽居然有人花钱解密了,2333 那分享一波另类解密思路吧。从 WebShell 混淆说起经常跟 WebShell 打交道的朋友会比较清楚,最觉见的 WebShell 是这样的:1然后这种 Shell 很容易就会被静态查...
pwnhub2022年2月公开赛-web题解ssrfme
03-02 293
ssrfme
ctfhub之文件上传(特详解)
小宇的web博客
06-17 5375
ctfhub之文件上传 1.无验证 1.查看题目,这里上传的文件没有限制,直接写一个一句话木马写一个网站后门。方法为在记事本上写上以下的木马,然后改变后缀改为php 2.这里需要中国蚁剑来进行操作,这里请自行百度,打开中国蚁剑后右键添加数据,然后在url中输入访问这个文件所在位置的url,在密码上面输入hack(这里输入hack即可)。 3.添加后双击打开。 4.这里发现flag打开即可。 2.前端验证 1.前端靠JavaScript来进行验证,这里可以直接把火狐浏览器的JavaScript的功能
SWPU CTF 2017 Web WriteUp
vspiders的博客
11-12 2528
这比赛Web题质量还挺不错的,最后八道题只做出四道(我好菜啊.jpg)...不会的题看了一下别人的writeup,在这里一起总结一下 你能进入后台吗? (100pt) 点进链接是一个登录界面,右键查看源码有两条隐藏信息 然后扫目录扫到了一个index.php.bak,下载下来打开后是乱码,尝试了一下前段时间pwnhub上出过题的phpjiami无果,到这里就没思路
CTFpwn总结 入门
热门推荐
九层台
04-26 2万+
学了那么久pwn了,基础知识终于积累的差不多了,来这个总结希望其他学pwn的人能少走一些弯路。 0x01学pwn需要哪些知识呢? 堆栈是少不了的。要知道函数调用的时候,栈中的数据是怎么放的,知道ebp在哪,知道返回地址在哪。 能看懂汇编,2条指令要清楚,ret和call。 具备这些基础知识你就能够开始学pwn了。 0x02需要注意什么 在溢出是要清楚2个...
PWNHUB 五月公开赛+内部赛 writeup(【5月公开赛】MyNotes TemplatePlay 【胖哈勃内部赛|五月,你好】MockingMail)
ShenZ的博客
05-19 823
PWNHUB 【5月公开赛】MyNotes 【5月公开赛】TemplatePlay 【胖哈勃内部赛|五月,你好!】MockingMail 【胖哈勃内部赛|五月,你好!】MISC-Unicode session反序列化伪造 给了源码,admin界面会给flag, "phpmailer/phpmailer": "6.4.1",有个CVE-2021-3603 PHP Mailer 最新代码执行漏洞,漏洞函数是validateAddress(),本体中两个参数都可控
Midnight Sun CTF 2022 pwnhub
sky123博客
04-07 2894
漏洞分析 主要有如下功能: ┍━━━━━━━━━━━━━━━━━━━━━━━━━━━━┑ │ ---------- menu ---------- │▒ │ ┌────────────────────────┐ │▒ │ │ 1) read │ │▒ │ │ 2) leak │ │▒ │ │ 3) alloc │ │▒ │ │ 4) quit │ │▒ │ └───────────────
[毕业设计]VB环境下电脑销售与财务管理系统开发(ACCESS+源代码+论文).zip
08-05
[毕业设计]VB环境下电脑销售与财务管理系统开发(ACCESS+源代码+论文)
PPO(Proximal Policy Optimization,近端策略优化)算法
08-05
在解答2024年华数杯全国大学生数学建模竞赛的C题“老外游中国”时,虽然PPO(Proximal Policy Optimization,近端策略优化)算法主要是应用于强化学习领域,特别是在解决连续动作空间的策略优化问题上,但在此数学建模竞赛中,它并不直接适用于数据处理、综合评价或路径规划等任务。不过,我们可以从数据处理和决策优化的角度,类比强化学习中的一些思想来构思解题策略。 然而,对于本题而言,我们可以更侧重于数据分析、综合评价模型(如层次分析法AHP、TOPSIS、模糊综合评价等)和路径规划算法(如Dijkstra、A*、遗传算法等)来解决问题。以下是对各个问题的进一步建模思路: 一、问题1建模思路 1.1 数据处理与分析 数据收集与清洗:首先,需要加载所有352个城市的CSV文件,对每个城市的100个景点信息进行数据清洗,去除无效或缺失的关键信息(如评分缺失的景点)。 最高分查找:遍历所有景点,找到最高评分(BS),并统计获评该评分的景点数量。 城市排名:统计每个城市获评BS的景点数量,并根据数量多少进行排序,列出前10个城市。 二、问题2建模思路 2.1 综合评价体系构建
中国城市统计年鉴(1985-2023)
08-05
《中国城市统计年鉴》是全面反映中国城市社会经济发展情况的资料性年刊。《中国城市统计年鉴—2023》收录了2022年全国各级城市社会经济发展等方面的主要统计数据。 本年鉴内容共分四个部分: 第一部分是全国城市行政区划,列有不同区域、不同级别的城市分布情况; 第二、三部分分别是地级以上城市统计资料和县级城市统计资料,具体包括人口、资源环境、经济发展、科技创新、人民生活、公共服务、等方面的数据; 第四部分是附录,为主要统计指标解释。 需要说明的是,从1997年开始,地级以上城市和县级城市分别采用不同的统计制度,有些指标在两类城市之间不具有可比性,故本年鉴将地级以上城市和县级城市统计资料分为独立的两部分。本年鉴所涉及的全国或全部城市统计资料,均未包括香港特别行政区、澳门特别行政区和台湾省。
振中TP900 驱动工具2.2
08-05
振中TP900 驱动工具2.2
大学信息安全试题精选12
08-05
大学信息安全试题精选 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【项目质量】:所有源码都经过严格测试,可以直接运行。功能在确认正常工作后才上传。 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
mutiple_pie (8).zip
最新发布
08-05
mutiple_pie (8).zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值