第五空间智能安全大赛部分web题目wp

最新推荐文章于 2024-08-23 17:03:27 发布
最新推荐文章于 2024-08-23 17:03:27 发布
阅读量1.6k 收藏 2
点赞数
文章标签: 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44713013/article/details/122187164
版权
本文深入探讨了PHP中如何构造无字母数字的webshell,利用异或取反绕过过滤,并通过PHP版本特性执行命令。同时,分析了一个SSRF漏洞案例,详细解释了如何通过编码绕过黑名单,利用file协议实现远程文件读取。文章揭示了HTTP请求参数的处理流程及服务器响应,对于理解Web安全和PHP编程有重要参考价值。
摘要由CSDN通过智能技术生成

##hate-php

考点:考点:异或取反构造无字母数字webshell

访问题目所给ip直接看到代码如下图,开始审计代码

可以看到正则表达过滤,可以根据提示判断出需要读去flag.php,get_define_functions函数获取所有已经定义的函数,包括内置函数和用户定义函数,可通过$arr["internal"]来访问系统内置函数, 通过$arr["user"]来访问用户自定义函数,这里吧内置函数 加到了 blacklist中 ,我们就需要绕过这个 这里我们因为由过滤的存在,直接考虑无数字和字母的webshell,看到环境为7.2.31的php版本,大于7.1,由此可以得出可以构造出(phpinfo)();这样的写法然后取反绕过

但是直接执行phpinfo (~%8F%97%8F%96%91%99%90)() 发现也可以读取到phpinfo文件,不加分号仍然可以

使用print_r(scandir('.'))来进行列目录

然后我们构造(%8F%8D%96%91%8B%A0%8D)((%8C%9C%9E%91%9B%96%8D)((~%D1))) 来进行列目录;发现确实存在flag.php文件;读取一下;

do you know

考点:ssrf攻击

审计代码:

<?php
highlight_file(__FILE__);
$poc=$_SERVER[‘QUERY_STRING‘];
if(preg_match("/log|flag|hist|dict|etc|file|write/i" ,$poc)){
                die("no hacker");
        }
$ids=explode(‘&‘,$poc);
$a_key=explode(‘=‘,$ids[0])[0];
$b_key=explode(‘=‘,$ids[1])[0];
$a_value=explode(‘=‘,$ids[0])[1];
$b_value=explode(‘=‘,$ids[1])[1];
if(!$a_key||!$b_key||!$a_value||!$b_value)
{
        die(‘我什么都没有~‘);
}
if($a_key==$b_key)
{
    die("trick");
}
if($a_value!==$b_value)
{
        if(count($_GET)!=1)
        {
                die(‘be it so‘);
        }
}
foreach($_GET as $key=>$value)
{
        $url=$value;
}
$ch = curl_init();
    if ($type != ‘file‘) {
        #add_debug_log($param, ‘post_data‘);
        // 设置超时
        curl_setopt($ch, CURLOPT_TIMEOUT, 30);
    } else {
        // 设置超时
        curl_setopt($ch, CURLOPT_TIMEOUT, 180);
    }
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_POST, true);
    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
    curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
   // 设置header
    if ($type == ‘file‘) {
        $header[] = "content-type: multipart/form-data; charset=UTF-8";
        curl_setopt($ch, CURLOPT_HTTPHEADER, $header);
    } elseif ($type == ‘xml‘) {
        curl_setopt($ch, CURLOPT_HEADER, false);
    } elseif ($has_json) {
        $header[] = "content-type: application/json; charset=UTF-8";
        curl_setopt($ch, CURLOPT_HTTPHEADER, $header);
    }
    // curl_setopt($ch, CURLOPT_USERAGENT, ‘Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)‘);
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
    curl_setopt($ch, CURLOPT_AUTOREFERER, 1);
    // dump($param);
    curl_setopt($ch, CURLOPT_POSTFIELDS, $param);
    // 要求结果为字符串且输出到屏幕上
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    // 使用证书:cert 与 key 分别属于两个.pem文件
    $res = curl_exec($ch);
    var_dump($res);

$poc变量直接接收了我们的传参然后去匹配,如果没有黑名单就放过,否则ban掉

$ids是将我们从‘&‘分隔开 $a_key 是取我们前面的那个变量的键名; $b_key 是取后面变量的键名; $a_value 是取前面变量的键值; $b_value 是取后面的键值;接着一个if的判断是的我们必须拥有以上的四种变量,也就是说我们的传参必须为/?s1mple=xxxxxxx&simple=xxxx;接着审计代码;

if($a_key==$b_key)
{
    die("trick");
}

一个判断让我们两个键名不可以相同;

if($a_value!==$b_value)
{
        if(count($_GET)!=1)
        {
                die(‘be it so‘);
        }
}

