ctfshow-web(三)

最新推荐文章于 2024-05-01 12:39:05 发布
最新推荐文章于 2024-05-01 12:39:05 发布
阅读量872 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47804678/article/details/128197872
版权

一言既出

这个打开就是一段代码:

 

不太会php,查了一下,知道了:

assert()是一个断言函数,如果条件判断错误会终止程序;

die() 函数输出一条消息,并退出当前脚本。

然后还有一个intval()函数,他是用来获取变量的整数值。其实可以看出来,有两个对num值的判断,且都要为真才能达到flag,那么就可以利用intval()函数的一些特点进行绕过。

这里利用的是加法绕过:intval()函数中用字符串方式表示科学计数法时,函数的返回值是科学计数法前面的一个数,而对于科学计数法加数字则会返回科学计数法的数值;也就是说如果是加法形式,它会返回加完的和的值。

我们设置payload:

?num=114514+1805296

这样,在if判断中是弱类型比较,那么比较时取的是整个num字符串中加号之前的值(数字开始,非数字结束);在intval()函数中取到的是和的值;就可以绕过两次判断。我们使用max hackbar插件吧payload写进去,然后执行请求,结果如下图:

intval()还有一些特性和可利用的绕过方式,其他的大家可以自行了解总结一下。

 另外,看了一下其他的wp,还有绕过方法,比如针对assert()断言函数的绕过方法:将传入num的值设为:

num=114514);(19199810 
num=114514)==1 or system('ls');#

这样就可以构造出恶意的闭合,绕过判断,让代码顺利执行。

驷马难追

 这个相比上一个就是多了一些过滤,去掉了字母,分号,括号以及双引号。可以注意到没过滤加号,所以就还是利用intval()函数的特点进行绕过就可以了。

TAPTAPTAP

是个小游戏,先玩了玩,没发现什么 ,于是扫了一下,也没发现什么;最后就想着抓包看看吧,但是发现玩游戏时没有数据包,应该都是和前端交互,那就看一下前端代码吧(好多,眼花缭乱):

 ctrl+F搜索了一下flag也没有;看这些代码都有注释,主要的逻辑实现应该在logic&brain下面的代码里,于是打开看一下吧。在里面发现了一段区别于正常代码,类似base64加密的字符串:

 使用cyberche飞(在线加解密工具)进行base64解密后发现是:

 于是访问此路径,拿到flag:

早知道多坚持玩几关了*-*,于是我又按照代码的逻辑玩到21关试了一下(这该死的胜负欲):

webshell

 看代码是个反序列化:

 首先序列化主要就是将对象转化为字符串的形式,使其可存储或可传输;而反序列化就是将字符串形式的对象在转换到原来的形式。( 详细了解反序列化可以看一下这篇文章https://www.freebuf.com/articles/web/241998.html

举个例子:

<?php
    class DemoClass{
        public $name="admin";
        public $age=18;
    }

    $demo=new DemoClass();
    echo serialize($demo)
?>

得到的序列化后的结果是:

O:9:"DemoClass":2:{s:4:"name";s:5:"admin";s:3:"age";i:18;}
对象类型:长度:“类名”:变量数量:{类型:长度:“值”;类型:长度:“值”;...}

可以发现没有类,只有变量。而且其中的字符都代表着不同的意思:

反序列化漏洞就是当反序列的对象可控时,不正当的利用一些魔法函数,将自己想要的命令得到执行。

//魔法函数
__wakeup() //执行unserialize()时,先会调用这个函数
__sleep() //执行serialize()时,先会调用这个函数
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把类当作字符串使用时触发
__invoke() //当尝试将对象调用为函数时触发
__construct() //对象初始化时会调用此方法

了解了这些,就可以知道主要是构造反序列化的字符串传给cmd,之后在代码进行反序列化时就会调用construct()函数,进而执行init()函数,对cmd进行过滤后在执行命令返回结果。

那么针对如何绕过flag过滤的问题,我们可以看到它过滤掉了flag且不区分大小写,那么我们在设置payload的时候可以把命令写为:cat fla*做一个模糊查询,这样就可以绕过过滤了。

 执行后页面没有任何信息,但是打开代码,就可以看到flag了:

 

