NSSCTF (2)

最新推荐文章于 2024-07-24 22:46:46 发布
最新推荐文章于 2024-07-24 22:46:46 发布
阅读量554 收藏 1
点赞数
分类专栏: nssctf web 进阶 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61988806/article/details/130499048
版权

[GKCTF 2020]cve版签到

 

 查看响应头发现有几个可能利用的信息

1.hint 里面的Flag in localhost

2.apache 2.4.38

3. php 7.3.15

我们发现第一个是提示 第二个apache版本没有什么漏洞 但是php 7.3.15 存在cve漏洞

这里题目规定 *.ctfhub.com 所以我们 要以这个结尾

在 php 7.3中 get_headers()会截断URL中空字符后的内容

所以我们可以通过空字符绕过

通过%00截断

 

 这里显示要123 

我们构造127.0.0.123

 [NSSCTF 2022 Spring Recruit]babyphp

<?php
highlight_file(__FILE__);   #高亮显示当前文件的页面
include_once('flag.php');   #包含flag.php这个文件
if(isset($_POST['a'])&&!preg_match('/[0-9]/',$_POST['a'])&&intval($_POST['a'])){  #通过post出个传入一个a的值 ,同时过滤数字 intval用于将a的值进行处理 如果a的值带字符串会被转换为0 如果是数字会转换为整数
    if(isset($_POST['b1'])&&$_POST['b2']){  #通过post传入b1和b2 并判断是不是空
        if($_POST['b1']!=$_POST['b2']&&md5($_POST['b1'])===md5($_POST['b2'])){ #判断b1和b2不一样但是md5值一样 这里是强匹配
            if($_POST['c1']!=$_POST['c2']&&is_string($_POST['c1'])&&is_string($_POST['c2'])&&md5($_POST['c1'])==md5($_POST['c2'])){    #通过post传入c1和c2通过is_string判断传入的值是不是字符串 在md5匹配 c1和c2 这里弱匹配
                echo $flag;
            }else{
                echo "yee";
            }
        }else{
            echo "nop";
        }
    }else{
        echo "go on";
    }
}else{
    echo "let's get some php";
}
?> let's get some php

 这题就是一步一步的绕过

先传入a的值 这里考察绕过preg_match()我们使用数组绕过

成功进入下一个if

这后是b1 b2 md5 值强匹配

而在md5如果传入的不是字符串而是数组会被解析成null 所以这里用数组绕过

 进入c1 c2 的绕过 这里还会判断是不是字符串

这里是弱匹配 所以直接0e就行

 

这题就是md5值的考察 和其他的一样就是0e 开头的在php 进行哈希处理 会通过 != 和== 来匹配的时候0e开头的会被解析成0 所以这里使用0e的数

[HCTF 2018]Warmup

 

发现source.php

 

 <?php
    highlight_file(__FILE__);  #高亮显示当前文件的代码
    class emmm                 #定义一个叫emmm的类
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];  
            if (! isset($page) || !is_string($page)) { #判断page是不是空 并判断是不是字符串
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) { #通过in_arry 判断 page的文件识别在$whitelist中
                return true;
            }

            $_page = mb_substr(        #通过mb_substr截取
                $page,                 #截取page   
                0,                     #从0位字符开   
                mb_strpos($page . '?', '?')    #代表截取?之前在url中如 source.php?a=z  那就会是$_page = mb_substr($page,0,11);
            );
            if (in_array($_page, $whitelist)) {  #通过in_arry 判断 page的文件识别在$whitelist中
                return true;
            }

            $_page = urldecode($page);  #url解码 page 
            $_page = mb_substr(         #这里和上面一样
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])      #通过$_REQUEST['file']获取文件名 empty 判断是不是空
        && is_string($_REQUEST['file'])    #判断是不是字符串
        && emmm::checkFile($_REQUEST['file'])    #使用emmm类中的checkFile判断
    ) {
        include $_REQUEST['file'];            #包含这个文件
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

 从文件我们知道只允许source.php hint.php两个文件

 

也就是我们通过这里知道了flag在哪里 再通过source中的文件包含获取

 

1、是否存在file参数

2、file参数是否为字符串

3、emmm类的checkFile方法判断

重点漏洞成因是

 我们发现这里对于url做了第二次过滤 正是因为考虑的太过于详细所以导致了漏洞

如我们的url为http://node4.anna.nssctf.cn:28523/source.php?file=hint.php 

 