这里如果一旦不满足两个值不相等,那么就会进入下一个判断,就会判断我们传参的个数,显然我们之前分析过,传入的参数是两个,所以这里必死无疑,所以唯一的方法就是让我们的两个键值相等;就可以绕过去;

foreach($_GET as $key=>$value)
{
        $url=$value;
}

接着遍历我们的键名键值。然后将url赋值为我们传入的键值;然后接着就是启动一个会话进行我们的ssrf攻击了;

这里出题人提示的很明确,无关的代码都标出了它的含义。那些代码都是我们不需要关心的,都是服务器的执行流程;这里显然在会话的开始就提示了我们使用file协议;但是我们源码刚开始的一个匹配过滤了file协议,现在就是怎么绕过的问题;

这里需要明白我们浏览器和服务器处理数据的流程,我们传入的参数会经过浏览器的urlencode然后传给服务器,我们服务器收到之后会先进行urldecode,然后拿去正则判断,如果过去之后,则交由后续的程序处理,这里我们进行urlencode编码绕过即可,对我们的字母同样进行urlencode,即%+十六进制;这里编码后的效果就是;?s1mple=%66%69%6c%65%3a%2f%2f%2f%76%61%72%2f%77%77%77%2f%68%74%6d%6c%2f%66%6c%61%67%2e%70%68%70&simple=%66%69%6c%65%3a%2f%2f%2f%76%61%72%2f%77%77%77%2f%68%74%6d%6c%2f%66%6c%61%67%2e%70%68%70]-->(http://121.36.64.91/?s1mple=file%3a%2f%2f%2fvar%2fwww%2fhtml%2fflag.php&simple=file%3a%2f%2f%2fvar%2fwww%2fhtml%2fflag.php)这里看到我们服务器处理完之后得到的结果就是后面的结果,前面过正则的时候,我们的file协议什么的都是经过urlencode的,可以顺利绕过去,然后交由我们服务器的程序进行解析,看到是urlencode会进行再次的解码,然后处理得到结果,从而去读取我们的/var/www/html/flag.php文件; $flag=‘flag{5bc0bc291d322450679866d5ddf0a346}

