ctfshow-web(三)

最新推荐文章于 2024-06-20 23:57:10 发布
最新推荐文章于 2024-06-20 23:57:10 发布
阅读量876 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47804678/article/details/128197872
版权

一言既出

这个打开就是一段代码:

 

不太会php,查了一下,知道了:

assert()是一个断言函数,如果条件判断错误会终止程序;

die() 函数输出一条消息,并退出当前脚本。

然后还有一个intval()函数,他是用来获取变量的整数值。其实可以看出来,有两个对num值的判断,且都要为真才能达到flag,那么就可以利用intval()函数的一些特点进行绕过。

这里利用的是加法绕过:intval()函数中用字符串方式表示科学计数法时,函数的返回值是科学计数法前面的一个数,而对于科学计数法加数字则会返回科学计数法的数值;也就是说如果是加法形式,它会返回加完的和的值。

我们设置payload:

?num=114514+1805296

这样,在if判断中是弱类型比较,那么比较时取的是整个num字符串中加号之前的值(数字开始,非数字结束);在intval()函数中取到的是和的值;就可以绕过两次判断。我们使用max hackbar插件吧payload写进去,然后执行请求,结果如下图:

intval()还有一些特性和可利用的绕过方式,其他的大家可以自行了解总结一下。

 另外,看了一下其他的wp,还有绕过方法,比如针对assert()断言函数的绕过方法:将传入num的值设为:

num=114514);(19199810 
num=114514)==1 or system('ls');#

这样就可以构造出恶意的闭合,绕过判断,让代码顺利执行。

驷马难追

 这个相比上一个就是多了一些过滤,去掉了字母,分号,括号以及双引号。可以注意到没过滤加号,所以就还是利用intval()函数的特点进行绕过就可以了。

TAPTAPTAP

是个小游戏,先玩了玩,没发现什么 ,于是扫了一下,也没发现什么;最后就想着抓包看看吧,但是发现玩游戏时没有数据包,应该都是和前端交互,那就看一下前端代码吧(好多,眼花缭乱):

 ctrl+F搜索了一下flag也没有;看这些代码都有注释,主要的逻辑实现应该在logic&brain下面的代码里,于是打开看一下吧。在里面发现了一段区别于正常代码,类似base64加密的字符串:

 使用cyberche飞(在线加解密工具)进行base64解密后发现是:

 于是访问此路径,拿到flag:

早知道多坚持玩几关了*-*,于是我又按照代码的逻辑玩到21关试了一下(这该死的胜负欲):

webshell

 看代码是个反序列化:

 首先序列化主要就是将对象转化为字符串的形式,使其可存储或可传输;而反序列化就是将字符串形式的对象在转换到原来的形式。( 详细了解反序列化可以看一下这篇文章https://www.freebuf.com/articles/web/241998.html

举个例子:

<?php
    class DemoClass{
        public $name="admin";
        public $age=18;
    }

    $demo=new DemoClass();
    echo serialize($demo)
?>

得到的序列化后的结果是:

O:9:"DemoClass":2:{s:4:"name";s:5:"admin";s:3:"age";i:18;}
对象类型:长度:“类名”:变量数量:{类型:长度:“值”;类型:长度:“值”;...}

可以发现没有类,只有变量。而且其中的字符都代表着不同的意思:

反序列化漏洞就是当反序列的对象可控时,不正当的利用一些魔法函数,将自己想要的命令得到执行。

//魔法函数
__wakeup() //执行unserialize()时,先会调用这个函数
__sleep() //执行serialize()时,先会调用这个函数
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把类当作字符串使用时触发
__invoke() //当尝试将对象调用为函数时触发
__construct() //对象初始化时会调用此方法

了解了这些,就可以知道主要是构造反序列化的字符串传给cmd,之后在代码进行反序列化时就会调用construct()函数,进而执行init()函数,对cmd进行过滤后在执行命令返回结果。

那么针对如何绕过flag过滤的问题,我们可以看到它过滤掉了flag且不区分大小写,那么我们在设置payload的时候可以把命令写为:cat fla*做一个模糊查询,这样就可以绕过过滤了。

 执行后页面没有任何信息,但是打开代码,就可以看到flag了:

 