 这里的url为source.php?file=hint.php%253F

这个是?的两次url编码 那我们也就知道了这的的第二个?会通过 

此时根据第二个过滤的代码 会解析第二个?之前的内容 ?后面的内容就可以绕过了

这题是CVE-2018-12613的变化题

那我们知道原理就可以进行绕过

这里要用到目录

. 代表当前目录
.. 代表上一级目录
./  同一目录下的不同文件
../ 上一级目录下的文件

这里我们有a 目录 下有b c目录  b目录下有d e目录 d目录下有zx 文件

我们可以看到.代表的

 

我们现在再d中写入一个d文件

我们可以知道./的作用

现在我们再a中创建zx文件

 

 我们就知道了目录移动

所以下面我们就尝试包含flag文件

 

许允er
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
NSSCTF-HDCTF2023-Yami题解记录
LeBR0NY的博客
04-26 358
NSS-HDCTF2023 web yami题解记录
PHP常见的漏洞分析
m0_63917373的博客
09-27 1167
PHP常见漏洞分析
CVE-2019-11043(PHP远程代码执行漏洞)复现
永远是少年
12-11 2225
今天继续给大家介绍渗透测试相关知识,本文主要内容是CVE-2019-11043(PHP远程代码执行漏洞)复现。 一、CVE-2019-11043(PHP远程代码执行漏洞)简介 二、CVE-2019-11043(PHP远程代码执行漏洞漏洞环境搭建 三、CVE-2019-11043(PHP远程代码执行漏洞漏洞利用工具安装 四、CVE-2019-11043(PHP远程代码执行漏洞)复现
CTF-NSSCTF题单[GKCTF2020]
最新发布
2302_78903258的博客
07-24 1333
在低于7.2.29的PHP版本7.2.x,低于7.3.16的7.3.x和低于7.4.4的7.4.x中,将get_headers()与用户提供的URL一起使用时,如果URL包含零(\ 0)字符,则URL将被静默地截断。访问/eval的路由,会设置一个delay,和你传入的get参数的delay进行比较,取较大的那个,然后setTimeout是延时函数,delay秒后就会执行第一个参数,即next(),否则就会send出timeout。是假的,但是有线索,提示说真正的flag的在。
php7.3.1图片解析漏洞,各类解析漏洞
weixin_32434033的博客
03-23 751
IIS6.0解析漏洞目录解析:/xx.asp/xx.jpgxx.jpg可替换为任意文本文件(e.g. xx.txt),文本内容为后门代码后缀解析: /xx.asa;.jpg (此处需要抓包修改文件名)IIS6.0 都会把 此类 后缀文件成功解析为 asp文件默认解析: /xx.asa/xx.cer/xx.cdxIIS6.0 默认的可执行文件出了asp 还包含这三种此处可联系利用目录解析...
CVE-2019-11043远程代码执行漏洞复现
qq_42133828的博客
11-02 7311
CVE-2019-11043远程代码执行漏洞复现 漏洞名称: php fastcgi 远程命令执行漏洞 漏洞类型: 远程代码执行漏洞 漏洞危害: 高危 漏洞来源: https://www.nginx.com/blog/php-fpm-cve-2019-11043-vulnerability-nginx/ 公布时间: 2019-10-28 涉及应用版本: <7.1.33的PHP版本7.1.x ...
vulhub漏洞复现之bash(Shellshock CVE-2014-6271)
weixin_43071873的博客
11-27 1257
Shellshock 破壳漏洞 CVE-2014-6271 1.漏洞概述: GNU Bash 4.3及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行shell命令。某些服务和应用允许未经身份验证的远程攻击者提供环境变量以利用此漏洞。此漏洞源于在调用bash shell之前可以用构造的值创建环境变量。这些变量可以包含代码,在shell被调用后会被立即执行。 2.漏洞影响:GNU Bash <= 4.3
NSSCTF 2nd WEB
ytl_storm的博客
09-25 334
当我们上传test.php/.这样的文件时候,因为file_put_contents()第一个参数是文件路径,操作系统会认为你要在test1.php文件所在的目录中创建一个名为.的文件,最后上传的结果就为test.php。这里绕过的主要原理是Tornado模板在渲染时会执行__tt_utf8(__tt_tmp) 这样的函数,所以将__tt_utf8设置为eval,然后将__tt_tmp设置为了从POST方法中接收的字符串导致了RCE。为具体的某个算法,则密钥是不能为空的。猜测这里存在SSRF漏洞