qq_44713013
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信息安全webwp
星|Donstpast
10-11 358
1.web1 进入题目网址之后,查看源码, 发现一个base64编码,用在线工具解码,获得密码 尝试输入时发现不允许输入内容,这是一个前端限制,f12, 将标注处删除,回车,此时发现可以输入内容 输入内容后发现提示需要本地访问,那么我们就需要修改ip地址,使用burp抓包后, 加入X-Forwarded-For: 127.0.0.1(这就相当于本地访问了)后,发送包,获得本题flag 所以。提交falg:flag{ma1atutou_is_very_de1eci0us} 2.web2 本题提示挺好,P
赛博地球杯工业互联网安全大赛wp1
08-03
工业互联网安全大赛 WP1 解析 本文将对赛博地球杯工业互联网安全大赛 WP1 进行详细解析,涵盖网络协议、PHP 和 SQL 等相关知识点。 一、网络协议 在 WP1 中,我们可以看到 ping 命令的使用,ping 命令是一种网络...
第五空间web复现
unexpectedthing的博客
09-27 755
@[]
2020“第五空间wp-pwn-twice
weixin_45209963的博客
06-25 763
这次第五空间总算不是第500空间了… 题难度还行。pwn只做了一个twice,不过好歹是正式比赛第一次做出来pwn…放wp吧。 老规矩,先checksec一波 64位,开了canary和nx。上IDA。 main函数主要就是一个循环 sub_4007A9是这样的 a1就是传入的nCount(初值为0) 。结合主函数的循环,可以知道整个循环只能跑两次。 第二次执行完后返回0,就跳出循环了。 整个的函数作用大体上就是向s数组中读v3个字节。 sub_40076D长这样 第一次返回89,第二次返回112。
第五空间智能安全大赛web hate-php
weixin_45844670的博客
09-13 727
进入题目链接 得到源码 <?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { die('You are too good for me');
第五空间智能安全大赛部分WP
蚁景网安学院
06-28 2826
第五空间6月24日比赛的部分WP.目录cryptorosbrsa共模攻击,网上找了个板子改了改rom gmpy2 import * import libnum n = 0xa1d4d...
[RoarCTF 2019]Easy Calc
weixin_42346836的博客
10-16 408
查看源码发现有一个页面,直接访问 源码: <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^']; foreach ($blacklis
第五空间智能安全⼤赛真题----------PNG图⽚转换器
qq_49433473的博客
05-31 519
第五空间智能安全⼤赛真题----------PNG图⽚转换器(ctfhub)
2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络...
实验吧WEB题目WP
08-10
标题《实验吧WEB题目WP》指的是参与“实验吧”平台上一系列与Web安全相关的挑战题目的解答方案(Writeups,简称WP)。这些挑战通常涵盖了多种Web安全问题,包括但不限于代码审计、服务器配置错误、SQL注入、跨站脚本...
2020年第五空间.zip
07-20
2020年第五空间 比赛逆向 pwn等赛题,除web题外所有赛题均有,含wp,麒麟系统wp
广东省2023技能大赛网络安全赛项 C模块wp
04-20
### 广东省2023技能大赛网络安全赛项C模块wp #### 解题思路概述 广东省2023技能大赛网络安全赛项不仅为参赛者提供了展示网络安全技能的机会,更是一次全面考验逻辑思维、实践能力和团队合作精神的重要平台。在C...
re学习笔记(66)第五空间智能安全大赛-re-nop
逆向随笔
06-25 677
打开老多花指令 挨个把这样的替换掉就好了 点击push的地址,ctrl+c复制。点击jmp ebp使用插件ctrl+alt+k修改,修改为jmp <复制的地址> 搜了一下字符串找到输出正确与否的代码,发现没有跳到Right的代码,,Right上面的那个jmp跳过了他,,, 刚开始以为是要修改main函数最底部栈顶的数值,让他等于Right的地址,然后pop ebx赋值给ebx,最后jmp ebx跳转到Right 调试了半天这里什么都没有! 整个main函数就是对表面上的,对输入的数Num+3
第三届“第五空间”网络安全大赛初赛部分WP
七堇年的博客
12-24 2241
第三届“第五空间”网络安全大赛初赛WP
第五空间wp-misc-run
weixin_45209963的博客
06-25 398
第一次正式比赛二血。小开心。 下载下来是一个run.exe。运行一下没反应…看图表是个docx,7zip打开,果然嵌了一个docx。 打开,查十六进制等等基本操作,没发现有什么东西。回去运行分离出来的exe。 结果生成了一个文件名‘tif’的文件。查十六进制,很明显是tif文件(明显提示嘛) 结尾还有一个run-> njCp1HJBPLVTxcMhUHDPwE7mPW 改后缀,打开,是这么个东西 查十六进制,查LSB,过stegsolve,都是啥也没。PS打开,发现有两个图层。把那个黑方块取消显
2022第五空间-web部分wp+复盘总结
weixin_52599204的博客
09-20 699
这次还是学到不少东西,最后成绩28,web队里师傅们ak了 但是最后那个sql注入我是现在还没看懂,所以就没总结了。收获蛮大的。扩展了不少的思路,get到了大佬平时的思路,rce的那题,读文件的时候,队里师傅写了个一句话木马上去,ban了那么多关键词,我是怎么也想不到怎么写上去的。按我平时的思路就是,利用常见的命令 例如echo命令写马,但ban掉了不少东西, 同时,/也被ban了,进目录是没法搞的。但是大佬的思路是啥,日志写马,日志写马倒也是想到过,可是我/
第三届第五空间网络安全大赛WP(部分)
蚁景网安学院
09-24 3017
Web1、PNG图片转换器附件的web源码如下require 'sinatra' require 'digest' require 'base64' get '/' do open(...
pwn BUUCTF第五空间决赛pwn5
doudoudedi
09-29 958
emem今天也是水题的一天阿哈哈看了一个第五空间决赛的pwn5发现很简单诶 这题估计有很多的思路因为 明显的格式化字符串漏洞可以改写got表的地址,可以打印地址的内容所以 我就讲2个 它是随机数和你输入的数相同就会给你一个后门所以就可以泄露出给你的随机数然后输入进去就行了 我这里写一个 这个函数我们把其改为system函数地址然后输入’/bin/sh\x00’ 就行了很简单啊啊 from pw...
城乡燃气安全监管平台 打造城市安全防护网
最新发布
SUNVUA1028的博客
08-23 336
旭华智能燃气安全监管物联网平台是一款集成多项先进技术和理念的综合管理平台。通过运用 5G、大数据、物联网、GIS 等信息技术,以可燃气体探测器,气体流量计,燃气压力表等物联网设备提供数据基础,以省/市/县/企业四级燃气安全监管平台为核心,对基础数据进行分析研判,可视化展示及预警指挥调度,切实提高燃气行业智能化、信息化、科学化的安全监管水平。数据整合与共享:平台能够自动收集来自多个部门的数据,包括燃气管网的压力、温度、流量等关键指标,并确保这些信息的实时共享,打破信息孤岛,提高监管效率。智能化监管。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值