Don't know
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
ctfshow-web4
HAI_WD的博客
08-04 590
默认nginx日志是:/var/log/nginx/access.log,可以看到记录了请求。那么我们就可以修改ua头进行代码注入,如果存在ssh连接的话,用ssh日志也可以。然后cat一下获取到flag。
CTFSHOW-WEB详解
qq_49422880的博客
05-25 4767
CTFSHOW-WEB详解一、WEB13--文件上传二、WEB-红包题第二弹 一、WEB13–文件上传   开始的界面就是文件上传,确定方向为文件上传漏洞分析,尝试上传文件,我上传的第一个文件是一个文本文件很小只有9个字节,就上传成功了直接,还以为会按往常一样出现绝对路径又或者提示只能上传别的格式文件,然后我们通过绕过,接着使用蚁剑连接直接看文件拿到flag。   然而。。。。。。   简单的信息泄露例子,看完绝对不亏.   事情没有我们想的那么简单,我上传一个webshell的时候,发现内容超过了大小,又
2024年网安最全ctfshow-WEB-web3_ctfshow web3(1)
2401_84264583的博客
05-01 457
php://input 可以访问请求的原始数据,配合文件包含漏洞可以将post请求体中的内容当做文件内容执行,enctype=multipart/form-data"时,php:/input将会无效。ctf.show WEB模块的第3关是一个文件包含漏洞,include()函数包含的文件会被执行,我们使用PHP伪协议配合抓包工具进行命令执行,从而获取flag。很明显这个crf_go_go_go文件就是存放flag的文件。这一关的flag就存放在网站跟路径下的文件中。
ctfshow-web13 文件上传
HAI_WD的博客
08-25 1340
首先看到是一个上传页面,测试其他无果,遂进行目录遍历,发现upload.php.bak文件。然后上传1.txt,尝试使用get,但是没有生效,这里需要控制字符数量。上传好了之后,通过index.php进行访问。然后通过highlight_file读取文件。那么我们先上传.user.ini。
CTFshow---WEB入门---web6
qq_43752749的博客
12-11 424
提示flag在fl000g.txt文件中,查看fl000g.txt。提交flag{flag_here}发现不正确。从url中访问fl000g.txt。提示我们访问www.zip。查看index.php
ctfshow-web10 with rollup 绕过
HAI_WD的博客
08-21 208
WITH ROLLUP是一种在SQL查询结果中使用的特殊子句,它可用于生成分组列的总计行。使用WITH ROLLUP,可以在查询结果中添加一个额外的行,显示分组结果的总计值。也就是说如果通过with rollup分组后为空,那我们的输入也为空,那么此时就可以进行绕过了。看到这个源码,可以看到只能是通过满足下面的条件来拿到flag,并且很多关键字都被拦截了。这里需要介绍一下WITH ROLLUP。这里还是使用/**/进行绕过空格。
CTFShow-Web入门
weixin_58546222的博客
12-15 656
CTFShow爆破解题思路
CTFshow-web入门-文件上传
weixin_44770698的博客
07-06 1033
CTFshow-文件上传
CTFShow-WEB入门篇--信息搜集详细Wp
Aluxian_的博客
06-02 2164
CTFShow-WEB入门篇--信息搜集详细Wp
2024年网络安全最全CTFShow-WEB入门篇--信息搜集详细Wp_ctfshow web
2401_84254087的博客
05-01 710
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
ctfshow-web3
HAI_WD的博客
07-27 682
php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。发现一个ctf_go_go_go的文件,然后读取就是了。这个题目一看就知道是一个文件包含漏洞。所以就可以直接执行命令。
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
CTFShow-周末大挑战parse-url篇Writeup
05-19
这篇Writeup主要涉及的是CTF(Capture The Flag)挑战中的Web安全领域,特别是URL解析漏洞的利用。CTF是一项网络安全竞赛,参与者通过解谜、破解密码等方式获取“国旗”(Flag),在这里指的是挑战的答案或关键信息...
深入解析PHP函数
NatLindsay的博客
06-17 502
PHP函数是一种重要的编程概念,它可以帮助开发者组织和管理代码,提高代码的可重用性和可维护性。在PHP中,函数可以完成各种任务,从简单的数学计算到复杂的数据库查询和数据处理。本文将从多个角度探讨PHP函数的应用,涵盖了函数的定义和调用、内置函数的使用、自定义函数的创建以及常见的函数库。函数的参数:函数可以接受零个或多个参数,用于传递数据给函数内部使用。函数可以带有参数,用于接收输入,也可以返回值。函数命名:选择一个有意义的函数名,以便描述函数的功能。函数体:编写函数的具体实现代码,实现特定的功能。
[极客大挑战 2020]Roamphp4-Rceme
最新发布
不会编程的崽的博客
06-20 348
右键源代码里给了提示,有备份文件index.php.swp,大伙都做到这来了,应该不用写了吧。加这个[~%FF]只是因为php7的解析方式,当然换成其他的也可以例如[~%EF] [~%CF]passthru(next(getallheaders()));然后,需要要绕过两层,多年rce经验,相信你一眼能看出。我们由内往外构造,这里需要前置知识(贴其他大佬的吧)知道原因可以在评论区踢我一脚。
Linux-安装及管理程序
A6985HG的博客
06-19 698
定义:本地Yum源是指将软件包存储在本地服务器或存储设备上的源。这些软件包可以是从官方源下载后本地存储的,也可以是用户自己编译的软件包。优点:本地Yum源的主要优势在于访问速度和可控性。由于软件包位于本地网络或服务器上,因此安装和更新速度快,尤其是在没有稳定互联网连接或需要大规模部署的情况下更为实用。
ctfshow-web-web红包题
07-14
ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值