nssctf文件test
03-30
1
NSSCTF】刷题记录——[SWPUCTF 2021 新生赛]系列(WEB篇)
jameshuangchuan的博客
08-08 2843
此处主要在NSSCTF平台()上开展刷题。
PHP<=7.4.21 Development Server源码泄露漏洞
这周末在做梦的博客
03-05 4083
因为特殊的原因CTF荒废了一段时间,近期总算再次捡了起来,算是从头开始了吧。近期比赛刚好遇到了这个漏洞,看国内似乎还没有过多的论述,先总结一波。
[NSSCTF 2nd] web复现
qq_34942239的博客
03-02 1167
上传文件名被黑名单ph,htaccess,ini检测,但是pathinfo检测到filename.extension/.时,PATHINFO_EXTENSION被检测为空,空不在黑名单里面,就能绕过检测上传一个1.php/.,在file_put_contents函数中,如果filename为1.php/.,就会在当前目录创建一个名为1.php的文件,从而实现传马由于没有上传点,用py上传/要用url编码在环境变量里面找到flag。
BUUCTF【Web】WarmUp
qq_70434663的博客
03-01 255
接下来分析emmm类,创建一个类,类里面设置public static function访问权限为公有,重写checkFile方法,参数是&$page,在方法中又定义了一个$whitelist变量,变量里面定义了一个列表"source"=>"source.php","hint"=>"hint.php",前面的source.php我们已经查看了,接下来我们去访问“hint.php”得到“flag not here,and flag in ffffllllaaaagggg”内容。
CVE-2019-11043(PHP远程代码执行漏洞
m0_51468027的博客
02-12 8988
一、漏洞描述   CVE-2019-11043 是一个远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码。   向Nginx + PHP-FPM的服务器 URL发送 %0a 时,服务器返回异常。   该漏洞需要在nginx.conf中进行特定配置才能触发。具体配置如下: location ~ [^/]\.php(/|$) { ... fastcgi_split_path_info ^(.+?\.php)(/.*)$; fastcgi_
PHP7.x的 PHP-FPM 存在远程代码执行漏洞
kuzina111的博客
10-29 4172
据外媒 ZDNet 的报道,PHP 7.x 中最近修复的一个远程代码执行漏洞正被恶意利用,并会导致攻击者控制服务器。编号为CVE-2019-11043的漏洞允许攻击者通过向目标服务器发送特制的 URL,即可在存在漏洞的服务器上执行命令。漏洞利用的PoC代码也已在 GitHub 上发布。 一旦确定了易受攻击的目标,攻击者便可以通过在URL 中附加'?a=' 以发送特制请求到易受攻...
php漏洞几十个,【漏洞预警】PHP7被发现三个0day漏洞,其中一个还
weixin_36123682的博客
03-26 1830
Check Point的安全性研究者在PHP7上发觉了3个比较严重0day系统漏洞,而且在其中还有一个0day未被恢复。假如这种系统漏洞被攻击者取得成功利用不良影响十分比较严重,可造成 全世界80%的网址被攻击者良好控制。PHP介绍PHP是一种通用性开源系统脚本制作预言,消化吸收了C预言、Java和Perl的特性,更非常容易被开发人员学习培训应用。用PHP作出的动态性网页页面与别的的计算机语言对比...
PHP7曝出三个高危0-day漏洞,还有一个仍未修复
weixin_34024034的博客
08-01 1171
PHP7出现三个高危0-day漏洞,可允许攻击者完全控制PHP网站。 这三个漏洞出现在PHP7的反序列化机制中,而PHP5的反序列机制也曾曝出漏洞,在过去几年中,黑客利用该漏洞将恶意代码编入客户机cookie并发送,从而入侵了Drupal、Joomla、Magento、vBulletin和PornHub等网站。 漏洞概况 最近,Check Point...
nssctf的jwt问3
08-17
首先将图像的背景填充为白色。 2. 在保存图片时,使用 `ImageIO.write()` 方法将二维码图像保存为 PNG 格式的图片文件。 3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

许允er

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值