Don't know
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
ctf.show_web3
rev1ve的博客
03-19 203
ctf.show_web3 文件包含 php伪协议
ctfshow_web3
qq_45891669的博客
04-27 753
CTFshow_web3 关于CTFshow_web3解题步骤: 打开容器可以看到一小段php代码,可以看出是文件包含,可能涉及文件包含漏洞,可以拿 ?url=../../../../../../../../../../etc/passwd 去测试一下,看有没有文件包含漏洞 测试成功 确认存在php文件包含漏洞可以使用Burpsuit去抓包,并且使用php伪协议中的php://input来在包的最下面写上<?php system("ls");?>执行系统命令查看当前目录的文件,看看有没有fl
2024年网安最全ctfshow-WEB-web3_ctfshow web3(1)
最新发布
2401_84264583的博客
05-01 446
php://input 可以访问请求的原始数据,配合文件包含漏洞可以将post请求体中的内容当做文件内容执行,enctype=multipart/form-data"时,php:/input将会无效。ctf.show WEB模块的第3关是一个文件包含漏洞,include()函数包含的文件会被执行,我们使用PHP伪协议配合抓包工具进行命令执行,从而获取flag。很明显这个crf_go_go_go文件就是存放flag的文件。这一关的flag就存放在网站跟路径下的文件中。
ctfshow-web3(伪协议php://input的利用)
Welcome To Myon'Blog !
10-07 1172
这是一个只读信息流,当请求方式是post的,并且enctype不等于”multipart/form-data”时,可以使用php://input来获取原始请求的数据,当enctype等于”multipart/form-data”时php://input是无效的。利用该方法,我们可以直接写入php文件,输入file=php://input,然后使用burp抓包,写入php代码。,php执行时会将post内容当作文件内容,从而导致。存在文件包含时直接使用PHP伪协议。,当传入的参数作为文件名打开时,可以。
ctfshow-web入门——命令执行(3)(web58-web71)
m0_62905745的博客
03-16 340
本篇文章是ctfshow的web入门部分的命令执行部分wp(web58-web 71),包括一些题目解答,自己的笔记和总结,有错误还希望大家指正,一起学习进步!
ctfshow web(3,4)
m0_74119193的博客
02-23 468
但是使用不了伪协议是因为服务器为nginx再查看nginx的默认日志文件在/var/log/nginx/access.log
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
ctfshow-萌新-web3( 利用intval函数的特性配合联合注入获取网站敏感信息)
热门推荐
wangyuxiang946的博客
09-09 1万+
ctf.show 萌新模块 web3关,此关卡考察的是 intval()函数的特性,以及SQL注入漏洞的利用;首先需要利用 intval()转换字符串的特性绕过校验,而后利用联合注入获取数据库中的敏感信息,从而获取flag,源码中过滤了or,加减乘除(+-*/),hex,!等关键字,这里推荐使用联合注入 页面中给出了源码,并提示我们 id=1000 时,就可以拿到flag 源码中由两个关键点,首先是intval()函数的转换,这里可以利用 intval()函数转换字符串时的特性...
攻防世界(进阶刷题)php_rce 以及ctf.show注入通关
qq_62046696的博客
06-01 1187
php_rce 这道题考察php远程漏洞问题 打开界面一看, 然后看师傅们的wp都是直接去,github去查Think PHP V5漏洞 然后随便找了一个输了进去发现,提示我们要用5.02的版本漏洞 6、http://localhost/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id ...
CTFSHOW系列-web3(信息收集-抓包看响应头)
siu~
11-22 455
CTFSHOW系列解题思路
ctfshow web(不定期更新)
pakho_C的博客
09-23 2627
php://input 可以访问请求的原始数据,配合文件包含漏洞可以将post请求体中的内容当做文件内容执行,enctype=multipart/form-data"时,php://input将会无效。MD5弱等于绕过:有些字符md5后的值为0e开头,会被当做科学计数法,也就是0.所以当找到2个字符md5后的值都为0e开头时即可绕过。绕过方法:如果是以数字开头的字符串,使用is_numeric的时候会自动去掉后面的字符,将其前面的数字取出来判断。web3的升级,过滤了php伪协议,使用日志注入。
ctfshow web刷题记录
2301_77004573的博客
09-13 165
看到include想到文件包含漏洞,用linux的用户信息存放路径/etc/passwd测试一下,发现有回显:尝试一下抓包php伪协议input写入命令执行:新版本bp存在不能换行问题,但是可以从其他地方复制过来空行,之后记得点到\n检查一下空行是不是\r\n发现两个页面文件,分别访问一下,发现flag。
ctfshow web入门——web3
m0_74093152的博客
01-28 175
ctfshowweb入门——web3
CTFshow web入门 web316-web333 XSS
qq_56815564的博客
07-05 1555
我tm又来了,总之top10先过一遍,到第个XSS了,下一个要去看了,看了网上很多wp总感觉不是太全,所以就自己写了一个网站没有对用户提交的数据进行转义处理或者过滤不足,从而被恶意攻击者利用进而被添加一些恶意可执行脚本嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。
CTFshow-web-web3
qq_68581192的博客
10-07 66
-- post请求内容构造需要执行的代码。url=php://input – GET请求的url中拼接伪协议。使用Burp Suite进行抓包,利用php://input伪协议执行PHP代码。我们在url地址栏中拼接url参数,访问ctf_go_go_go,显示如下。点击放包,回到页面,显示如下。
ctfshow-web-web红包题
07-14
ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值