[安洵杯 2019]easy_web - RCE(关键字绕过)+md5强碰撞+逆向思维

最新推荐文章于 2024-08-14 23:25:00 发布
最新推荐文章于 2024-08-14 23:25:00 发布
阅读量1.4k 收藏
点赞数
文章标签: web安全 安全 ctf RCE waf绕过 哈希碰撞 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oZuoShen123/article/details/133776725
版权
本文介绍了参加安洵杯2019时遇到的web安全挑战,主要涉及RCE漏洞利用、WAF绕过、MD5强碰撞和逆向思维解题。在阶段一中,通过分析URL和图片编码,利用加密流程绕过限制访问目标文件。在阶段二,面对MD5强比较,通过固定碰撞方法继续突破。最终成功找到并输出了flag。
摘要由CSDN通过智能技术生成

[安洵杯 2019]easy_web

1

1 解题流程

1.1 阶段一

1、F12发现提示md5 is funny ~;还有img标签中,有伪协议和base64编码
2、url地址是index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=
  这就有意思了,这里的img明显是编码后的数据,我们进行解码后得到:
  2
  但是这里有个坑,也就是考我们的逆向思维,其实解密之后我们并不需要去访问555.png,而是解密得到555.png之后,心理瞬间舒畅了,因为我们知道从555.png -> TXpVek5UTTFNbVUzTURabE5qYz0,是经过了hex->base64->base64得到的。
  那么我们是否也可以把想要访问的文件,通过这个加密流程的结果进行传参

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Hillain
关注
专栏目录
订阅专栏
[天翼 2021]esay_eval - RCE(disabled_function绕过||AS_Redis绕过)+反序列化(大小写&wakeup绕过)
oZuoShen123的博客
10-09 878
1、看代码,有unserialize函数,说明要反序列化 2、有 eval($this->code) ,说明要RCE 3、有preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);,说明要绕过waf 4、A的wakeup里面会把code置空,所以要绕过 起点:B(destruct)  终点:A(call) 链条:B(destruct::a=$a)-> A(call::code=命令)
BUUCTF WEB [安洵 2019]easy_web 1 WP
Whaocai的博客
08-02 1493
考点: md5碰撞 php代码审计–正则表达式 F12看到md5 is funny~ ,猜测与md5算法有关。注意到<img>标签和url地址栏,img参数是文件名的某种加密后的,将读取到的文件内容base64加密之后,输出到img标签中。 这个时候,要想办法知道img参数是怎么加密的,查看wp之后,发现后端会对传进去的img参数先进行两次base64解密,再进行一次hex解密。所以我们在payload时要先进行一次hex加密,再进行两次base64加密 同理然后读取一下index.php,再
[安洵 2019]easy_web
qq_52907838的博客
06-13 207
打开环境,页面没有发现,在url上看到有参数传递,cb5e08ab-2a7f-4acc-827b-eb50a64f87ad.node3.buuoj.cn/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=
[安洵 2019]easy_serialize_php
zxnimud5的专栏
09-13 162
上来就给源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSIO
-------------------已搬运 -----------BUUCTF:[安洵 2019]easy_web ----------md5碰撞&& RCE过滤
Zero_Adam的博客
02-14 634
目录:一、自己的思路吧,(为0)二、不足:三、看别人的WP----我明白了,这个题可能需要脑洞的,,, 。。。没个毛线思路 一、自己的思路吧,(为0) 他这个图片的 src 很吸引人, 我竟然第一时间想到了 SSRF ???。我也不知道我咋想的,把data换成读取的协议也不好使,,,当然不好使了啊。那个是文件包含漏洞才能够读取文件的啊。 目录也扫描了,就一个/index.php/index.php套一个,我也不知道,, 再就是他的这个url的参数,没有猜到是干什么的 再结合md5
SMBGhost_RCE_PoC-master.zip
06-11
标题中的"SMBGhost_RCE_PoC-master.zip"是一个压缩包文件,其中包含了与名为"SMBGhost"的安全漏洞相关的远程代码执行(RCE)的概念验证(PoC)代码。这个漏洞被称为CVE-2020-0796,它是在服务器消息块版本3(SMBv3)...
[安洵 2019]easy_serialize_php1
alwtj的博客
06-16 2066
filter 这个function 可以看作一个过滤器,具体内容为首先定义了一个$filter_arr数组,数组的内容为:'php','flag','php5','php4','fl1g',又定义了一个$filter的字符串,格式是为了迎合下面的preg_replease()函数,意思就是如果匹配到$filter_arr数组中的内容则将其转换为空,且由于i的缘故,不区分大小写.s:20:"ZDBnM19mMWFnLnBocA==";s:48:" 就变成了 s:7:"";
[安洵 2019]easy_web 1
feng的博客
11-12 472
前言 这题是一道没出好的题目,导致了后面的正则匹配出现了很大的问题,不过因为我也菜。。我也对这个正则匹配没有理解好。所以我没看出这个问题。。。 WP 前面的题解就尽量省略一些,主要讲一下最后命令执行的正则匹配。看到url的img传参,base64二次解密再加一次hex解密,就可以得到555.png,因此我们反向构造index.php,得到index.php的源码: <?php error_reporting(E_ALL || ~ E_NOTICE); header('content-type:text
[安洵 2019]easy_webMD5碰撞绕过
EC_Carrot的博客
11-06 1653
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! [安洵 2019]easy_web 点进去就看到这个url,cmd传入ls、dir没什么用 img这边把他删了,图片就没了 那这里应该可以利用来读文件了,但是他加密过了,看起来像base64,解下密 看起来也像base64,再来一次 这次就解出个像hex编码的字符串了,解密后得出文件名 555.png 那我们知道这的确是文件名经过加密后传入
web-[安洵 2019]easy_web
wojiushilsy的博客
08-29 373
题目要点题目内容解题 题目要点 文件包含 多重编码(base64 编码时末尾的 = 可以去掉 不影响) md5碰撞 linux命令行执行绕过 fuzz rce 题目内容 解题
RCE绕过练习
最新发布
m0_74848570的博客
08-14 980
你提到的“语言构造器”,英文是"language construct",是语言构成的意思,翻译成语言构造器难免有点令人困惑。PHP里有echoprintdierequire等几个特殊的关键字,虽然它们用起来像是函数,但实际上更类似于ifwhile这样控制语句,而不是一个函数。也就是说,当解释器遇到:这样的一个表达式的时候,并不会把它转换成函数调用,而是直接映射到一系列预先定义好的操作。使用语言构成的时候可以加括号,也可以不加括号,但是使用函数的时候必须加括号。
2019年掘安writeup
想吃小肥羊
04-21 616
一、下载下载 点开题目链接,看到“下载flag文件”,点击可下载flag.txt,但是却没有发现我们想要flag。 这时我们查看源码,发现有flag.php,于是尝试构造如下下载url,看是否存在可以下载的文件 url:http://120.79.1.69:10002/?file=flag.php 下载后的代码如下: <?php header('Content-Type: text/htm...
一天一道ctf 第25天(md5碰撞
scrawman的博客
04-17 1948
注意到URL中的img链接不寻常,对TXpVek5UTTFNbVUzTURabE5qYz0base64解码两次,Hex解码一次,得到555.png 那我们对index也同样Hex编码一次,base64编码两次得到TmprMlpUWTBOalUzT0RKbE56QTJPRGN3替换掉URL中原来的字符串 查看源代码里面一长串的字符串就是index.php,base64解码。而且在最后还有作者还写了一句MD5 is funny,可能也是提示 <?php error_reporting(E_ALL ||.
BUUCTF easy webmd5的问题
qq_44927883的博客
12-03 1537
看了大家的wp,在绕过下面的md5的时候,都是通过两个特殊的值绕过的,但经测后发现不对。 if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) { echo `$cmd`; } else { echo ("md5 is funny ~"); } 启动本地php跑一下 <?php echo (string)$_GET['a']; echo "
cve_2019_0708_bluekeep_rce
04-06
b'cve_2019_0708_bluekeep_rce' 是一个计算机安全漏洞的名称,也被称为“蓝牙保安漏洞”。这个漏洞允许黑客在未经授权的情况下远程执行代码(RCE),可能导致计算机系统被恶意入侵和控制。该漏洞主要影响运行微软Windows操作系统的计算机,并且已经被修补。建议用户及时更新他们的系统进行保护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hillain

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值